Muuda kuupäeva

Kirjeldus

9/10/2024

Muutis jaotises "Windowsi värskenduste ajastus" täielikku jõustamisrežiimi kirjeldust, et see kajastaks uusi kuupäevi. 11. veebruar 2025 teisaldab seadmed jõustamisrežiimi, kuid jätab toe ühilduvusrežiimi tagasiminekuks. Täielik registrivõtme tugi lõpeb nüüd 10. septembril 2025.

7/5/2024

Lisati jaotisesse "Registrivõtme teave" teave võtmelevituskeskuse (KDC) registrivõtme SID laiendi kohta.

10.10.2023

Lisati teave tugevate vastenduste vaikemuudatuste kohta jaotises "Windows Teabevärskendused ajaskaala"

6/30/2023

Jõustamise täisrežiimi kuupäeva on muudetud 14. novembrist 2023 kuni 11. veebruarini 2025 (need kuupäevad olid varem loetletud kujul 19. mai 2023 kuni 14. november 2023).

1/26/2023

Muudetud on keelatud režiimi eemaldamist 14. veebruarilt 2023 kuni 11. aprillini 2023

Kokkuvõte

CVE-2022-34691, CVE-2022-26931 ja CVE-2022-26923 lahendab õiguste laiendamise nõrkuse, mis võib ilmneda, kui Kerberose võtme levikeskus (KDC) teenindab serdipõhist autentimistaotlust. Enne 10. mai 2022 turbevärskendust ei arvestata serdipõhist autentimist dollarimärgi ($) jaoks arvuti nime lõpus. See võimaldas seotud serte mitmel viisil emuleerida (tülitada). Lisaks tutvustasid kasutaja turvasubjektide nimede (UPN) ja sAMAccountName vahelised konfliktid muid emuleerimise (tükeldi) nõrkusi, millega tegeleme ka selle turbevärskendusega. 

Tegutsemine

Oma keskkonna kaitsmiseks tehke serdipõhise autentimise jaoks järgmist.

  1. Värskendage kõik serverid, mis käitavad Active Directory serditeenuseid ja Windowsi domeenikontrollereid, mis kasutavad teenuse serdipõhist autentimist 2022. aasta 10. mai värskendusega (vt ühilduvusrežiim). 10. mai 2022 värskendus pakub auditisündmusi , mis tuvastavad serdid, mis ei ühildu täieliku jõustamise režiimiga.

  2. Kui domeenikontrollerites ei looda ühe kuu jooksul pärast värskenduse installimist auditisündmuste logisid, jätkake kõigi domeenikontrollerite täieliku jõustamisrežiimi lubamisega. 11. veebruariks 2025 värskendatakse kõik seadmed täieliku jõustamise režiimile. Kui selles režiimis nurjub sert keerukate (turvaliste) vastenduskriteeriumidega (vt serdivastendusi), siis autentimine keelatakse. Ühilduvusrežiimi naasmise võimalus jääb siiski 10. septembrini 2025.

Auditisündmused

10. mai 2022 Windows Update lisab järgmised sündmuselogid.

Tugevaid serdivastendusi ei leitud ja serdiga polnud uut turbeidentifikaatori (SID) laiendust, mida KDC sai valideerida.

Sündmuste logi

Süsteem

Sündmuse tüüp

Hoiatus, kui KDC on ühilduvusrežiimis

Tõrge, kui KDC on jõustamisrežiimis

Sündmuse allikas

Kdcsvc

Sündmuse ID

39

41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Need serdid tuleks kas otse kasutajaga otse vastendada või otse vastendada. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja täielik domeeninimi (FQDN)>

Serdi seerianumber: <serdi> seerianumber

Serdi sõrmejälg:> serdi sõrmejälg <

Sert väljastati kasutajale enne kasutaja Active Directorys olemasolu ja tugevat vastendust ei leitud. See sündmus logitakse ainult siis, kui KDC on ühilduvusrežiimis.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

40

48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mida ei saanud kasutajaga tugevalt vastendada (nt otseste vastenduste, võtmeusaldusvastenduse või SID kaudu). Sert eelnes ka vastendatud kasutajale, seega lükati sert tagasi. Lisateavet leiate https://go.microsoft.com/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja FQDN>

Serdi seerianumber: <serdi> seerianumber

Serdi sõrmejälg:> serdi sõrmejälg <

Serdi väljaandmisaeg: <serdi> FILETIME

Konto loomise aeg: <AD> põhiobjekti FILETIME

Kasutajaserdi uues laiendis sisalduv SID ei vasta kasutaja SID-le, mis tähendab, et sert on väljastatud teisele kasutajale.

Sündmuste logi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

Kdcsvc

Sündmuse ID

41

49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Sündmuse tekst

Võtmelevituskeskuses (KDC) ilmnes kehtiv kasutajasert, mis sisaldas teistsugust SID-d kui kasutaja, millega see vastendati. Selle tulemusena nurjus serti sisaldav päring. Lisateavet leiate https://go.microsoft.cm/fwlink/?linkid=2189925.

