KB5014754—Thay đổi xác thực dựa trên chứng chỉ trên bộ kiểm soát miền Windows

Không thể tìm thấy ánh xạ chứng chỉ mạnh mẽ và chứng chỉ không có phần mở rộng mã định danh bảo mật (SID) mới mà KDC có thể xác thực.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Cảnh báo nếu KDC đang ở chế độ Tương thích Lỗi nếu KDC đang ở chế độ Thực thi
Nguồn Sự kiện	Kdcsvc
ID Sự kiện	39 41 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2)
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng không thể được ánh xạ tới người dùng theo cách mạnh mẽ (chẳng hạn như thông qua ánh xạ rõ ràng, ánh xạ tin cậy chính hoặc SID). Chứng chỉ như vậy nên được thay thế hoặc ánh xạ trực tiếp đến người dùng thông qua ánh xạ rõ ràng. Hãy xem https://go.microsoft.com/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <Tên Miền Đầy đủ Tiêu chuẩn của Nhà phát hành (FQDN)> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate>

Chứng chỉ được cấp cho người dùng trước khi người dùng tồn tại trong Active Directory và không tìm thấy ánh xạ mạnh. Sự kiện này chỉ được ghi nhật ký khi KDC ở chế độ Tương thích.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Lỗi
Nguồn Sự kiện	Kdcsvc
ID Sự kiện	40 48 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng không thể được ánh xạ tới người dùng theo cách mạnh mẽ (chẳng hạn như thông qua ánh xạ rõ ràng, ánh xạ tin cậy chính hoặc SID). Chứng chỉ cũng predated người dùng nó ánh xạ đến, vì vậy nó đã bị từ chối. Hãy xem https://go.microsoft.com/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <phát hành FQDN> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate> Thời gian Phát hành Chứng chỉ: <FILETIME của chứng chỉ> Thời gian Tạo Tài khoản: <FILETIME của đối tượng chính trong AD>

SID chứa trong phần mở rộng mới của chứng chỉ người dùng không phù hợp với SID người dùng, ngụ ý rằng chứng chỉ đã được cấp cho người dùng khác.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Lỗi
Nguồn Sự kiện	Kdcsvc
ID Sự kiện	41 49 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2)
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng chứa SID khác với người dùng được ánh xạ. Do đó, không thể yêu cầu liên quan đến chứng chỉ. Xem https://go.microsoft.cm/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> User SID: <SID of the authenticating principal> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <phát hành FQDN> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate> Chứng chỉ SID: <SID được tìm thấy trong danh sách Phần mở rộng Chứng chỉ>

Lưu ý Một số trường nhất định, chẳng hạn như Nhà phát hành, Chủ đề và Số Sê-ri, được báo cáo ở định dạng "chuyển tiếp". Bạn phải đảo ngược định dạng này khi thêm chuỗi ánh xạ vào thuộc tính altSecurityIdentities . Ví dụ: để thêm ánh xạ X509IssuerSerialNumber cho người dùng, hãy tìm kiếm các trường "Nhà phát hành" và "Số Sê-ri" của chứng chỉ mà bạn muốn ánh xạ tới người dùng. Xem đầu ra mẫu bên dưới.

• Người phát hành: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Số Sê-ri: 2B000000011AC000000012

Sau đó, cập nhật thuộc tính altSecurityIdentities của người dùng trong Active Directory bằng chuỗi sau đây:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Để cập nhật thuộc tính này bằng Powershell, bạn có thể sử dụng lệnh dưới đây. Hãy nhớ rằng, theo mặc định, chỉ người quản trị tên miền mới có quyền cập nhật thuộc tính này.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Lưu ý rằng khi bạn đảo ngược Số Sê-ri, bạn phải giữ thứ tự byte. Điều này có nghĩa là việc đảo ngược SerialNumber "A1B2C3" sẽ dẫn đến chuỗi "C3B2A1" chứ không phải " 3C2B1A". Để biết thêm thông tin, hãy xem HowTo: Ánh xạ người dùng với chứng chỉ thông qua tất cả các phương pháp có sẵn trong thuộc tính altSecurityIdentities.

Sau khi bạn đã cài đặt các bản cập nhật Windows ngày 10 tháng 5 năm 2022, thiết bị sẽ ở chế độ Tương thích. Nếu một chứng chỉ có thể được ánh xạ mạnh đến người dùng, xác thực sẽ xảy ra như mong đợi. Nếu chứng chỉ chỉ có thể được ánh xạ yếu đến người dùng, xác thực sẽ xảy ra như mong đợi. Tuy nhiên, thông báo cảnh báo sẽ được ghi nhật ký trừ khi chứng chỉ cũ hơn người dùng. Nếu chứng chỉ cũ hơn người dùng và khóa đăng ký Sao lưu Chứng chỉ không hiện diện hoặc phạm vi nằm ngoài bồi thường phụ trợ, xác thực sẽ không thành công và thông báo lỗi sẽ được ghi nhật ký.  Nếu khóa đăng ký Sao lưu Chứng chỉ được cấu hình, nó sẽ ghi nhật ký một thông báo cảnh báo trong nhật ký sự kiện nếu ngày nằm trong bồi thường sao lưu.

