KB5014754 – spremembe preverjanja pristnosti, ki temeljijo na potrdilu, v krmilnikih domene sistema Windows

Ni bilo mogoče najti zapletenih preslikav potrdil in potrdilo nima nove razširitve varnostnega identifikatorja (SID), ki bi jo KDC lahko potrdil.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Opozorilo, če je KDC v združljivostnem načinu Napaka, če je KDC v načinu uveljavljanja
Vir dogodka	Kdcsvc
ID dogodka	39 41 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2)
Besedilo dogodka	Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar ga ni bilo mogoče močno preslikati v uporabnika (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Takšna potrdila je treba zamenjati ali preslikati neposredno uporabniku z eksplicitno preslikavo. Če želite https://go.microsoft.com/fwlink/?linkid=2189925 več informacij, glejte Članek z več podatki. Uporabnik: <ime> Zadeva potrdila: <zadeva v potrdilu> Izdajatelj potrdila: <izdajatelja popolnoma kvalificiranega imena domene (FQDN)> Serijska številka potrdila: <serijska številka potrdila> Certificate Thumbprint: <Thumbprint of Certificate>

Potrdilo je bilo izdano uporabniku, preden je uporabnik obstajal v imeniku Active Directory, zato ni bilo mogoče najti zapletene preslikave. Ta dogodek je zabeležen le, ko je KDC v združljivostnem načinu.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Napaka
Vir dogodka	Kdcsvc
ID dogodka	40 48 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2
Besedilo dogodka	Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar ga ni bilo mogoče močno preslikati v uporabnika (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Potrdilo je bilo vnaprej dodeljeno uporabniku, ki mu je bilo preslikano, zato je bilo zavrnjeno. Če želite https://go.microsoft.com/fwlink/?linkid=2189925 več informacij, glejte Članek z več podatki. Uporabnik: <ime> Zadeva potrdila: <zadeva v potrdilu> Izdajatelj potrdila: <FQDN izdajatelja> Serijska številka potrdila: <serijska številka potrdila> Certificate Thumbprint: <Thumbprint of Certificate> Čas izdaje potrdila: <FILETIME potrdila> Čas nastanka računa: <FILETIME glavnega predmeta v ad>

SID, vsebovan v novi razširitvi uporabniškega potrdila, se ne ujema z uporabniškim SID-jem, kar pomeni, da je bilo potrdilo izdano drugemu uporabniku.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Napaka
Vir dogodka	Kdcsvc
ID dogodka	41 49 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2)
Besedilo dogodka	Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar je vsebovalo drug SID, kot ga je preslikal uporabnik. Posledično zahteva, ki vključuje potrdilo, ni uspela. Če želite https://go.microsoft.cm/fwlink/?linkid=2189925 več informacij, glejte Temo. Uporabnik: <ime> SID uporabnika: <SID glavnega overjenega> Zadeva potrdila: <zadeva v potrdilu> Izdajatelj potrdila: <FQDN izdajatelja> Serijska številka potrdila: <serijska številka potrdila> Certificate Thumbprint: <Thumbprint of Certificate> SID s potrdilom: <sid, ki ga najdete v novem pogovornem oknu za>

Opomba Nekatera polja, kot so izdajatelj, zadeva in serijska številka, so zapisana v obliki »naprej«. To obliko zapisa morate razveljaviti, ko dodate niz za preslikavo atributu altSecurityIdentities . Če želite uporabniku na primer dodati preslikavo X509IssuerSerialNumber, poiščite polji »Izdajatelj« in »Serijska številka« potrdila, ki ga želite preslikati uporabniku. Oglejte si spodnji vzorčni rezultat.

• Izdajatelj: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC0000000012

Nato posodobite atribut altSecurityIdentities uporabnika v imeniku Active Directory z naslednjim nizom:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Če želite posodobiti ta atribut s storitvijo Powershell, lahko uporabite spodnji ukaz. Upoštevajte, da imajo za posodobitev tega atributa privzeto dovoljenje le skrbniki domen.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Upoštevajte, da morate pri negativu SerialNumber obdržati bajtni vrstni red. To pomeni, da bi ponovitev serialnumber "A1B2C3" morala povzročiti niz "C3B2A1" in ne "3C2B1A". Če želite več informacij, glejte HowTo: Preslikaj uporabnika v potrdilo z vsemi načini, ki so na voljo v atributu altSecurityIdentities.