Kasutaja: <põhinimi>

Kasutaja SID: <autentiva põhi-> SID

Serdi teema: <teema nimi serdis>

Serdi väljaandja: <väljaandja FQDN>

Serdi seerianumber: <serdi> seerianumber

Serdi sõrmejälg:> serdi sõrmejälg <

Serdi SID: <SID, mis leiti uues serdilaiendi>

Sertide vastendused

Domeeniadministraatorid saavad serte Active Directory kasutajaga käsitsi vastestada, kasutades kasutaja objekti atribuuti altSecurityIdentities . Sellel atribuudil on kuus toetatud väärtust, kusjuures kolme vastendust peetakse nõrgaks (ebakindlaks) ja ülejäänud kolme tugevaks. Üldiselt peetakse vastendustüüpe tugevaks, kui need põhinevad identifikaatoritel, mida te ei saa uuesti kasutada. Seetõttu peetakse kõiki kasutajanimedel ja meiliaadressidel põhinevaid vastendustüüpe nõrgaks.

Kaardistamine

Näide

Tüüp

Kommentaarid

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Nõrk

X509SubjectOnly

"X509:<S>SubjectName"

Nõrk

X509RFC822

"X509:<RFC822>user@contoso.com"

Nõrk

Meiliaadress

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Tugev

Soovitatud

X509SKI

"X509:<SKI>123456789abcdef"

Tugev

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Tugev

Kui kliendid ei saa uue SID-laiendiga serte uuesti välja anda, soovitame luua käsitsi vastenduse, kasutades ühte ülalkirjeldatud tugevatest vastendustest. Selleks lisage active Directory atribuudile altSecurityIdentities sobiv vastendusstring.

Märkus. Teatud väljad (nt Väljaandja, Teema ja Seerianumber) esitatakse edasisaatmisvormingus. Kui lisate vastendusstringi atribuudile altSecurityIdentities , peate selle vormingu tühistama. Näiteks vastenduse X509IssuerSerialNumber kasutajale lisamiseks otsige kasutajaga vastendatava serdi välju Väljaandja ja Seerianumber. Vaadake allpool näidisväljundit.

  • Väljaandja: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC000000012

Seejärel värskendage kasutaja atribuut altSecurityIdentities Active Directorys järgmise stringiga:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Selle atribuudi värskendamiseks Powershelli abil võite kasutada allolevat käsku. Pidage meeles, et vaikimisi on selle atribuudi värskendamiseks õigus ainult domeeniadministraatoritel.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Pange tähele, et SerialNumber pööramisel peate säilitama baidijärjestuse. See tähendab, et SerialNumber "A1B2C3" tagasipööramine peaks andma tulemuseks stringi "C3B2A1" ja mitte "3C2B1A". Lisateavet leiate teemast HowTo: kasutaja vastendamine serdiga kõigi meetodite abil, mis on saadaval atribuudis altSecurityIdentities.

Windowsi värskenduste ajaskaala

Tähtis Lubamisfaas algab Windowsi 11. aprilli 2023 värskendustega, mis ignoreerib keelatud režiimi registrivõtme sätet. 

Kui olete installinud 10. mai 2022 Windowsi värskendused, on seadmed ühilduvusrežiimis. Kui serti saab kasutajaga tugevalt vastendada, toimub autentimine ootuspäraselt. Kui serti saab vastendada ainult kasutajaga nõrgalt, toimub autentimine ootuspäraselt. Hoiatusteade logitakse siiski juhul, kui sert pole kasutajast vanem. Kui sert on kasutajast vanem ja serdi varundamise registrivõtit pole või vahemik on väljaspool varundamishüvitist, siis autentimine nurjub ja logitakse tõrketeade.  Kui serdi varundamise registrivõti on konfigureeritud, logib see sündmuselogisse hoiatusteate, kui kuupäevad jäävad varundamishüvitisse.

Pärast 10. mai 2022 Windowsi värskenduste installimist vaadake mis tahes hoiatusteadet, mis võidakse kuvada kuu või enama kuu pärast. Kui hoiatusteateid pole, soovitame tungivalt lubada täieliku jõustamise režiimi kõigis domeenikontrollerites, kasutades serdipõhist autentimist. Täieliku jõustamisrežiimi lubamiseks saate kasutada KDC registrivõtit .

Kui seda režiimi varem ei värskendata, värskendame kõik seadmed 11. veebruariks 2025 või uuemale versioonile täieliku jõustamise režiimiks. Kui serti ei saa tugevalt vastendada, keelatakse autentimine. Ühilduvusrežiimi naasmise suvand jääb 10. septembrini 2025. Pärast seda kuupäeva ei toetata enam registriväärtust StrongCertificateBindingEnforcement.

Kui serdipõhine autentimine tugineb nõrgale vastendusele, mida ei saa keskkonnast teisaldada, saate domeenikontrollerid paigutada keelatud režiimis registrivõtme sätte abil. Microsoft ei soovita seda ja eemaldame keelatud režiimi 11. aprillil 2023.

