Регистър на промените
| Промяна на датата | Описание |
|---|---|
| 9/10/2025 | Коригирана е датата на режима на изпълнение от 10 септември 2025 г. на 9 септември 2025 г. |
| 9/8/2025 | Добави препратка към раздела "Допълнителни ресурси"... Реализиране на строго съпоставяне в сертификати на Intune. |
| 7/29/2025 | Добавен е "Известен проблем" под раздела "Отстраняване на неизправности"... Обект на групови правила може да пречи на "съпоставянията, базирани на име" |
| 10/24/2024 | Актуализиран текст за по-голяма яснота в стъпка 2 от раздела "Предприемане на действие" в описанието "Времева линия за актуализации на Windows" в "режим на пълно прилагане" и коригирана информация за датата в темите "Ключ от системния регистър на центъра за разпространение на ключове (KDC)" и "Ключ от системния регистър с обратна дата" в раздела "Информация за ключ от системния регистър". |
| 9/10/2024 | Променено описание на режима на пълно изпълнение в раздела "Времена за актуализации на Windows", за да отрази новите дати. На 11 февруари 2025 г. устройствата ще бъдат преместени в режим на изпълнение, но ще се остави поддръжката да се върне към режим на съвместимост. Пълната поддръжка на ключове от системния регистър ще приключи на 9 септември 2025 г. |
| 7/5/2024 | Добавена информация за разширение на SID към ключа от системния регистър на центъра за разпределение на ключове (KDC) в секцията "Информация за ключа от системния регистър". |
| 10/10/2023 г. | Добави информация за промените по подразбиране за строги съпоставяния под "Времева линия за Актуализации на Windows" |
| 6/30/2023 | Променена дата на режима на пълно изпълнение от 14 ноември 2023 г. на 11 февруари 2025 г. (тези дати преди това бяха посочени като 19 май 2023 г. до 14 ноември 2023 г.). |
| 1/26/2023 | Променено премахване на дезактивиран режим от 14 февруари 2023 г. на 11 април 2023 г. |
Обобщение
CVE-2022-34691,CVE-2022-26931 и CVE-2022-26923 адресират уязвимост в повишаване на привилегиите, която може да възникне, когато центърът за придобиване на ключове на Kerberos (KDC) обслужва заявка за удостоверяване, базирана на сертификат. Преди актуализацията на защитата от 10 май 2022 г. удостоверяването, базирано на сертификат, нямаше да отчита знак за долар ($) в края на име на машина. Това позволи свързани сертификати да бъдат емулирани (подправени) по различни начини. Освен това конфликтите между основните потребителски имена (UPN) и sAMAccountName доведоха до други уязвимости при емулация (неправомерна смяна на самоличност), които също адресираме с тази актуализация на защитата.
Предприемане на действие
За да защитите своята среда, изпълнете следните стъпки за удостоверяване въз основа на сертификат:
- Актуализирайте всички сървъри, които изпълняват сертификат на Active Directory Services, и домейнови контролери на Windows, които обслужват удостоверяване, базирано на сертификат, с актуализацията от 10 май 20202 г. (вижте режима на съвместимост). Актуализацията от 10 май 2022 г. ще предостави събития за одит , които идентифицират сертификати, които не са съвместими с режима на пълно прилагане.
- Ако в продължение на един месец след инсталирането на актуализацията не се създават регистри на събитията за проверка на домейновите контролери, продължете с разрешаване на режима на пълно прилагане на всички домейнови контролери. До февруари 2025 г., ако ключът от системния регистър StrongCertificateBindingEnforcement не е конфигуриран, домейновите контролери ще се преместят в режим на пълно прилагане. В противен случай настройката за режим на съвместимост на ключовете от системния регистър ще продължи да се спазва. В режим на пълно прилагане, ако сертификатът не отговаря на строги (защитени) критерии за съпоставяне (вж. Съпоставяния на сертификати), удостоверяването ще бъде отказано. Въпреки това опцията за връщане към режим на съвместимост ще остане до инсталирането на актуализацията на защитата на Windows от 9 септември 2025 г.
Събития за проверка
Актуализацията на Windows от 10 май 2022 г. добавя следните регистри на събитията.
Без строго нанасяне
Не можаха да се намерят сигурни съпоставяния на сертификати и сертификатът нямаше новото разширение на идентификатора за защита (SID), което KDC може да провери.
