KB5014754 – Änderungen an der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern

Es konnten keine starken Zertifikatzuordnungen gefunden werden, und das Zertifikat verfügte nicht über die neue Sid-Erweiterung (Security Identifier), die vom KDC überprüft werden konnte.

Ereignisprotokoll	System
Ereignistyp	Warnung, wenn sich das KDC im Kompatibilitätsmodus befindet Fehler, wenn sich das KDC im Erzwingungsmodus befindet
Ereignisquelle	Kdcsvc
Ereigniskennung	39 41 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2)
Ereignistext	Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber nicht auf starke Weise einem Benutzer zugeordnet werden konnte (z. B. über explizite Zuordnung, Schlüsselvertrauenszuordnung oder SID). Solche Zertifikate sollten entweder durch explizite Zuordnung ersetzt oder dem Benutzer direkt zugeordnet werden. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925. Benutzer: <Prinzipalname> Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten> Zertifikataussteller: <vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN)> Seriennummer des Zertifikats: <Seriennummer des Zertifikats> Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats>

Das Zertifikat wurde für den Benutzer ausgestellt, bevor der Benutzer in Active Directory vorhanden war, und es konnte keine starke Zuordnung gefunden werden. Dieses Ereignis wird nur protokolliert, wenn sich das KDC im Kompatibilitätsmodus befindet.

Ereignisprotokoll	System
Ereignistyp	Fehler
Ereignisquelle	Kdcsvc
Ereigniskennung	40 48 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2
Ereignistext	Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber nicht auf starke Weise einem Benutzer zugeordnet werden konnte (z. B. über explizite Zuordnung, Schlüsselvertrauenszuordnung oder SID). Das Zertifikat war auch vor dem Benutzer, dem es zugeordnet war, vorangestellt, sodass es abgelehnt wurde. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925. Benutzer: <Prinzipalname> Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten> Zertifikataussteller: <FQDN des Ausstellers> Seriennummer des Zertifikats: <Seriennummer des Zertifikats> Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats> Zertifikatausstellungszeit: <FILETIME des Zertifikats> Kontoerstellungszeit: <FILETIME des Prinzipalobjekts in AD>

Die in der neuen Erweiterung des Benutzerzertifikats enthaltene SID stimmt nicht mit der BENUTZER-SID überein, was bedeutet, dass das Zertifikat für einen anderen Benutzer ausgestellt wurde.

Ereignisprotokoll	System
Ereignistyp	Fehler
Ereignisquelle	Kdcsvc
Ereigniskennung	41 49 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2)
Ereignistext	Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber eine andere SID als der Benutzer enthielt, dem es zugeordnet wurde. Daher ist bei der Anforderung, die das Zertifikat umfasst, ein Fehler aufgetreten. Weitere Informationen finden Sie unter https://go.microsoft.cm/fwlink/?linkid=2189925. Benutzer: <Prinzipalname> Benutzer-SID: <SID des Authentifizierungsprinzipals> Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten> Zertifikataussteller: <FQDN des Ausstellers> Seriennummer des Zertifikats: <Seriennummer des Zertifikats> Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats> Zertifikat-SID: <SID im neuen zertifikaterweiterungs->

Hinweis Bestimmte Felder, z. B. Aussteller, Betreff und Seriennummer, werden im Format "Vorwärts" gemeldet. Sie müssen dieses Format umkehren, wenn Sie die Zuordnungszeichenfolge zum AltSecurityIdentities-Attribut hinzufügen. Wenn Sie z. B. einem Benutzer die X509IssuerSerialNumber-Zuordnung hinzufügen möchten, durchsuchen Sie die Felder "Aussteller" und "Seriennummer" des Zertifikats, das Sie dem Benutzer zuordnen möchten. Weitere Informationen finden Sie in der folgenden Beispielausgabe.

