KB5014754: Serdipõhise autentimise muudatused Windowsi domeenikontrollerites

Tugevaid serdivastendusi ei leitud ja serdiga polnud uut turbeidentifikaatori (SID) laiendust, mida KDC sai valideerida.

Sündmuste logi	Süsteem
Sündmuse tüüp	Hoiatus, kui KDC on ühilduvusrežiimis Tõrge, kui KDC on jõustamisrežiimis
Sündmuse allikas	Kdcsvc
Sündmuse ID	39 41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)
Sündmuse tekst	Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Need serdid tuleks kas otse kasutajaga otse vastendada või otse vastendada. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925. Kasutaja: <põhinimi> Serdi teema: <teema nimi serdis> Serdi väljaandja: <väljaandja täielik domeeninimi (FQDN)> Serdi seerianumber: <serdi> seerianumber Serdi sõrmejälg:> serdi sõrmejälg <

Sert väljastati kasutajale enne kasutaja Active Directorys olemasolu ja tugevat vastendust ei leitud. See sündmus logitakse ainult siis, kui KDC on ühilduvusrežiimis.

Sündmuste logi	Süsteem
Sündmuse tüüp	Tõrge
Sündmuse allikas	Kdcsvc
Sündmuse ID	40 48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2
Sündmuse tekst	Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Sert eelnes ka vastendatud kasutajale, seega lükati sert tagasi. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925. Kasutaja: <põhinimi> Serdi teema: <teema nimi serdis> Serdi väljaandja: <väljaandja FQDN> Serdi seerianumber: <serdi> seerianumber Serdi sõrmejälg:> serdi sõrmejälg < Serdi väljaandmisaeg: <serdi> FILETIME Konto loomise aeg: <AD> põhiobjekti FILETIME

Kasutajaserdi uues laiendis sisalduv SID ei vasta kasutaja SID-le, mis tähendab, et sert on väljastatud teisele kasutajale.

Sündmuste logi	Süsteem
Sündmuse tüüp	Tõrge
Sündmuse allikas	Kdcsvc
Sündmuse ID	41 49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)
Sündmuse tekst	Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mis sisaldas teistsugust SID-d kui kasutaja, millega see vastendati. Selle tulemusena nurjus serti sisaldav päring. Lisateavet leiate https://go.microsoft.cm/fwlink/?linkid=2189925. Kasutaja: <põhinimi> Kasutaja SID: <autentiva põhi-> SID Serdi teema: <teema nimi serdis> Serdi väljaandja: <väljaandja FQDN> Serdi seerianumber: <serdi> seerianumber Serdi sõrmejälg:> serdi sõrmejälg < Serdi SID: <SID, mis leiti uues serdilaiendi>

Märkus. Teatud väljad (nt Väljaandja, Teema ja Seerianumber) esitatakse edasisaatmisvormingus. Kui lisate vastendusstringi atribuudile altSecurityIdentities , peate selle vormingu tühistama. Näiteks vastenduse X509IssuerSerialNumber kasutajale lisamiseks otsige kasutajaga vastendatava serdi välju Väljaandja ja Seerianumber. Vaadake allpool näidisväljundit.

• Väljaandja: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Seejärel värskendage kasutaja atribuut altSecurityIdentities Active Directorys järgmise stringiga:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Selle atribuudi värskendamiseks Powershelli abil võite kasutada allolevat käsku. Pidage meeles, et vaikimisi on selle atribuudi värskendamiseks õigus ainult domeeniadministraatoritel.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Pange tähele, et SerialNumber pööramisel peate säilitama baidijärjestuse. See tähendab, et SerialNumber "A1B2C3" tagasipööramine peaks andma tulemuseks stringi "C3B2A1" ja mitte "3C2B1A". Lisateavet leiate teemast HowTo: kasutaja vastendamine serdiga kõigi meetodite abil, mis on saadaval atribuudis altSecurityIdentities.