Sau khi bạn cài đặt các bản cập nhật Windows ngày 10 tháng 5 năm 2022, hãy xem bất kỳ thông báo cảnh báo nào có thể xuất hiện sau một tháng hoặc hơn. Nếu không có thông báo cảnh báo, chúng tôi khuyên bạn nên bật chế độ Thực thi Đầy đủ trên tất cả các bộ kiểm soát miền bằng cách sử dụng xác thực dựa trên chứng chỉ. Bạn có thể sử dụng khóa đăng ký KDC để bật chế độ Thực thi Đầy đủ.

Trừ khi đã cập nhật chế độ này trước đó, chúng tôi sẽ cập nhật tất cả các thiết bị lên chế độ Thực thi Đầy đủ trước ngày 11 tháng 2 năm 2025 hoặc sau đó. Nếu không thể ánh xạ mạnh chứng chỉ, xác thực sẽ bị từ chối.

Nếu xác thực dựa trên chứng chỉ dựa vào ánh xạ yếu mà bạn không thể di chuyển từ môi trường, bạn có thể đặt bộ kiểm soát miền trong chế độ Vô hiệu hóa bằng cách sử dụng thiết đặt khóa đăng ký. Microsoft không đề xuất tính năng này và chúng tôi sẽ xóa chế độ Vô hiệu hóa vào ngày 11 tháng 4 năm 2023.

Sau khi bạn đã cài đặt các bản cập nhật Windows ngày 13 tháng 2 năm 2024 trở lên trên Máy chủ 2019 trở lên và được hỗ trợ có cài đặt tính năng tùy chọn RSAT, ánh xạ chứng chỉ trong Người dùng Active Directory & Máy tính sẽ mặc định chọn ánh xạ mạnh bằng cách sử dụng X509IssuerSerialNumber thay vì ánh xạ yếu bằng cách sử dụng X509IssuerSubject. Bạn vẫn có thể thay đổi cài đặt này như mong muốn.

• Sử dụng nhật ký Hoạt động Kerberos trên máy tính liên quan để xác định bộ điều khiển miền nào không đăng nhập được. Đi tới Trình xem Sự kiện > nhật ký Dịch vụ và Ứng dụng\Microsoft \Windows\Security-Kerberos\Vận hành.

• Tìm kiếm các sự kiện liên quan trong Nhật ký Sự kiện Hệ thống trên bộ kiểm soát miền mà tài khoản đang cố gắng xác thực.

• Nếu chứng chỉ cũ hơn tài khoản, hãy phát hành lại chứng chỉ hoặc thêm ánh xạ altSecurityIdentities an toàn vào tài khoản (xem Ánh xạ chứng chỉ).

• Nếu chứng chỉ chứa phần mở rộng SID, hãy xác minh rằng SID khớp với tài khoản.

• Nếu chứng chỉ đang được sử dụng để xác thực một số tài khoản khác nhau, mỗi tài khoản sẽ cần một ánh xạ altSecurityIdentities riêng biệt.

• Nếu chứng chỉ không có ánh xạ bảo mật vào tài khoản, hãy thêm một hoặc rời khỏi miền trong chế độ Tương thích cho đến khi có thể thêm vào.

Ví dụ về lập bản đồ chứng chỉ TLS đang sử dụng ứng dụng web mạng nội bộ IIS.

• Sau khi cài đặt các tùy chọn bảo vệ CVE-2022-26391 và CVE-2022-26923 , những trường hợp này sử dụng giao thức Dịch vụ Chứng chỉ Kerberos Dành cho Người dùng (S4U) để ánh xạ và xác thực chứng chỉ theo mặc định.

• Trong giao thức Kerberos Certificate S4U, yêu cầu xác thực di chuyển từ máy chủ ứng dụng đến bộ điều khiển miền, không phải từ máy khách đến bộ điều khiển miền. Vì vậy, các sự kiện có liên quan sẽ được trên máy chủ ứng dụng.

Khóa đăng ký này thay đổi chế độ thực thi của KDC sang chế độ Vô hiệu hóa, chế độ Tương thích hoặc chế độ Thực thi Đầy đủ.