• Aussteller: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Seriennummer: 2B0000000011AC00000000012

Aktualisieren Sie dann das altSecurityIdentities-Attribut des Benutzers in Active Directory mit der folgenden Zeichenfolge:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Um dieses Attribut mithilfe von PowerShell zu aktualisieren, können Sie den folgenden Befehl verwenden. Beachten Sie, dass standardmäßig nur Domänenadministratoren über die Berechtigung zum Aktualisieren dieses Attributs verfügen.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC110000000002B"}

Beachten Sie, dass Sie beim Umkehren der SerialNumber die Bytereihenfolge beibehalten müssen. Dies bedeutet, dass das Umkehren der SerialNumber "A1B2C3" zu der Zeichenfolge "C3B2A1" und nicht zu "3C2B1A" führen sollte. Weitere Informationen finden Sie unter Vorgehensweise: Zuordnen eines Benutzers zu einem Zertifikat über alle Methoden, die im altSecurityIdentities-Attribut verfügbar sind.

Nachdem Sie die Windows-Updates vom 10. Mai 2022 installiert haben, befinden sich Geräte im Kompatibilitätsmodus. Wenn ein Zertifikat einem Benutzer stark zugeordnet werden kann, erfolgt die Authentifizierung wie erwartet. Wenn ein Zertifikat nur schwach einem Benutzer zugeordnet werden kann, erfolgt die Authentifizierung wie erwartet. Es wird jedoch eine Warnmeldung protokolliert, es sei denn, das Zertifikat ist älter als der Benutzer. Wenn das Zertifikat älter als der Benutzer ist und der Registrierungsschlüssel "Certificate Backdating" nicht vorhanden ist oder der Bereich außerhalb der Rückvergütung liegt, schlägt die Authentifizierung fehl, und eine Fehlermeldung wird protokolliert.  Wenn der Registrierungsschlüssel "Certificate Backdating" konfiguriert ist, wird eine Warnmeldung im Ereignisprotokoll protokolliert, wenn die Datumsangaben innerhalb der Rückvergütung liegen.

Nachdem Sie die Windows-Updates vom 10. Mai 2022 installiert haben, watch für jede Warnmeldung, die nach einem Monat oder länger angezeigt wird. Wenn keine Warnmeldungen vorhanden sind, wird dringend empfohlen, dass Sie den Vollständigen Erzwingungsmodus auf allen Domänencontrollern aktivieren, die die zertifikatbasierte Authentifizierung verwenden. Sie können den KDC-Registrierungsschlüssel verwenden, um den Vollständigen Erzwingungsmodus zu aktivieren.

Sofern nicht zuvor auf diesen Modus aktualisiert, aktualisieren wir alle Geräte bis zum 11. Februar 2025 oder höher in den Modus "Vollständige Erzwingung". Wenn ein Zertifikat nicht stark zugeordnet werden kann, wird die Authentifizierung verweigert.

Wenn die zertifikatbasierte Authentifizierung auf einer schwachen Zuordnung basiert, die Sie nicht aus der Umgebung verschieben können, können Sie Domänencontroller mithilfe einer Registrierungsschlüsseleinstellung in den deaktivierten Modus versetzen. Microsoft empfiehlt dies nicht , und wir entfernen den deaktivierten Modus am 11. April 2023.

Nachdem Sie die Windows-Updates für Server 2019 und höher vom 13. Februar 2024 oder höher installiert und unterstützte Clients mit dem optionalen RSAT-Feature installiert haben, wählt die Zertifikatzuordnung in Active Directory-Benutzer & Computern standardmäßig eine starke Zuordnung mithilfe der X509IssuerSerialNumber anstelle einer schwachen Zuordnung mithilfe von X509IssuerSubject aus. Die Einstellung kann weiterhin wie gewünscht geändert werden.

• Verwenden Sie das Kerberos-Betriebsprotokoll auf dem relevanten Computer, um zu ermitteln, welcher Domänencontroller bei der Anmeldung fehlschlägt. Wechseln Sie zu Ereignisanzeige > Anwendungs- und Dienstprotokolle\Microsoft \Windows\Security-Kerberos\Operational.

