KB5014754 – Certifikatbaserede godkendelsesændringer på Windows-domænecontrollere

Der blev ikke fundet stærke certifikattilknytninger, og certifikatet havde ikke den nye sid-udvidelse (Security Identifier), som KDC kunne validere.

Hændelseslog	System
Hændelsestype	Advarsel, hvis KDC er i kompatibilitetstilstand Fejl, hvis KDC er i gennemtvingelsestilstand
Hændelseskilde	Kdcsvc
Hændelses-id	39 41 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2)
Hændelsestekst	Nøgledistributionscenteret (KDC) fandt et brugercertifikat, der var gyldigt, men som ikke kunne knyttes til en bruger på en stærk måde (f.eks. via eksplicit tilknytning, tilknytning af nøgletillidsforhold eller et SID). Sådanne certifikater skal enten erstattes eller knyttes direkte til brugeren via eksplicit tilknytning. Se https://go.microsoft.com/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <fulde domænenavn (FQDN) > Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat>

Certifikatet blev udstedt til brugeren, før brugeren eksisterede i Active Directory, og der blev ikke fundet nogen stærk tilknytning. Hændelsen logføres kun, når KDC er i kompatibilitetstilstand.

Hændelseslog	System
Hændelsestype	Fejl
Hændelseskilde	Kdcsvc
Hændelses-id	40 48 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2
Hændelsestekst	Nøgledistributionscenteret (KDC) fandt et brugercertifikat, der var gyldigt, men som ikke kunne knyttes til en bruger på en stærk måde (f.eks. via eksplicit tilknytning, tilknytning af nøgletillidsforhold eller et SID). Certifikatet overgik også den bruger, det var tilknyttet, så det blev afvist. Se https://go.microsoft.com/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <FQDN-> Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat> Udstedelsestidspunkt for certifikat: <FILETIME for certifikat> Kontooprettelsestidspunkt: <FILETIME for hovedobjektet i AD->

Sid'et i den nye udvidelse af brugercertifikatet stemmer ikke overens med brugernes SID, hvilket indebærer, at certifikatet er udstedt til en anden bruger.

Hændelseslog	System
Hændelsestype	Fejl
Hændelseskilde	Kdcsvc
Hændelses-id	41 49 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2)
Hændelsestekst	Nøgledistributionscentret (KDC) fandt et brugercertifikat, der var gyldigt, men som indeholdt et andet SID end den bruger, det er tilknyttet. Derfor mislykkedes anmodningen om certifikatet. Se https://go.microsoft.cm/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Bruger-SID: <SID for den godkendende hovedstols> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <FQDN-> Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat> Certifikat-SID: <SID fundet i den nye> certifikatudvidelse

Bemærk Visse felter, f.eks. Udsteder, Emne og Serienummer, rapporteres i formatet "fremad". Du skal fortryde dette format, når du føjer tilknytningsstrengen til attributten altSecurityIdentities . Hvis du f.eks. vil føje tilknytningen X509IssuerSerialNumber til en bruger, skal du søge i felterne "Udsteder" og "Serienummer" for det certifikat, du vil knytte til brugeren. Se eksempeloutputtet nedenfor.

• Udsteder: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Serienummer: 2B0000000011AC0000000012

Opdater derefter brugerens attribut for altSecurityIdentities i Active Directory med følgende streng:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Hvis du vil opdatere denne attribut ved hjælp af Powershell, kan du bruge kommandoen nedenfor. Husk, at det som standard kun er domæneadministratorer, der har tilladelse til at opdatere denne attribut.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Bemærk, at når du vender serienummeret om, skal du beholde byterækkefølgen. Det betyder, at vending af serienummeret "A1B2C3" skal resultere i strengen "C3B2A1" og ikke "3C2B1A". Du kan få mere at vide under HowTo: Knytte en bruger til et certifikat via alle de metoder, der er tilgængelige i attributten altSecurityIdentities.