Ko namestite posodobitve sistema Windows z dne 10. maja 2022, bodo naprave v združljivostnem načinu. Če je potrdilo mogoče močno preslikati uporabniku, bo prišlo do preverjanja pristnosti po pričakovanjih. Če je potrdilo mogoče šibko preslikati le uporabniku, bo preverjanje pristnosti izvedeno v skladu s pričakovanji. Vendar pa bo opozorilno sporočilo zabeleženo, razen če je potrdilo starejše od uporabnika. Če je potrdilo starejše od uporabnika in registrski ključ za varnostno kopiranje potrdil ni prisoten ali pa je obseg zunaj nadomestila za varnostno kopiranje, preverjanje pristnosti ne bo uspelo in sporočilo o napaki bo zabeleženo.  Če je registrski ključ za varnostno kopiranje potrdil konfiguriran, bo v dnevnik dogodkov zabeleženo opozorilno sporočilo, če datumi padejo v nadomestilo za varnostno kopiranje.

Ko namestite posodobitve sistema Windows z dne 10. maja 2022, bodite pozorni na opozorilo, ki se lahko prikaže po mesecu ali več. Če ni opozoril, priporočamo, da v vseh krmilnikih domene omogočite način popolnega uveljavljanja s preverjanjem pristnosti, ki temelji na potrdilu. Z registrskem ključem KDC lahko omogočite način popolnega uveljavljanja.

Če tega načina ne bomo posodobili prej, bomo vse naprave do 11. februarja 2025 ali pozneje posodobili na način »Popolno uveljavljanje«. Če potrdila ni mogoče močno preslikati, bo preverjanje pristnosti zavrnjeno.

Če preverjanje pristnosti, ki temelji na potrdilu, temelji na šibki preslikavi, ki je ni mogoče premakniti iz okolja, lahko krmilnike domene postavite v način »Onemogočeno« z nastavitvijo registrskega ključa. Microsoft tega ne priporoča in način »Onemogočeno« bomo odstranili 11. aprila 2023.

Ko namestite posodobitve sistema Windows z dne 13. februarja 2024 ali novejše v strežniku Server 2019 in novejših različicah ter podprte odjemalce, v katerih je nameščena izbirna funkcija RSAT, bo preslikava potrdila v računalnikih imenika Active Directory & Računalnike privzeto izbrali močno preslikavo z uporabo X509IssuerSerialNumber namesto šibke preslikave z uporabo funkcije X509IssuerSubject. Nastavitev lahko še vedno spremenite po želji.

• Z dnevnikom delovanja Kerberos v zadevnem računalniku določite, kateri krmilnik domene ne uspe pri vpisu. Pojdite na Pregledovalnik dogodkov > dnevnike programov in storitev\Microsoft \Windows\Security-Kerberos\Operational.

• Poiščite ustrezne dogodke v dnevniku sistemskih dogodkov v krmilniku domene, s katero poskuša račun preveriti pristnost.

• Če je potrdilo starejše od računa, znova pridobite potrdilo ali v račun dodajte varno preslikavo altSecurityIdentities (glejte Preslikave potrdil).

• Če je v potrdilu razširitev SID, preverite, ali se SID ujema z računom.

• Če se potrdilo uporablja za preverjanje pristnosti več različnih računov, mora vsak račun imeti ločeno preslikavo altSecurityIdentities .

• Če potrdilo nima varne preslikave v račun, dodajte eno domeno ali jo pustite v združljivostnem načinu, dokler je ni mogoče dodati.

Primer preslikave potrdila TLS je uporaba intranetne spletne aplikacije IIS.

• Po namestitvi zaščite CVE-2022-26391 in CVE-2022-26923 ti scenariji privzeto uporabljajo protokol Kerberos Certificate Service for User (S4U) za preslikavo potrdil in preverjanje pristnosti.

• V protokolu Kerberos Certificate S4U se zahteva za preverjanje pristnosti pretaka iz strežnika aplikacije v krmilnik domene in ne iz odjemalca v krmilnik domene. Zato bodo ustrezni dogodki v strežniku aplikacije.