Khóa đăng ký phụ	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Giá trị	StrongCertificateBindingEnforcement
Kiểu Dữ liệu	REG_DWORD
Dữ liệu	1 – Kiểm tra xem có ánh xạ chứng chỉ mạnh không. Nếu có, xác thực được cho phép. Nếu không, KDC sẽ kiểm tra xem chứng chỉ có phần mở rộng SID mới và xác thực phần mở rộng đó hay không. Nếu phần mở rộng này không có mặt, xác thực được cho phép nếu tài khoản người dùng trước chứng chỉ. 2 – Kiểm tra xem có ánh xạ chứng chỉ mạnh không. Nếu có, xác thực được cho phép. Nếu không, KDC sẽ kiểm tra xem chứng chỉ có phần mở rộng SID mới và xác thực phần mở rộng đó hay không. Nếu phần mở rộng này không xuất hiện, xác thực bị từ chối. 0 – Tắt kiểm tra ánh xạ chứng chỉ mạnh. Không được khuyến nghị vì thao tác này sẽ vô hiệu hóa tất cả các cải tiến bảo mật. Nếu bạn đặt thành 0, bạn cũng phải đặt CertificateMappingMethods thành 0x1F như được mô tả trong phần khóa đăng ký Schannel bên dưới để xác thực dựa trên chứng chỉ máy tính thành công..
Bắt buộc khởi động lại?	Không

Khi ứng dụng máy chủ yêu cầu xác thực máy khách, Schannel sẽ tự động tìm cách ánh xạ chứng chỉ mà máy khách TLS cung cấp cho tài khoản người dùng. Bạn có thể xác thực người dùng đăng nhập bằng chứng chỉ máy khách bằng cách tạo ánh xạ liên quan đến thông tin chứng chỉ với tài khoản người dùng Windows. Sau khi bạn tạo và bật ánh xạ chứng chỉ, mỗi khi máy khách trình bày chứng chỉ máy khách, ứng dụng máy chủ của bạn sẽ tự động liên kết người dùng đó với tài khoản người dùng Windows thích hợp.

Schannel sẽ cố gắng ánh xạ từng phương pháp ánh xạ chứng chỉ mà bạn đã bật cho đến khi một phương pháp ánh xạ thành công. Schannel cố gắng ánh xạ ánh xạ Service-For-User-To-Self (S4U2Self) trước tiên. Ánh xạ chứng chỉ Subject/Issuer, Issuer và UPN hiện được coi là yếu và bị vô hiệu hóa theo mặc định. Tổng bitmasked của các tùy chọn được chọn xác định danh sách các phương pháp lập bản đồ chứng chỉ có sẵn.

Khóa đăng ký SChannel mặc định là 0x1F và bây giờ đã được 0x18. Nếu bạn gặp lỗi xác thực với các ứng dụng máy chủ dựa trên Schannel, chúng tôi khuyên bạn nên thực hiện kiểm tra. Thêm hoặc sửa đổi giá trị khóa đăng ký CertificateMappingMethods trên bộ điều khiển miền và đặt thành 0x1F và xem liệu điều đó có khắc phục được sự cố không. Xem nhật ký sự kiện Hệ thống trên bộ kiểm soát miền để biết mọi lỗi được liệt kê trong bài viết này để biết thêm thông tin. Hãy nhớ rằng việc thay đổi giá trị khóa đăng ký SChannel về mặc định trước đó (0x1F) sẽ hoàn nguyên về việc sử dụng phương pháp ánh xạ chứng chỉ yếu.

Khóa đăng ký phụ	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Giá trị	CertificateMappingMethods
Kiểu Dữ liệu	DWORD
Dữ liệu	0x0001 - Ánh xạ chứng chỉ Chủ đề/Người phát hành (yếu – Bị vô hiệu hóa theo mặc định) 0x0002 - Phát hành bản đồ chứng chỉ (yếu – Bị vô hiệu hóa theo mặc định) 0x0004 - Ánh xạ chứng chỉ UPN (yếu – Bị vô hiệu hóa theo mặc định) 0x0008 - S4U2Self ánh xạ chứng chỉ (strong) 0x0010 - S4U2Hỗ lập bản đồ chứng chỉ rõ ràng (strong)
Bắt buộc khởi động lại?	Không

Để biết các tài nguyên và hỗ trợ bổ sung, hãy xem phần "Tài nguyên bổ sung".

Sau khi bạn cài đặt các bản cập nhật có địa chỉ CVE-2022-26931 và CVE-2022-26923, việc xác thực có thể không thành công trong trường hợp chứng chỉ người dùng cũ hơn thời gian tạo người dùng. Khóa đăng ký này cho phép xác thực thành công khi bạn đang sử dụng ánh xạ chứng chỉ yếu trong môi trường của bạn và thời gian chứng chỉ là trước thời gian tạo người dùng trong một phạm vi thiết lập. Khóa đăng ký này không ảnh hưởng đến người dùng hoặc máy có ánh xạ chứng chỉ mạnh, vì thời gian cấp chứng chỉ và thời gian tạo người dùng không được kiểm tra với ánh xạ chứng chỉ mạnh. Khóa đăng ký này không có bất kỳ hiệu ứng nào khi StrongCertificateBindingEnforcement được đặt thành 2.