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Предупреждение, ако KDC е в режим на съвместимост Грешка, ако KDC е в режим на изпълнение |
| Източник на събитие | Kdcsvc |
| ИД на събитие | 39 41 (за Windows Server 2008 R2 SP1 и Windows Server 2008 SP2) |
| Текст на събитие | Центърът за разпределение на ключове (KDC) се натъкна на потребителски сертификат, който е валиден, но не може да бъде нанесен с потребителя по сигурен начин (като например чрез изрично съпоставяне, съответствие на доверие на ключ или SID). Тези сертификати трябва да бъдат заменени или нанесени директно на потребителя чрез изрично съпоставяне. Вижте https://go.microsoft.com/fwlink/?linkid=2189925, за да научите повече. Потребител: <основно име> Тема на сертификата: <Име на тема в сертификат> Издател на сертификата: <Потребителски домейн в пълен вид (FQDN) на издателя> Сериен номер на сертификата: <Сериен номер на сертификата> Пръстов отпечатък на сертификат: <Пръстов отпечатък на сертификат> |
Сертификатът предхожда акаунта
Сертификатът е издаден на потребителя, преди потребителят да е съществувал в Active Directory, и не е могло да се намери строго съпоставяне. Това събитие се регистрира само когато KDC е в режим на съвместимост.
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Грешка |
| Източник на събитие | Kdcsvc |
| ИД на събитие | 40 48 (За Windows Server 2008 R2 SP1 и Windows Server 2008 SP2 |
| Текст на събитие | Центърът за разпределение на ключове (KDC) се натъкна на потребителски сертификат, който е валиден, но не може да бъде нанесен с потребителя по сигурен начин (като например чрез изрично съпоставяне, съответствие на доверие на ключ или SID). Сертификатът също така предхожда потребителя, с когото е нанесен, така че е отхвърлен. Вижте https://go.microsoft.com/fwlink/?linkid=2189925, за да научите повече. Потребител: <основно име> Тема на сертификата: <Име на тема в сертификат> Издател на сертификата: <FQDN на издателя> Сериен номер на сертификата: <Сериен номер на сертификата> Пръстов отпечатък на сертификат: <Пръстов отпечатък на сертификат> Време на издаване на сертификата: <FILETIME на сертификата> Време за създаване на акаунт: <FILETIME на основния обект в AD> |
Потребителски SID не съвпада със сертификата SID
SID, съдържащ се в новото разширение на сертификата за потребител, не съответства на SID на потребителя, което означава, че сертификатът е издаден на друг потребител.
| Регистър на събитията | Система |
|---|---|
| Тип събитие | Грешка |
| Източник на събитие | Kdcsvc |
| ИД на събитие | 41 49 (за Windows Server 2008 R2 SP1 и Windows Server 2008 SP2) |
| Текст на събитие | Центърът за разпределение на ключове (KDC) се натъкна на потребителски сертификат, който е валиден, но съдържа различен SID от този, с който е съпоставен. В резултат на това заявката, включваща сертификата, е неуспешна. Вижте https://go.microsoft.cm/fwlink/?linkid=2189925, за да научите повече. Потребител: <основно име> Потребителски SID: <SID на удостоверяващия главен субект> Тема на сертификата: <Име на тема в сертификат> Издател на сертификата: <FQDN на издателя> Сериен номер на сертификата: <Сериен номер на сертификата> Пръстов отпечатък на сертификат: <Пръстов отпечатък на сертификат> SID на сертификата: <SID намерен в новото разширение на сертификата> |
Съпоставяния на сертификати
Домейновите администратори могат ръчно да съпоставят сертификати към потребител в Active Directory, като използват атрибута altSecurityIdentities на потребителския обект. Има шест поддържани стойности за този атрибут, като три съпоставяния се считат за слаби (несигурни), а другите три се считат за силни. Като правило, типовете съпоставяния се считат за силни, ако се базират на идентификатори, които не можете да използвате повторно. Следователно всички типове съпоставяния, базирани на потребителски имена и имейл адреси, се считат за слаби.
| Съпоставяне | НАПРИМЕР: | Тип | Забележки |
|---|---|---|---|
| X509IssuerSubject | "X509:<I>IssuerName<S>SubjectName" | Слаб | |
| X509SubjectOnly | "X509:<S>SubjectName" | Слаб | |
| X509RFC822 | "X509:<RFC822>user@contoso.com" | Слаб | Имейл адрес |
| X509IssuerSerialNumber | "X509:<I>IssuerName<SR>1234567890" | Силен | Препоръчани |
| X509SKI | "X509:<SKI>123456789abcdef" | Силен | |
| X509SHA1PublicKey | "X509:<SHA1-PUKEY>123456789abcdef" | Силен |
Ако клиентите не могат да преиздават сертификати с новото разширение на SID, ви препоръчваме да създадете ръчно съпоставяне, като използвате едно от категоричните съпоставяния, описани по-горе. Можете да направите това, като добавите съответния низ за нанасяне към атрибута altSecurityIdentities на потребители в Active Directory.