Kui olete installinud 10. mai 2022 Windowsi värskendused, on seadmed ühilduvusrežiimis. Kui serti saab kasutajaga tugevalt vastendada, toimub autentimine ootuspäraselt. Kui serti saab vastendada ainult kasutajaga nõrgalt, toimub autentimine ootuspäraselt. Hoiatusteade logitakse siiski juhul, kui sert pole kasutajast vanem. Kui sert on kasutajast vanem ja serdi varundamise registrivõtit pole või vahemik on väljaspool varundamishüvitist, siis autentimine nurjub ja logitakse tõrketeade.  Kui serdi varundamise registrivõti on konfigureeritud, logib see sündmuselogisse hoiatusteate, kui kuupäevad jäävad varundamishüvitisse.

Pärast 10. mai 2022 Windowsi värskenduste installimist vaadake mis tahes hoiatusteadet, mis võidakse kuvada kuu või enama kuu pärast. Kui hoiatusteateid pole, soovitame tungivalt lubada täieliku jõustamise režiimi kõigis domeenikontrollerites, kasutades serdipõhist autentimist. Täieliku jõustamisrežiimi lubamiseks saate kasutada KDC registrivõtit .

Kui seda režiimi varem ei värskendata, värskendame kõik seadmed 11. veebruariks 2025 või uuemale versioonile täieliku jõustamise režiimiks. Kui serti ei saa tugevalt vastendada, keelatakse autentimine. Ühilduvusrežiimi naasmise suvand jääb 10. septembrini 2025. Pärast seda kuupäeva ei toetata enam registriväärtust StrongCertificateBindingEnforcement.

Kui serdipõhine autentimine tugineb nõrgale vastendusele, mida ei saa keskkonnast teisaldada, saate domeenikontrollerid paigutada keelatud režiimis registrivõtme sätte abil. Microsoft ei soovita seda ja eemaldame keelatud režiimi 11. aprillil 2023.

Kui olete Server 2019 ja uuemates versioonides installinud 13. veebruari 2024 või uuemad Windowsi värskendused ja toetate klientrakendusi, kuhu on installitud RSAT-i valikuline funktsioon, valitakse Active Directory kasutajate & arvutites vaikimisi keerukas vastendus, kasutades X509IssuerSerialNumberit, mitte nõrka vastendust X509IssuerSubjecti abil. Sätet saab siiski vastavalt soovile muuta.

• Kasutage vastava arvuti Kerberose töölogi, et teha kindlaks, milline domeenikontroller sisselogimist ei tee. Avage Sündmusevaatur> Rakenduste ja teenuste logid\Microsoft \Windows\Security-Kerberos\Operational.

• Otsige asjakohaseid sündmusi domeenikontrolleri süsteemisündmuste logist, mille vastu konto proovib autentimist.

• Kui sert on kontost vanem, andke sert uuesti või lisage kontole turvaline vastendus AltSecurityIdentities (vt Serdivastendused).

• Kui sert sisaldab SID laiendit, kontrollige, kas SID vastab kontole.

• Kui serti kasutatakse mitme erineva konto autentimiseks, on igal kontol vaja eraldi vastendust altSecurityIdentities .

• Kui serdiga pole kontoga turvalist vastendust, lisage see või jätke domeen ühilduvusrežiimi, kuni selle saab lisada.

Näide TLS-serdi vastendusest kasutab IIS-i sisevõrgu veebirakendust.

• Pärast CVE-2022-26391 ja CVE-2022-26923 kaitse installimist kasutavad need stsenaariumid vaikimisi Serdi vastendamiseks ja autentimiseks Kerberose serditeenust kasutaja (S4U) jaoks.

• Kerberose serdi S4U protokollis voolab autentimistaotlus rakendusserverist domeenikontrollerisse, mitte kliendist domeenikontrollerisse. Seetõttu on asjakohased sündmused rakenduse serveris.