• Suchen Sie nach relevanten Ereignissen im Systemereignisprotokoll auf dem Domänencontroller, bei dem das Konto versucht, sich zu authentifizieren.

• Wenn das Zertifikat älter als das Konto ist, führen Sie das Zertifikat erneut aus, oder fügen Sie dem Konto eine sichere altSecurityIdentities-Zuordnung hinzu (siehe Zertifikatzuordnungen).

• Wenn das Zertifikat eine SID-Erweiterung enthält, überprüfen Sie, ob die SID mit dem Konto übereinstimmt.

• Wenn das Zertifikat zum Authentifizieren mehrerer verschiedener Konten verwendet wird, benötigt jedes Konto eine separate altSecurityIdentities-Zuordnung .

• Wenn das Zertifikat keine sichere Zuordnung zum Konto aufweist, fügen Sie eines hinzu, oder belassen Sie die Domäne im Kompatibilitätsmodus, bis eine hinzugefügt werden kann.

Ein Beispiel für die TLS-Zertifikatzuordnung ist die Verwendung einer IIS-Intranetwebanwendung.

• Nach der Installation der Schutzmaßnahmen CVE-2022-26391 und CVE-2022-26923 verwenden diese Szenarien standardmäßig das Kerberos Certificate Service For User (S4U)-Protokoll für die Zertifikatzuordnung und -Authentifizierung.

• Im Kerberos-Zertifikat-S4U-Protokoll fließt die Authentifizierungsanforderung vom Anwendungsserver zum Domänencontroller, nicht vom Client zum Domänencontroller. Daher befinden sich relevante Ereignisse auf dem Anwendungsserver.

Mit diesem Registrierungsschlüssel wird der Erzwingungsmodus des KDC in Deaktivierter Modus, Kompatibilitätsmodus oder vollständiger Erzwingungsmodus geändert.

Registrierungsunterschlüssel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Wert	StrongCertificateBindingEnforcement
Typ	REG_DWORD
Daten	1 – Überprüft, ob eine starke Zertifikatzuordnung vorhanden ist. Wenn ja, ist die Authentifizierung zulässig. Andernfalls überprüft der KDC, ob das Zertifikat über die neue SID-Erweiterung verfügt, und überprüft sie. Wenn diese Erweiterung nicht vorhanden ist, ist die Authentifizierung zulässig, wenn das Benutzerkonto dem Zertifikat vorangestellt ist. 2 – Überprüft, ob eine starke Zertifikatzuordnung vorhanden ist. Wenn ja, ist die Authentifizierung zulässig. Andernfalls überprüft der KDC, ob das Zertifikat über die neue SID-Erweiterung verfügt, und überprüft sie. Wenn diese Erweiterung nicht vorhanden ist, wird die Authentifizierung verweigert. 0 – Deaktiviert die überprüfung der starken Zertifikatzuordnung. Nicht empfohlen, da dadurch alle Sicherheitsverbesserungen deaktiviert werden. Wenn Sie diesen Wert auf 0 festlegen, müssen Sie auch CertificateMappingMethods auf 0x1F festlegen, wie im Abschnitt Schannel-Registrierungsschlüssel unten beschrieben, damit die zertifikatbasierte Computerauthentifizierung erfolgreich ist.
Neustart erforderlich?	Nein

Wenn eine Serveranwendung die Clientauthentifizierung erfordert, versucht Schannel automatisch, das zertifikat, das der TLS-Client bereitstellt, einem Benutzerkonto zuzuordnen. Sie können Benutzer authentifizieren, die sich mit einem Clientzertifikat anmelden, indem Sie Zuordnungen erstellen, die die Zertifikatinformationen mit einem Windows-Benutzerkonto verknüpfen. Nachdem Sie eine Zertifikatzuordnung erstellt und aktiviert haben, ordnet die Serveranwendung jedes Mal, wenn ein Client ein Clientzertifikat vorstellt, diesen Benutzer automatisch dem entsprechenden Windows-Benutzerkonto zu.