Ръчно съпоставяне на сертификати
Забележка Някои полета, като например издател, тема и сериен номер, се отчитат в формат "напред". Трябва да обърнете този формат, когато добавяте низа за нанасяне към атрибута altSecurityIdentities . Например за да добавите съпоставянето X509IssuerSerialNumber за даден потребител, потърсете в полетата "Издател" и "Сериен номер" на сертификата, който искате да съпоставите с потребителя. Вижте примерния резултат по-долу.
- Издател: CN=CONTOSO-DC-CA, DC=contoso, DC=com
- Сериен номер: 2B000000011AC000000012
След това актуализирайте атрибута altSecurityIdentities на потребителя в Active Directory със следния низ:
- "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"
За да актуализирате този атрибут с помощта на Powershell, можете да използвате командата по-долу. Имайте предвид, че по подразбиране само администраторите на домейна имат разрешение за актуализиране на този атрибут.
- set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Обърнете внимание, че когато обръщате SerialNumber, трябва да запазите поредността на байтовете. Това означава, че обръщането на поредния номер "A1B2C3" би трябвало да доведе до низа "C3B2A1", а не "3C2B1A". За повече информация вижте HowTo: Съпоставяне на потребител със сертификат чрез всички методи, налични в атрибута altSecurityIdentities.
Времева линия за актуализации на Windows
Важно Фазата на активиране започва с актуализациите от 11 април 2023 г. за Windows, които ще игнорират настройката на ключа на системния регистър за дезактивиран режим.
Режим на съвместимост
След като инсталирате актуализациите на Windows от 10 май 2022 г., устройствата ще бъдат в режим на съвместимост. Ако даден сертификат може да бъде точно свързан с даден потребител, удостоверяването ще бъде извършено по очаквания начин. Ако даден сертификат може да бъде съпоставен само слабо към потребител, удостоверяването ще бъде извършено по очаквания начин. Ще бъде регистрирано обаче предупредително съобщение, освен ако сертификатът не е по-стар от потребителя. Ако сертификатът е по-стар от потребителя и ключът от системния регистър "Сертификат за обратна дата" не е наличен или диапазонът е извън компенсацията за задна дата, удостоверяването ще бъде неуспешно и ще се появи съобщение за грешка. Ако ключът от системния регистър "Сертификат за обратна дата" е конфигуриран, той ще регистрира предупредително съобщение в регистъра на събитията, ако датите попадат в рамките на компенсацията за задна дата.
След като инсталирате актуализациите на Windows от 10 май 2022 г., внимавайте за предупредителни съобщения, които може да се появят след месец или повече. Ако няма предупредителни съобщения, настоятелно ви препоръчваме да разрешите режима на пълно прилагане на всички домейнови контролери, използвайки удостоверяване, базирано на сертификат. Можете да използвате ключа от системния регистър KDC , за да разрешите режима на пълно прилагане.
Режим на пълно прилагане
Освен ако не са актуализирани в режим на проверка или режим на прилагане с помощта на ключа от системния регистър StrongCertificateBindingEnforcement по-рано, домейновите контролери ще се преместят в режим на пълно прилагане, когато се инсталира актуализацията на защитата на Windows от февруари 2025 г. Удостоверяването ще бъде отказано, ако сертификатът не може да бъде точно нанесен. Опцията за връщане към режим на съвместимост ще остане до инсталирането на актуализацията на защитата на Windows от 9 септември 2025 г. След тази дата ключът от системния регистър StrongCertificateBindingEnforcement вече няма да се поддържа
Дезактивиран режим
Ако удостоверяването, базирано на сертификат, разчита на слабо съпоставяне, което не можете да преместите извън средата, можете да поставите домейновите контролери в дезактивиран режим с помощта на настройка за ключ от системния регистър. Microsoft не препоръчва това и ще премахнем дезактивирания режим на 11 април 2023 г.