Ta registrski ključ spremeni način uveljavljanja za KDC v onemogočen način, združljivostni način ali način popolnega uveljavljanja.

Registrski podključ	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrednost	StrongCertificateBindingEnforcement
Podatkovni tip	REG_DWORD
Podatki	1 – Preveri, ali je na voljo zapletena preslikava potrdil. Če je tako, je dovoljeno preverjanje pristnosti. V nasprotnem primeru KDC preveri, ali ima potrdilo novo razširitev SID, in ga preveri. Če ta razširitev ni na voljo, je preverjanje pristnosti dovoljeno, če uporabniški račun preda potrdilo. 2 – Preveri, ali je na voljo zapletena preslikava potrdil. Če je tako, je dovoljeno preverjanje pristnosti. V nasprotnem primeru KDC preveri, ali ima potrdilo novo razširitev SID, in ga preveri. Če te razširitve ni, je preverjanje pristnosti zavrnjeno. 0 – Onemogoči močno preverjanje preslikave potrdil. Ni priporočljivo, ker s tem onemogočite vse varnostne izboljšave. Če nastavite to vrednost na 0, morate nastaviti tudi certificateMappingMethods na 0x1F, kot je opisano v spodnjem razdelku Registrski ključ Schannel, da omogočite preverjanje pristnosti na osnovi potrdil računalnika..
Ali je vnovični zagon obvezen?	Ne

Ko strežniška aplikacija zahteva preverjanje pristnosti odjemalca, Schannel samodejno poskuša preslikati potrdilo, ki ga odjemalec TLS pošlje v uporabniški račun. Uporabnike, ki se vpišete z odjemalskim potrdilom, lahko preverite tako, da ustvarite preslikave, ki podatke o potrdilu povezujejo z uporabniškim računom sistema Windows. Ko ustvarite in omogočite preslikavo potrdila, bo vaš strežniški program vsakič, ko odjemalec predstavi odjemalsko potrdilo, tega uporabnika samodejno povezal z ustreznim uporabniškim računom sistema Windows.

Schannel bo poskusil preslikati vsak način preslikave potrdila, ki ste ga omogočili, dokler ne uspe. Schannel poskuša najprej preslikati preslikave storitve za uporabnika v self (S4U2Self). Preslikave potrdil osebe/izdajatelja, izdajatelja in upn., so zdaj obravnavane kot šibke in so privzeto onemogočene. Bitna vsota izbranih možnosti določa seznam načinov preslikave potrdil, ki so na voljo.

Privzeti registrski ključ SChannel je bil 0x1F in je zdaj 0x18. Če pride do napak pri preverjanju pristnosti v strežniških aplikacijah s kanalom, vam priporočamo, da izvedete preskus. Dodajte ali spremenite vrednost registrskega ključa CertificateMappingMethods v krmilniku domene in ga nastavite na 0x1F in preverite, ali ste odpravili težavo. Če želite več informacij, v dnevnikih sistemskih dogodkov v krmilniku domene poiščite morebitne napake, navedene v tem članku. Imejte v mislih, da bo sprememba vrednosti registrskega ključa SChannel nazaj na prejšnjo privzeto vrednost (0x1F) povrnjena na uporabo šibkih načinov preslikave potrdila.

Registrski podključ	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Vrednost	CertificateMappingMethods
Podatkovni tip	DWORD
Podatki	0x0001 – preslikava potrdila osebe/izdajatelja (šibko – privzeto onemogočeno) 0x0002 – preslikava potrdila izdajatelja (šibko – privzeto onemogočeno) 0x0004 – preslikava potrdila UPN (šibko – privzeto onemogočeno) 0x0008 – S4U2Seoči preslikava potrdila (močna) 0x0010 – S4U2Se samo eksplicitna preslikava potrdil (strong)
Ali je vnovični zagon obvezen?	Ne

Če želite dodatne vire in podporo, glejte razdelek »Dodatni viri«.