Når du har installeret Windows-opdateringerne fra d. 10. maj 2022, er enhederne i kompatibilitetstilstand. Hvis et certifikat kan knyttes kraftigt til en bruger, udføres godkendelsen som forventet. Hvis et certifikat kun kan knyttes svagt til en bruger, udføres godkendelsen som forventet. Der logføres dog en advarselsmeddelelse, medmindre certifikatet er ældre end brugeren. Hvis certifikatet er ældre end brugeren, og registreringsdatabasenøglen til sikkerhedskopiering af certifikat ikke er til stede, eller området er uden for den backdating-kompensation, mislykkes godkendelsen, og der logføres en fejlmeddelelse.  Hvis registreringsdatabasenøglen til sikkerhedskopiering af certifikat er konfigureret, logføres der en advarselsmeddelelse i hændelsesloggen, hvis datoerne falder inden for kompensationen for tilbageførte certifikater.

Når du har installeret Windows-opdateringerne fra d. 10. maj 2022, skal du se efter eventuelle advarsler, der vises efter en måned eller mere. Hvis der ikke er nogen advarsler, anbefaler vi på det kraftigste, at du aktiverer fuld gennemtvingelsestilstand på alle domænecontrollere ved hjælp af certifikatbaseret godkendelse. Du kan bruge KDC-registreringsdatabasenøglen til at aktivere fuld gennemtvingelsestilstand.

Medmindre det er opdateret til denne tilstand tidligere, opdaterer vi alle enheder til fuld gennemtvingelsestilstand senest d. 11. februar 2025 eller nyere. Hvis et certifikat ikke kan tilknyttes kraftigt, nægtes godkendelse.

Hvis certifikatbaseret godkendelse afhænger af en svag tilknytning, som du ikke kan flytte fra miljøet, kan du placere domænecontrollere i deaktiveret tilstand ved hjælp af en indstilling for en registreringsdatabasenøgle. Microsoft anbefaler ikke dette, og vi fjerner deaktiveret tilstand d. 11. april 2023.

Når du har installeret Windows-opdateringerne fra d. 13. februar 2024 eller nyere på Server 2019 og nyere og understøttede klienter med den valgfri RSAT-funktion installeret, vil certifikattilknytningen i Active Directory-brugere & Computere som standard vælge stærk tilknytning ved hjælp af X509IssuerSerialNumber i stedet for svag tilknytning ved hjælp af X509IssuerSubject. Indstillingen kan stadig ændres efter behov.

• Brug Kerberos Operational-loggen på den relevante computer til at afgøre, hvilken domænecontroller der ikke kan logge på. Gå til Logbog > programmer og tjenester logs\Microsoft \Windows\Security-Kerberos\Operational.

• Se efter relevante hændelser i systemhændelsesloggen på den domænecontroller, som kontoen forsøger at godkende mod.

• Hvis certifikatet er ældre end kontoen, skal du genudsende certifikatet eller tilføje en sikker tilknytning af altSecurityIdentities til kontoen (se Certifikattilknytninger).

• Hvis certifikatet indeholder en SID-udvidelse, skal du kontrollere, at SID'et svarer til kontoen.

• Hvis certifikatet bruges til at godkende flere forskellige konti, skal hver konto have en separat altSecurityIdentities-tilknytning .

• Hvis certifikatet ikke har en sikker tilknytning til kontoen, skal du tilføje et eller forlade domænet i kompatibilitetstilstand, indtil der kan tilføjes et.

Et eksempel på TLS-certifikattilknytning er at bruge et IIS intranet-webprogram.

• Når du har installeret BESKYTTELSE af CVE-2022-26391 og CVE-2022-26923 , bruger disse scenarier som standard Kerberos Certificate Service For User-protokollen (S4U) til certifikattilknytning og godkendelse.

• I Kerberos Certificate S4U-protokollen flyder godkendelsesanmodningen fra programserveren til domænecontrolleren, ikke fra klienten til domænecontrolleren. Derfor vil relevante hændelser være på programserveren.

Denne registreringsdatabasenøgle ændrer gennemtvingelsestilstanden for KDC til deaktiveret tilstand, kompatibilitetstilstand eller fuld gennemtvingelsestilstand.