Schannel versucht, jede von Ihnen aktivierte Zertifikatzuordnungsmethode zuzuordnen, bis eine erfolgreich ist. Schannel versucht zuerst, die S4U2Self-Zuordnungen (Service For User-To-Self) zuzuordnen. Die Zertifikatzuordnungen Antragsteller/Aussteller, Aussteller und UPN gelten jetzt als schwach und wurden standardmäßig deaktiviert. Die bitmasked-Summe der ausgewählten Optionen bestimmt die Liste der verfügbaren Zertifikatzuordnungsmethoden.

Der SChannel-Registrierungsschlüssel wurde standardmäßig 0x1F und ist jetzt 0x18. Wenn bei Schannel-basierten Serveranwendungen Authentifizierungsfehler auftreten, empfiehlt es sich, einen Test durchzuführen. Fügen Sie den Registrierungsschlüsselwert CertificateMappingMethods auf dem Domänencontroller hinzu, oder ändern Sie ihn, und legen Sie ihn auf 0x1F fest, und überprüfen Sie, ob das Problem dadurch behoben wird. Weitere Informationen finden Sie in den Systemereignisprotokollen auf dem Domänencontroller nach fehlern, die in diesem Artikel aufgeführt sind. Beachten Sie, dass das Ändern des Werts des SChannel-Registrierungsschlüssels wieder auf den vorherigen Standardwert (0x1F) rückgängig machen wird, um schwache Zertifikatzuordnungsmethoden zu verwenden.

Registrierungsunterschlüssel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Wert	CertificateMappingMethods
Typ	DWORD
Daten	0x0001 : Zertifikatzuordnung für Antragsteller/Aussteller (schwach – standardmäßig deaktiviert) 0x0002 : Zertifikatzuordnung des Ausstellers (schwach– standardmäßig deaktiviert) 0x0004 – UPN-Zertifikatzuordnung (schwach – standardmäßig deaktiviert) 0x0008 – S4U2Self-Zertifikatzuordnung (stark) 0x0010 : Explizite S4U2Self-Zertifikatzuordnung (stark)
Neustart erforderlich?	Nein

Weitere Ressourcen und Unterstützung finden Sie im Abschnitt "Zusätzliche Ressourcen".

Nach der Installation von Updates, die CVE-2022-26931 und CVE-2022-26923 adressieren, kann die Authentifizierung in Fällen fehlschlagen, in denen die Benutzerzertifikate älter sind als die Erstellungszeit des Benutzers. Dieser Registrierungsschlüssel ermöglicht eine erfolgreiche Authentifizierung, wenn Sie schwache Zertifikatzuordnungen in Ihrer Umgebung verwenden und die Zertifikatszeit vor der Erstellungszeit des Benutzers innerhalb eines festgelegten Bereichs liegt. Dieser Registrierungsschlüssel wirkt sich nicht auf Benutzer oder Computer mit starken Zertifikatzuordnungen aus, da die Zertifikatzeit und die Erstellungszeit des Benutzers nicht mit starken Zertifikatzuordnungen überprüft werden. Dieser Registrierungsschlüssel hat keine Auswirkung, wenn StrongCertificateBindingEnforcement auf 2 festgelegt ist.

Die Verwendung dieses Registrierungsschlüssels ist eine temporäre Problemumgehung für Umgebungen, die ihn benötigen, und muss mit Vorsicht erfolgen. Die Verwendung dieses Registrierungsschlüssels bedeutet Folgendes für Ihre Umgebung:

• Dieser Registrierungsschlüssel funktioniert nur im Kompatibilitätsmodus ab Updates, die am 10. Mai 2022 veröffentlicht wurden. Die Authentifizierung ist innerhalb des Offsets für die Rückvergütung zulässig, aber für die schwache Bindung wird eine Ereignisprotokollwarnung protokolliert.