Ko namestite posodobitve z naslovom CVE-2022-26931 in CVE-2022-26923, preverjanje pristnosti morda ne uspe v primerih, ko so uporabniška potrdila starejša od časa ustvarjanja uporabnikov. Ta registrski ključ omogoča uspešno preverjanje pristnosti, ko uporabljate šibke preslikave potrdil v svojem okolju, čas potrdila pa je pred časom ustvarjanja uporabnika v nastavljenem obsegu. Ta registrski ključ ne vpliva na uporabnike ali računalnike z močnimi preslikavami potrdil, saj čas in čas ustvarjanja potrdila pri zapletenih preslikavah potrdil niso potrjeni. Ta registrski ključ nima nobenega učinka, če je vrednost StrongCertificateBindingEnforcement nastavljena na 2.

Uporaba tega registrskega ključa je začasna rešitev za okolja, ki ga zahtevajo, in jo je treba izvesti previdno. Uporaba tega registrskega ključa pomeni to za vaše okolje:

• Ta registrski ključ deluje le v združljivostnem načinu in se začne s posodobitvami, izdanimi 10. maja 2022. Preverjanje pristnosti bo dovoljeno v okviru zaodrju kompenzacije, vendar bo za šibko vezavo zabeleženo opozorilo v dnevniku dogodkov.

• Omogočanje tega registrskega ključa omogoča preverjanje pristnosti uporabnika, ko je čas potrdila pred časom ustvarjanja uporabnika v nastavljenem obsegu kot šibko preslikavo. Šibke preslikave ne bodo podprte po namestitvi posodobitev za Windows, izdanih 11. februarja 2025, kar bo omogočilo način popolnega uveljavljanja.

Registrski podključ	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrednost	CertificateBackdatingCompensation
Podatkovni tip	REG_DWORD
Podatki	Vrednosti za nadomestno rešitev v približnih letih: 50 let: 0x5E0C89C0 25 let: 0x2EFE0780 10 let: 0x12CC0300 5 let: 0x9660180 3 leta: 0x5A39A80 1 leto: 0x1E13380 Opomba Če poznate življenjsko dobo potrdil v svojem okolju, nastavite ta registrski ključ na nekoliko dlje kot življenjska doba potrdila.  Če ne poznate življenjske dobe potrdila za svoje okolje, nastavite ta registrski ključ na 50 let. Privzeto je nastavljeno na 10 minut, če ta ključ ni na voljo, kar se ujema s storitvami ADCS (Active Directory Certificate Services). Največja vrednost je 50 let (0x5E0C89C0). S tem ključem nastavite časovno razliko v sekundah, ki jo središče za porazdelitev ključa (KDC) prezre med časom izdaje potrdila za preverjanje pristnosti in časom nastanka računa za račune uporabnikov/računalnikov. Pomembno Ta registrski ključ nastavite le, če to zahteva vaše okolje. Uporaba tega registrskega ključa onemogoča varnostno preverjanje.
Ali je vnovični zagon obvezen?	Ne

Zaženite ta ukaz certutil , da izključite potrdila uporabniške predloge iz pridobivanje nove razširitve.

1. Vpišite se v strežnik overitelja digitalnih potrdil ali v odjemalca, Windows 10 pridružen domeni, s skrbnikom podjetja ali enakovrednimi poverilnicami.

2. Odprite ukazni poziv in izberite Zaženi kot skrbnik.

3. Zaženite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Če onemogočite dodajanje te razširitve, boste odstranili zaščito, ki jo zagotavlja nova razširitev. To lahko naredite le po enem od teh dejanj:

1. Potrdite, da ustrezna potrdila niso sprejemljiva za šifriranje javnega ključa za začetno preverjanje pristnosti (PKINIT) v preverjanje pristnosti protokola Kerberos pri KDC-ju

2. Ustrezna potrdila imajo konfigurirane druge zapletene preslikave potrdil

Okolja z uvedbami, ki niso Microsoftova overilja digitalnih potrdil, ne bodo zaščitena z novo razširitvijo SID po namestitvi posodobitve sistema Windows z dne 10. maja 2022. Prizadete stranke morajo to težavo odpraviti z ustreznimi prodajalci overitelja digitalnih potrdil, lahko pa razmislijo o uporabi drugih zapletenih preslikav potrdil, ki so opisane zgoraj.

Če želite dodatne vire in podporo, glejte razdelek »Dodatni viri«.

Ne, podaljšanje ni potrebno. Overilnik digitalnih potrdil bo na voljo v združljivostnem načinu. Če želite močno preslikavo uporabiti s pripono ObjectSID, boste potrebovali novo potrdilo.