See registrivõti muudab KDC jõustamisrežiimi keelatud režiimiks, ühilduvusrežiimiks või täieliku jõustamise režiimiks.

Registri alamvõti	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Väärtus	StrongCertificateBindingEnforcement
Andmetüüp	REG_DWORD
Andmed	1 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine lubatud, kui kasutajakonto eeldab serti. 2 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine keelatud. 0 – keelab keeruka serdivastenduse kontrolli. Pole soovitatav, kuna see keelab kõik turbetäiustused. Kui määrate väärtuseks 0, peate arvuti serdipõhise autentimise õnnestumiseks seadma ka sätte CertificateMappingMethods väärtuseks 0x1F, nagu on kirjeldatud allpool jaotises Schanneli registrivõti.
Kas taaskäivitamine on nõutav?	Ei

Kui serverirakendus nõuab kliendi autentimist, proovib Schannel automaatselt vastendatud serdi, mille TLS-i klient sisestab kasutajakontole. Kliendiserdiga sisse logivaid kasutajaid saate autentida, luues vastendused, mis seostavad serditeavet Windowsi kasutajakontoga. Pärast serdivastenduse loomist ja lubamist seostab teie serverirakendus iga kord, kui klient esitab kliendiserdi, automaatselt vastava kasutaja vastava Windowsi kasutajakontoga.

Schannel proovib vastestada iga lubatud serdivastendusmeetodi seni, kuni see õnnestub. Schannel proovib esmalt vastendusi Service-For-User-To-Self (S4U2Self). Subjekti/väljaandja, väljaandja ja UPN-i sertide vastendusi peetakse nüüd nõrgaks ja need on vaikimisi keelatud. Valitud suvandite bittrasterdatud summa määrab saadaolevate serdivastendusmeetodite loendi.

SChanneli registrivõti on vaikimisi 0x1F ja on nüüd 0x18. Kui Schanneli-põhistes serverirakendustes ilmneb autentimistõrkeid, soovitame teil teha test. Lisage domeenikontrolleri registrivõtme CertificateMappingMethods väärtus või muutke seda, määrake selle väärtuseks 0x1F ja vaadake, kas see lahendab probleemi. Lisateavet leiate selles artiklis loetletud tõrgete kohta domeenikontrolleri süsteemisündmuste logidest. Pidage meeles, et SChanneli registrivõtme väärtuse tagasi eelmiseks vaikeväärtuseks (0x1F) taastatakse nõrkade sertide vastendamise meetodite kasutamine.

Registri alamvõti	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Väärtus	CertificateMappingMethods
Andmetüüp	DWORD
Andmed	0x0001 – subjekti/väljaandja serdi vastendamine (nõrk – vaikimisi keelatud) 0x0002 – väljaandja serdi vastendamine (nõrk – vaikimisi keelatud) 0x0004 – UPN-serdi vastendamine (nõrk – vaikimisi keelatud) 0x0008 – S4U2Self serdi vastendamine (tugev) 0x0010 – S4U2Selfi selgesõnaline serdivastendus (tugev)
Kas taaskäivitamine on nõutav?	Ei

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Pärast värskenduste installimist, mis käsitlevad CVE-2022-26931 ja CVE-2022-26923, võib autentimine nurjuda juhul, kui kasutaja serdid on vanemad kui kasutajate loomisaeg. See registrivõti võimaldab edukat autentimist, kui kasutate oma keskkonnas nõrku serdivastendusi ja serdi aeg on määratud vahemikus kasutaja loomisajast varasem. See registrivõti ei mõjuta tugevate serdivastendustega kasutajaid ega masinaid, kuna serdiaega ja kasutaja loomisaega ei kontrollita keerukate serdivastendustega. Kui StrongCertificateBindingEnforcementi väärtuseks on seatud 2, ei avalda see registrivõti mingit mõju.

Selle registrivõtme kasutamine on ajutine lahendus keskkondadele, mis seda nõuavad ja mida tuleb teha ettevaatlikult. Selle registrivõtme kasutamine tähendab teie keskkonna jaoks järgmist.