Undernøgle i registreringsdatabasen	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Værdi	StrongCertificateBindingEnforcement
Datatype	REG_DWORD
Data	1 – Kontrollerer, om der er en stærk certifikattilknytning. Hvis ja, er godkendelse tilladt. Ellers kontrollerer KDC, om certifikatet har den nye SID-udvidelse, og validerer det. Hvis denne udvidelse ikke er til stede, tillades godkendelse, hvis brugerkontoen er før certifikatet. 2 – Kontrollerer, om der er en stærk certifikattilknytning. Hvis ja, er godkendelse tilladt. Ellers kontrollerer KDC, om certifikatet har den nye SID-udvidelse, og validerer det. Hvis denne udvidelse ikke findes, nægtes godkendelse. 0 – Deaktiverer kontrol af stærk certifikattilknytning. Anbefales ikke, fordi dette deaktiverer alle sikkerhedsforbedringer. Hvis du angiver dette til 0, skal du også angive CertificateMappingMethods til 0x1F som beskrevet i afsnittet Schannel-registreringsdatabasenøgle nedenfor, for at computercertifikatbaseret godkendelse kan lykkes.
Genstart Påkrævet?	Nej

Når et serverprogram kræver klientgodkendelse, forsøger Schannel automatisk at tilknytte det certifikat, som TLS-klienten leverer til en brugerkonto. Du kan godkende brugere, der logger på med et klientcertifikat, ved at oprette tilknytninger, der relaterer certifikatoplysningerne til en Windows-brugerkonto. Når du har oprettet og aktiveret en certifikattilknytning, knytter serverprogrammet automatisk den pågældende bruger til den relevante Windows-brugerkonto, hver gang en klient præsenterer et klientcertifikat.

Schannel forsøger at tilknytte hver certifikattilknytningsmetode, du har aktiveret, indtil det lykkes. Schannel forsøger først at tilknytte S4U2Self-tilknytningerne (Service-For-User-To-Self). Emne-/udsteder-, udsteder- og UPN-certifikattilknytninger betragtes nu som svage og er som standard deaktiveret. Bitmasked summen af de valgte indstillinger bestemmer listen over tilgængelige certifikattilknytningsmetoder.

Registreringsdatabasenøglen SChannel blev 0x1F og er nu 0x18. Hvis du oplever godkendelsesfejl med Schannel-baserede serverprogrammer, anbefaler vi, at du udfører en test. Tilføj eller rediger nøgleværdien CertificateMappingMethods i registreringsdatabasen på domænecontrolleren, og indstil den til 0x1F og se, om det løser problemet. Se i systemhændelseslogfilerne på domænecontrolleren efter eventuelle fejl, der er angivet i denne artikel for at få flere oplysninger. Husk, at hvis du ændrer registreringsdatabasenøgleværdien SChannel tilbage til den tidligere standardværdi (0x1F), ændres den tilbage til at bruge svage metoder til certifikattilknytning.

Undernøgle i registreringsdatabasen	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Værdi	CertificateMappingMethods
Datatype	DWORD
Data	0x0001 – Tilknytning af emne/udstedercertifikat (svag – deaktiveret som standard) 0x0002 – Tilknytning af udstedercertifikat (svag – Deaktiveret som standard) 0x0004 – UPN-certifikattilknytning (svag – deaktiveret som standard) 0x0008 – S4U2Selv certifikattilknytning (stærk) 0x0010 – S4U2Selv eksplicit certifikattilknytning (stærk)
Genstart Påkrævet?	Nej

Du kan finde flere ressourcer og support i afsnittet "Yderligere ressourcer".

Når du har installeret opdateringer, som adresserer CVE-2022-26931 og CVE-2022-26923, kan godkendelse mislykkes i tilfælde, hvor brugercertifikaterne er ældre end brugernes oprettelsestid. Denne registreringsdatabasenøgle giver mulighed for vellykket godkendelse, når du bruger svage certifikattilknytninger i dit miljø, og certifikattiden er før brugeroprettelsestiden inden for et angivet område. Denne registreringsdatabasenøgle påvirker ikke brugere eller computere med stærke certifikattilknytninger, da certifikattid og tid til oprettelse af brugere ikke kontrolleres med stærke certifikattilknytninger. Denne registreringsdatabasenøgle har ingen effekt, når StrongCertificateBindingEnforcement er indstillet til 2.