Промените по подразбиране за строго съпоставяне
След като сте инсталирали актуализациите на Windows от 13 февруари 2024 г. или по-нови версии и сте поддържали клиенти с инсталирана опционална функция RSAT, съпоставянето на сертификати в потребители на Active Directory & компютри по подразбиране ще избира силно съпоставяне с помощта на X509IssuerSerialNumber вместо слабо съпоставяне с помощта на X509IssuerSubject. Настройката все още може да бъде променена по желание.
Отстраняване на неизправности
Обект на групови правила може да пречи на "съпоставянията, базирани на име"
Симптоми
Microsoft получи отчети, че настройката "Обработка дори ако обектите на групови правила не са променени" в обекта на групови правила "Системни групови правила за конфигуриране>>>на административни шаблони за конфигурация на системния регистър Конфигуриране на обработката на правилата на системния регистър>" може периодично да причинява смущения с базирани на имена съответствия на домейнови контролери.
Заобиколно решение
За да заобиколите този проблем, забранете настройката "Обработка дори ако обектите на групови правила не са променени" на домейновите контролери. Направете това само ако са необходими съпоставяния, базирани на име, както е дефинирано в групови правила "Система за конфигуриране>>> накомпютър KDC>позволяване на базирани на имена строги съпоставяния за сертификати". За повече информация вижте "Разрешаване на строго съпоставяне, базирано на имена", в сценарии за държавни организации.
Следваща стъпка
Проучваме тези отчети и ще предоставим повече информация, когато тя бъде налична.
Неуспешно влизане след инсталиране на защити на CVE-2022-26931 и CVE-2022-26923
- Използвайте оперативния регистрационен файл на Kerberos на съответния компютър, за да определите кой домейнов контролер не успява да влезе. Отидете въвВизуализатор на събитияРегистрационни>файлове за приложения и услуги Microsoft\ \Windows\Security-Kerberos\Operational.
- Потърсете съответните събития в регистъра на системните събития в домейновия контролер, за който акаунтът се опитва да удостовери.
- Ако сертификатът е по-стар от акаунта, преиздайте сертификата или добавете защитено съпоставяне на altSecurityIdentities към акаунта (вж. Съпоставяния на сертификати).
- Ако сертификатът съдържа разширение на SID, проверете дали SID съответства на акаунта.
- Ако сертификатът се използва за удостоверяване на няколко различни акаунта, всеки акаунт ще трябва да има отделно съпоставяне на altSecurityIdentities .
- Ако сертификатът няма защитено съпоставяне с акаунта, добавете такова или оставете домейна в режим на съвместимост, докато не може да бъде добавен такъв.
Отказ при удостоверяване чрез нанасяне на сертификат на защита на транспортния слой (TLS)
Пример за нанасяне на TLS сертификат е използването на IIS интранет уеб приложение.
- След инсталиране на защити на CVE-2022-26391 и CVE-2022-26923 , тези сценарии използват протокола Kerberos Certificate Service For User (S4U) за съпоставяне и удостоверяване на сертификати по подразбиране.
- В протокола S4U за сертификат на Kerberos заявката за удостоверяване тече от сървъра на приложението към домейновия контролер, а не от клиента към домейновия контролер. Следователно съответните събития ще бъдат на сървъра за приложения.
Информация за ключа от системния регистър
След инсталиране на защити за CVE-2022-26931 и CVE-2022-26923 в актуализациите на Windows, издадени между 10 май 2022 г. и 9 септември 2025 г. или по-късно, са налични следните ключове от системния регистър.
Ключ от системния регистър на центъра за даване на ключове (KDC)
Този ключ от системния регистър няма да се поддържа след инсталиране на актуализации за Windows, издадени на или след септември 2025 г.
Забележка
Важно
Използването на този ключ от системния регистър е временно заобиколно решение за среди, които го изискват, и трябва да се прави с повишено внимание. Използването на този ключ от системния регистър означава следното за вашата среда:
Този ключ от системния регистър работи само в режим на съвместимост , започвайки с актуализации, издадени на 10 май 2022 г.
Този ключ от системния регистър няма да се поддържа след инсталирането на актуализациите за Windows, издадени на 9 септември 2025 г.