Sử dụng khóa đăng ký này là giải pháp thay thế tạm thời cho các môi trường yêu cầu khóa đăng ký và phải được thực hiện thận trọng. Sử dụng khóa đăng ký này có nghĩa là những điều sau đây đối với môi trường của bạn:

• Khóa đăng ký này chỉ hoạt động trong chế độ Tương thích kể từ các bản cập nhật được phát hành vào ngày 10 tháng 5 năm 2022. Xác thực sẽ được phép trong khoảng bù bù lùi nhưng cảnh báo nhật ký sự kiện sẽ được ghi nhật ký để gắn kết yếu.

• Cho phép khóa đăng ký này cho phép xác thực người dùng khi thời gian chứng chỉ trước thời gian tạo người dùng trong phạm vi đặt làm ánh xạ yếu. Ánh xạ yếu sẽ không được hỗ trợ sau khi cài đặt các bản cập nhật cho Windows được phát hành vào ngày 11 tháng 2 năm 2025, tính năng này sẽ bật chế độ Thực thi Đầy đủ.

Khóa đăng ký phụ	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Giá trị	CertificateBackdatingCompensation
Kiểu Dữ liệu	REG_DWORD
Dữ liệu	Giá trị của giải pháp thay thế trong khoảng thời gian gần đây: 50 năm: 0x5E0C89C0 25 năm: 0x2EFE0780 10 năm: Học 0x12CC0300 5 năm: 0x9660180 3 năm: 0x5A39A80 1 năm: 0x1E13380 Lưu ý Nếu bạn biết thời hạn của chứng chỉ trong môi trường của bạn, hãy đặt khóa đăng ký này dài hơn một chút so với thời hạn chứng chỉ.  Nếu bạn không biết thời hạn chứng chỉ cho môi trường của bạn, hãy đặt khóa đăng ký này thành 50 năm. Mặc định là 10 phút khi khóa này không hiện diện, khớp với Dịch vụ Chứng chỉ Active Directory (ADCS). Giá trị tối đa là 50 năm (0x5E0C89C0). Khóa này đặt thời gian chênh lệch, tính bằng giây mà Trung tâm Phân phối Khóa (KDC) sẽ bỏ qua giữa thời gian phát hành chứng chỉ xác thực và thời gian tạo tài khoản cho tài khoản người dùng/máy. Quan trọng Chỉ đặt khóa đăng ký này nếu môi trường của bạn yêu cầu khóa. Việc sử dụng khóa đăng ký này sẽ tắt tính năng kiểm tra bảo mật.
Bắt buộc khởi động lại?	Không

Bạn chạy lệnh certutil sau để loại trừ chứng chỉ của mẫu người dùng nhận được phần mở rộng mới.

1. Đăng nhập vào máy chủ Certificate Authority hoặc máy khách đã tham gia miền Windows 10 người quản trị doanh nghiệp hoặc thông tin xác thực tương đương.

2. Mở dấu nhắc lệnh và chọn Chạy với tư cách người quản trị.

3. Chạy certutil -dstemplate người dùng msPKI-Enrollment-Flag +0x00080000. 

Việc tắt việc bổ sung phần mở rộng này sẽ xóa bảo vệ do phần mở rộng mới cung cấp. Hãy cân nhắc chỉ thực hiện việc này sau một trong các thao tác sau:

1. Bạn xác nhận rằng các chứng chỉ tương ứng không được chấp nhận đối với mã hóa khóa công cộng cho xác thực ban đầu (PKINIT) trong xác thực Kerberos Protocol tại KDC

2. Các chứng chỉ tương ứng có ánh xạ chứng chỉ mạnh khác được cấu hình

Các môi trường không có triển khai Microsoft CA sẽ không được bảo vệ bằng cách sử dụng phần mở rộng SID mới sau khi cài đặt bản cập nhật Windows ngày 10 tháng 5 năm 2022. Khách hàng bị ảnh hưởng nên làm việc với các nhà cung cấp CA tương ứng để giải quyết vấn đề này hoặc nên xem xét việc sử dụng các ánh xạ chứng chỉ mạnh mẽ khác được mô tả ở trên.

Để biết các tài nguyên và hỗ trợ bổ sung, hãy xem phần "Tài nguyên bổ sung".

Không, gia hạn là không bắt buộc. CA sẽ giao hàng trong chế độ Tương thích. Nếu bạn muốn ánh xạ mạnh bằng cách sử dụng phần mở rộng ObjectSID, bạn sẽ cần một chứng chỉ mới.