Brug af denne registreringsdatabasenøgle er en midlertidig løsning til miljøer, der kræver det, og som skal udføres med forsigtighed. Hvis du bruger denne registreringsdatabasenøgle, betyder det følgende for dit miljø:

• Denne registreringsdatabasenøgle fungerer kun i kompatibilitetstilstand fra og med opdateringer, der er udgivet d. 10. maj 2022. Godkendelse tillades inden for kompensationsforskydningen, men en hændelseslogadvarsel logføres for den svage binding.

• Aktivering af denne registreringsdatabasenøgle giver mulighed for godkendelse af brugeren, når certifikattiden er før brugerens oprettelsestid inden for et angivet område som en svag tilknytning. Svage tilknytninger understøttes ikke efter installation af opdateringer til Windows, der blev udgivet d. 11. februar 2025, hvilket vil aktivere fuld gennemtvingelsestilstand.

Undernøgle i registreringsdatabasen	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Værdi	CertificateBackdatingCompensation
Datatype	REG_DWORD
Data	Værdier for løsning i omtrentlige år: 50 år: 0x5E0C89C0 25 år: 0x2EFE0780 10 år: 0x12CC0300 5 år: 0x9660180 3 år: 0x5A39A80 1 år: 0x1E13380 Bemærk! Hvis du kender certifikaternes levetid i dit miljø, skal du indstille denne registreringsdatabasenøgle til en smule længere end certifikatets levetid.  Hvis du ikke kender certifikatets levetid for dit miljø, skal du angive denne registreringsdatabasenøgle til 50 år. Standardværdien er 10 minutter, når denne nøgle ikke er til stede, hvilket svarer til ADCS (Active Directory Certificate Services). Den maksimale værdi er 50 år (0x5E0C89C0). Denne nøgle angiver den tidsforskel i sekunder, som Nøgledistributionscenter (KDC) ignorerer mellem et godkendelsescertifikats udstedelsestid og kontooprettelsestiden for bruger-/computerkonti. Vigtigt! Angiv kun denne registreringsdatabasenøgle, hvis dit miljø kræver det. Hvis du bruger denne registreringsdatabasenøgle, deaktiveres en sikkerhedskontrol.
Genstart Påkrævet?	Nej

Du kører følgende certutil-kommando for at udelukke certifikater fra brugerskabelonen fra at hente den nye udvidelse.

1. Log på en nøglecenterserver eller en domænetilsluttet Windows 10-klient med virksomhedsadministratoren eller de tilsvarende legitimationsoplysninger.

2. Åbn en kommandoprompt, og vælg Kør som administrator.

3. Kør certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Hvis du deaktiverer tilføjelsen af denne udvidelse, fjernes beskyttelsen fra den nye udvidelse. Overvej kun at gøre dette efter et af følgende:

1. Du bekræfter, at de tilsvarende certifikater ikke er acceptable for Public Key Cryptography for Initial Authentication (PKINIT) i Kerberos Protocol-godkendelser på KDC

2. De tilsvarende certifikater har andre stærke certifikattilknytninger konfigureret

Miljøer, der har ikke-Microsoft-nøglecenterinstallationer, vil ikke være beskyttet ved hjælp af den nye SID-udvidelse, når du har installeret Windows-opdateringen fra 10. maj 2022. Berørte kunder skal arbejde sammen med de tilsvarende nøglecenterleverandører for at løse dette problem eller overveje at bruge andre stærke certifikattilknytninger, der er beskrevet ovenfor.

Du kan finde flere ressourcer og support i afsnittet "Yderligere ressourcer".

Nej, fornyelse er ikke påkrævet. Nøglecenteret leveres i kompatibilitetstilstand. Hvis du vil have en stærk tilknytning ved hjælp af ObjectSID-udvidelsen, skal du bruge et nyt certifikat.