• See registrivõti töötab ainult ühilduvusrežiimis alates 10. maist 2022 välja antud värskendustest. Taganemiskompensatsiooni nihes on autentimine lubatud, kuid nõrga sidumise jaoks logitakse sündmuselogi hoiatus.

• Selle registrivõtme lubamine võimaldab kasutaja autentimist, kui serdi aeg on enne kasutaja loomisaega määratud vahemikus nõrga vastendusena. Nõrku vastendusi ei toetata pärast 10. septembril 2025 välja antud Windowsi värskenduste installimist.

Registri alamvõti	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Väärtus	CertificateBackdatingCompensation
Andmetüüp	REG_DWORD
Andmed	Ajutise lahenduse väärtused ligikaudsete aastate puhul: 50 aastat: 0x5E0C89C0 25 aastat: 0x2EFE0780 10 aastat: 0x12CC0300 5 aastat: 0x9660180 3 aastat: 0x5A39A80 1 aasta: 0x1E13380 Märkus Kui teate oma keskkonnas sertide eluiga, määrake selle registrivõtme väärtuseks veidi pikem kui serdi eluiga.  Kui te ei tea, et sert on teie keskkonna jaoks elueaga, määrake selle registrivõtme väärtuseks 50 aastat. Vaikimisi on see 10 minutit, kui seda võtit pole olemas, mis vastab Teenusele Active Directory Certificate Services (ADCS). Maksimumväärtus on 50 aastat (0x5E0C89C0). See võti määrab ajaerinevuse sekundites, mida võtmejaotuskeskus (KDC) ignoreerib autentimisserdi probleemi aja ja kasutaja/arvuti kontode kontode loomisaja vahel. Tähtis Määrake see registrivõti ainult siis, kui teie keskkond seda nõuab. Selle registrivõtme kasutamine keelab turbekontrolli.
Kas taaskäivitamine on nõutav?	Ei

Käivitate järgmise sertimiskäsu , et välistada kasutajamalli serdid uue laiendi toomisest.

1. Logige sertimiskeskuse serverisse või domeeniga liidetud Windows 10 klienti sisse ettevõtte administraatori või samaväärse identimisteabega.

2. Avage käsuviip ja valige käsk Käivita administraatorina.

3. Käivitage certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Selle laienduse lisamise keelamisel eemaldatakse uue laienduse pakutav kaitse. Kaaluge seda alles pärast ühte järgmistest.

1. Kinnitate, et vastavad serdid pole algautentimise (PKINIT) avaliku võtme krüptograafia jaoks KDC-s Kerberose protokolli autentimise korral vastuvõetavad

2. Vastavatel sertidel on konfigureeritud muud keerukad serdivastendused

Keskkonnad, millel on mitte-Microsoft CA juurutused ei ole kaitstud uue SID laienduse abil pärast 10. mai 2022 Windowsi värskenduse installimist. Mõjutatud kliendid peaksid selle probleemi lahendamiseks koostööd tegema vastavate CA tarnijatega või kaaluma muude eespool kirjeldatud keerukate sertide vastenduste kasutamist.

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Ei, uuendamine pole nõutav. CA tarnitakse ühilduvusrežiimis. Kui soovite objektide laiendiga ObjectSID tugevat vastendust, vajate uut serti.

11. veebruari 2025 Windowsi värskenduses teisaldatakse seadmed, mis pole veel jõustamise (StrongCertificateBindingEnforcement registriväärtus) väärtuseks 2), jõustamine. Kui autentimine on keelatud, kuvatakse sündmuse ID 39 (või Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 sündmuse ID 41). Selles etapis saate seada registrivõtme väärtuseks tagasi väärtuse 1 (ühilduvusrežiim).

2025. aasta 10. septembri Windowsi värskenduses ei toetata enam registriväärtust StrongCertificateBindingEnforcement . ​​​​​​​