Откриването и проверката на разширения на SID, използвани от строгото прилагане на обвързване на сертификат, зависи от стойността UseSubjectAltName на ключа от системния регистър на KDC. Разширението на SID ще се използва, ако стойността в системния регистър не съществува или ако стойността е зададена на стойност 0x1. Разширението SID няма да се използва, ако съществува UseSubjectAltName и стойността е зададена на 0x0.
| Подключ на системния регистър | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Стойност | StrongCertificateBindingEnforcement |
| Тип данни | REG_DWORD |
| Данни | 1 – Проверява дали има сигурно съпоставяне на сертификата. Ако това е така, удостоверяването е разрешено. В противен случай KDC ще провери дали сертификатът има новото разширение на SID и ще го провери. Ако това разширение не е налице, удостоверяването е разрешено, ако потребителският акаунт е преди сертификата. 2 – Проверява дали има сигурно съпоставяне на сертификата. Ако това е така, удостоверяването е разрешено. В противен случай KDC ще провери дали сертификатът има новото разширение на SID и ще го провери. Ако това разширение не е налице, удостоверяването е отказано. 0 – Забранява сигурна проверка за съпоставяне на сертификати. Не е препоръчително, тъй като това ще забрани всички подобрения на защитата. Ако зададете това на 0, трябва също да зададете CertificateMappingMethods на 0x1F, както е описано в раздела за ключове от системния регистър Schannel по-долу, за да успее удостоверяването, базирано на компютърен сертификат. |
| Изисква се рестартиране? | Не |
Ключ от системния регистър на SChannel
Когато сървърно приложение изисква удостоверяване на клиента, Schannel автоматично се опитва да съпостави сертификата, който TLS клиентът доставя към потребителски акаунт. Можете да удостоверявате потребителите, които влизат със сертификат на клиент, като създадете съпоставяния, които свързват информацията от сертификата с потребителски акаунт за Windows. След като създадете и разрешите съпоставяне на сертификат, всеки път, когато клиентът представя сертификат на клиент, приложението на вашия сървър автоматично свързва този потребител със съответния потребителски акаунт за Windows.
Schannel ще се опитва да нанесе всеки метод за съпоставяне на сертификати, който сте активирали, докато един от тях не успее. Schannel се опитва да нанесе първо съпоставянията "Услуга за потребител към себе си" (S4U2Self). Съпоставянията на сертификати "Тема/издател", "Издател" и "UPN" сертификати сега се считат за слаби и са забранени по подразбиране. Побитовата сума на избраните опции определя списъка с наличните методи за съпоставяне на сертификати.
Ключът от системния регистър на SChannel по подразбиране беше 0x1F и сега е 0x18. Ако имате неуспешни удостоверявания със сървърни приложения, базирани на Schannel, предлагаме да извършите тест. Добавете или модифицирайте стойността на ключа от системния регистър CertificateMappingMethods на домейновия контролер и я задайте на 0x1F и вижте дали това решава проблема. Погледнете в регистрите на системните събития в домейновия контролер за грешки, изброени в тази статия, за повече информация. Имайте предвид, че връщането на стойността на ключа от системния регистър на SChannel към предишното ниво по подразбиране (0x1F) ще се върне към използване на слаби методи за съпоставяне на сертификати.
| Подключ на системния регистър | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
|---|---|
| Стойност | CertificateMappingMethods |
| Тип данни | DWORD |
| Данни | 0x0001 – Съпоставяне на сертификата за тема/издател (слабо – забранено по подразбиране) 0x0002 – Съпоставяне на сертификата на издателя (слабо – забранено по подразбиране) 0x0004 – Съпоставяне на UPN сертификат (слабо – забранено по подразбиране) 0x0008 - Съпоставяне на S4U2Self сертификат (силно) 0x0010 - S4U2Self явно нанасяне на сертификат (силно) |
| Изисква се рестартиране? | Не |
За допълнителни ресурси и поддръжка вижте раздела "Допълнителни ресурси".
Сертификат Ключ от системния регистър за задна дата
След като инсталирате актуализации, които се адресират CVE-2022-26931 и CVE-2022-26923, удостоверяването може да е неуспешно в случаите, когато потребителските сертификати са по-стари от времето на създаване на потребителите. Този ключ от системния регистър позволява успешно удостоверяване, когато използвате слаби съпоставяния на сертификати във вашата среда и времето за сертификата е преди времето за създаване на потребителя в зададен диапазон. Този ключ от системния регистър не засяга потребителите или машините със сигурни съпоставяния на сертификати, тъй като времето на сертификата и времето на създаване на потребителя не се проверяват със сигурни съпоставяния на сертификати. Този ключ от системния регистър няма ефект, когато StrongCertificateBindingEnforcement е настроен на 2.
Използването на този ключ от системния регистър е временно заобиколно решение за среди, които го изискват, и трябва да се прави с повишено внимание. Използването на този ключ от системния регистър означава следното за вашата среда:
- Този ключ от системния регистър работи само в режим на съвместимост , започвайки с актуализации, издадени на 10 май 2022 г. Удостоверяването ще бъде разрешено в рамките на отместването на компенсацията със задна дата, но за слабото обвързване ще бъде регистрирано предупреждение в регистъра на събитията.