• Die Aktivierung dieses Registrierungsschlüssels ermöglicht die Authentifizierung des Benutzers, wenn die Zertifikatszeit vor dem Erstellungszeitpunkt des Benutzers innerhalb eines festgelegten Bereichs liegt, als schwache Zuordnung. Schwache Zuordnungen werden nach der Installation von Updates für Windows, die am 11. Februar 2025 veröffentlicht wurden, nicht mehr unterstützt, wodurch der Modus "Vollständige Erzwingung" aktiviert wird.

Registrierungsunterschlüssel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Wert	CertificateBackdatingCompensation
Typ	REG_DWORD
Daten	Werte für die Problemumgehung in ungefähren Jahren: 50 Jahre: 0x5E0C89C0 25 Jahre: 0x2EFE0780 10 Jahre: 0x12CC0300 5 Jahre: 0x9660180 3 Jahre: 0x5A39A80 1 Jahr: 0x1E13380 Hinweis Wenn Sie die Lebensdauer der Zertifikate in Ihrer Umgebung kennen, legen Sie diesen Registrierungsschlüssel auf etwas länger als die Zertifikatlebensdauer fest.  Wenn Sie die Zertifikatlebensdauer für Ihre Umgebung nicht kennen, legen Sie diesen Registrierungsschlüssel auf 50 Jahre fest. Der Standardwert beträgt 10 Minuten, wenn dieser Schlüssel nicht vorhanden ist, was active Directory Certificate Services (ADCS) entspricht. Der Höchstwert beträgt 50 Jahre (0x5E0C89C0). Dieser Schlüssel legt die Zeitdifferenz in Sekunden fest, die das Schlüsselverteilungscenter (Key Distribution Center, KDC) zwischen der Ausstellungszeit eines Authentifizierungszertifikats und der Erstellungszeit für Benutzer-/Computerkonten ignoriert. Wichtig Legen Sie diesen Registrierungsschlüssel nur fest, wenn er für Ihre Umgebung erforderlich ist. Die Verwendung dieses Registrierungsschlüssels deaktiviert eine Sicherheitsüberprüfung.
Neustart erforderlich?	Nein

Führen Sie den folgenden certutil-Befehl aus, um Zertifikate der Benutzervorlage vom Abrufen der neuen Erweiterung auszuschließen.

1. Melden Sie sich bei einem Zertifizierungsstellenserver oder einem in die Domäne eingebundenen Windows 10 Client mit dem Unternehmensadministrator oder den entsprechenden Anmeldeinformationen an.

2. Öffnen Sie eine Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

3. Führen Sie certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 aus. 

Wenn Sie das Hinzufügen dieser Erweiterung deaktivieren, wird der von der neuen Erweiterung bereitgestellte Schutz entfernt. Erwägen Sie, dies nur nach einer der folgenden Aktionen zu tun:

1. Sie bestätigen, dass die entsprechenden Zertifikate für die Kryptografie mit öffentlichem Schlüssel für die Erstauthentifizierung (PKINIT) in Kerberos-Protokollauthentifizierungen bei KDC nicht akzeptabel sind.

2. Für die entsprechenden Zertifikate sind weitere starke Zertifikatzuordnungen konfiguriert.

Umgebungen mit Bereitstellungen von Nicht-Microsoft-Zertifizierungsstellen werden nach der Installation des Windows-Updates vom 10. Mai 2022 nicht mit der neuen SID-Erweiterung geschützt. Betroffene Kunden sollten mit den entsprechenden Zertifizierungsstellenanbietern zusammenarbeiten, um dies zu beheben, oder sie sollten die Verwendung anderer oben beschriebener starker Zertifikatzuordnungen in Betracht ziehen.

Weitere Ressourcen und Unterstützung finden Sie im Abschnitt "Zusätzliche Ressourcen".

Nein, eine Verlängerung ist nicht erforderlich. Die Zertifizierungsstelle wird im Kompatibilitätsmodus ausgeliefert. Wenn Sie eine starke Zuordnung mit der ObjectSID-Erweiterung wünschen, benötigen Sie ein neues Zertifikat.