- Разрешаването на този ключ от системния регистър позволява удостоверяване на потребителя, когато времето за сертификата е преди времето за създаване на потребителя в зададен диапазон като слабо съпоставяне. Слабите съпоставяния няма да се поддържат след инсталиране на актуализации за Windows, издадени на или след септември 2025 г.
| Подключ на системния регистър | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Стойност | СертификатОбратно датиранеКомпенсация |
| Тип данни | REG_DWORD |
| Данни | Стойности за заобиколно решение в приблизителни години:
Този клавиш задава времевата разлика в секунди, която центърът за разпределение на ключове (KDC) ще игнорира между времето на издаване на сертификат за удостоверяване и времето на създаване на акаунт за акаунтите потребител/машина. Важно Задайте този ключ от системния регистър само ако вашата среда го изисква. Използването на този ключ от системния регистър забранява проверка за защита. |
| Изисква се рестартиране? | Не |
Корпоративни сертифициращи органи
Корпоративните сертифициращи органи (CA) ще започнат да добавят ново некритично разширение с идентификатор на обект (OID) (1.3.6.1.4.1.311.25.2) по подразбиране във всички сертификати, издадени срещу онлайн шаблони, след като инсталирате актуализацията на Windows от 10 май 2022 г. Можете да спрете добавянето на това разширение, като зададете 0x00080000 бита в стойността msPKI-Enrollment-Flag на съответния шаблон.
Пример:
Изпълнявате следната команда certutil , за да изключите сертификати за потребителския шаблон от получаването на новото разширение.
- Влезте в сървър на сертифициращ орган или присъединен към домейн клиент на Windows 10 с корпоративен администратор или еквивалентни идентификационни данни.
- Отворете командния прозорец и изберете " Изпълнение като администратор".
- Run certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Забраняването на добавянето на това разширение ще премахне защитата, предоставена от новото разширение. Направете това само след едно от следните неща:
- Потвърждавате, че съответните сертификати не са приемливи за удостоверяване с шифроване с публичен ключ за първоначално удостоверяване (PKINIT) в протокола Kerberos в KDC
- Съответните сертификати имат други конфигурирани съпоставяния на сигурни сертификати
Среди, които имат внедрявания на CA, които не са на Microsoft, няма да бъдат защитени с помощта на новото разширение на SID след инсталиране на актуализацията на Windows от 10 май 2022 г. Засегнатите клиенти трябва да работят със съответните доставчици на CA, за да се справят с това, или трябва да обмислят използването на други сигурни съпоставяния на сертификати, описани по-горе.
За допълнителни ресурси и поддръжка вижте раздела "Допълнителни ресурси".
Често задавани въпроси
След като CA бъде актуализиран, трябва ли да се подновят всички сертификати за удостоверяване на клиента?
Не, не се изисква подновяване. CA ще се доставя в режим на съвместимост. Ако искате строго съпоставяне с помощта на разширението ObjectSID, ще ви трябва нов сертификат.
Как режимът на пълно прилагане ще повлияе на моята среда?
В актуализацията на Windows от 11 февруари 2025 г. устройства, които все още не са в приложение (стойността на регистъра StrongCertificateBindingEnforcement е зададена на 2), ще бъдат преместени в приложение. Ако удостоверяването е отказано, ще видите ИД на събитие 39 (или ИД на събитие 41 за Windows Server 2008 R2 SP1 и Windows Server 2008 SP2). На този етап ще имате възможност да зададете стойността на ключа от системния регистър обратно на 1 (режим на съвместимост).
В актуализацията на Windows от 9 септември 2025 г. стойността на регистъра StrongCertificateBindingEnforcement вече няма да се поддържа.
Допълнителни ресурси
За повече информация относно съпоставянето на сертификат на TLS клиент вижте следните статии:
- Реализиране на строго съпоставяне в сертификати на Intune
- Настройки на системния регистър на защитата на транспортния слой (TLS)
- Удостоверяване за съпоставяне <на сертификат на IIS клиент iisClientCertificateMappingAuthentication>
- Конфигуриране на съпоставяния на сертификати за клиент "един към един"
- Съпоставяния "много към един" <manyToOneMappings>
- Защита на инфраструктурата с публичен ключ (PKI)
- Сертификатни услуги на Active Directory: Корпоративна CA архитектура