Kui olete Server 2019 ja uuemates versioonides installinud 13. veebruari 2024 või uuemad Windowsi värskendused ja toetate klientrakendusi, kuhu on installitud RSAT-i valikuline funktsioon, valitakse Active Directory kasutajate & arvutites vaikimisi keerukas vastendus, kasutades X509IssuerSerialNumberit, mitte nõrka vastendust X509IssuerSubjecti abil. Sätet saab siiski vastavalt soovile muuta.

Tõrkeotsing

  • Kasutage vastava arvuti Kerberose töölogi, et teha kindlaks, milline domeenikontroller sisselogimist ei tee. Avage Sündmusevaatur> Rakenduste ja teenuste logid\Microsoft \Windows\Security-Kerberos\Operational.

  • Otsige asjakohaseid sündmusi domeenikontrolleri süsteemisündmuste logist, mille vastu konto proovib autentimist.

  • Kui sert on kontost vanem, andke sert uuesti või lisage kontole turvaline vastendus AltSecurityIdentities (vt Serdivastendused).

  • Kui sert sisaldab SID laiendit, kontrollige, kas SID vastab kontole.

  • Kui serti kasutatakse mitme erineva konto autentimiseks, on igal kontol vaja eraldi vastendust altSecurityIdentities .

  • Kui serdiga pole kontoga turvalist vastendust, lisage see või jätke domeen ühilduvusrežiimi, kuni selle saab lisada.

Näide TLS-serdi vastendusest kasutab IIS-i sisevõrgu veebirakendust.

  • Pärast CVE-2022-26391 ja CVE-2022-26923 kaitse installimist kasutavad need stsenaariumid vaikimisi Serdi vastendamiseks ja autentimiseks Kerberose serditeenust kasutaja (S4U) jaoks.

  • Kerberose serdi S4U protokollis voolab autentimistaotlus rakendusserverist domeenikontrollerisse, mitte kliendist domeenikontrollerisse. Seetõttu on asjakohased sündmused rakenduse serveris.

Registrivõtme teave

Pärast CVE-2022-26931 ja CVE-2022-26923 kaitset Windowsi värskendustes, mis on välja antud vahemikus 10. mai 2022 kuni 10. september 2025 või uuem, on saadaval järgmised registrivõtmed.

See registrivõti muudab KDC jõustamisrežiimi keelatud režiimiks, ühilduvusrežiimiks või täieliku jõustamise režiimiks.

Tähtis!

Selle registrivõtme kasutamine on ajutine lahendus keskkondadele, mis seda nõuavad ja mida tuleb teha ettevaatlikult. Selle registrivõtme kasutamine tähendab teie keskkonna jaoks järgmist.

  • See registrivõti töötab ainult ühilduvusrežiimis alates 10. maist 2022 välja antud värskendustest.

  • Seda registrivõtit ei toetata pärast 10. septembril 2025 välja antud Windowsi värskenduste installimist.

  • Tugeva serdi sidumise jõustamise kasutatav SID laiendi tuvastamine ja valideerimine sõltub KDC registrivõtme UseSubjectAltName väärtusest. SID laiendit kasutatakse siis, kui registriväärtust pole olemas või kui väärtuseks on seatud 0x1 väärtus. SID-laiendust ei kasutata, kui UseSubjectAltName on olemas ja väärtuseks on seatud 0x0.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

StrongCertificateBindingEnforcement

Andmetüüp

REG_DWORD

Andmed

1 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine lubatud, kui kasutajakonto eeldab serti.

2 – kontrollib, kas on olemas tugev serdivastendus. Kui jah, on autentimine lubatud. Muul juhul kontrollib KDC, kas serdil on uus SID laiend, ja valideerib selle. Kui seda laiendit pole, on autentimine keelatud.

0 – keelab keeruka serdivastenduse kontrolli. Pole soovitatav, kuna see keelab kõik turbetäiustused.

Kui määrate väärtuseks 0, peate arvuti serdipõhise autentimise õnnestumiseks seadma ka sätte CertificateMappingMethods väärtuseks 0x1F, nagu on kirjeldatud allpool jaotises Schanneli registrivõti.

Kas taaskäivitamine on nõutav?

Ei

Kui serverirakendus nõuab kliendi autentimist, proovib Schannel automaatselt vastendatud serdi, mille TLS-i klient sisestab kasutajakontole. Kliendiserdiga sisse logivaid kasutajaid saate autentida, luues vastendused, mis seostavad serditeavet Windowsi kasutajakontoga. Pärast serdivastenduse loomist ja lubamist seostab teie serverirakendus iga kord, kui klient esitab kliendiserdi, automaatselt vastava kasutaja vastava Windowsi kasutajakontoga.

Schannel proovib vastestada iga lubatud serdivastendusmeetodi seni, kuni see õnnestub. Schannel proovib esmalt vastendusi Service-For-User-To-Self (S4U2Self). Subjekti/väljaandja, väljaandja ja UPN-i sertide vastendusi peetakse nüüd nõrgaks ja need on vaikimisi keelatud. Valitud suvandite bittrasterdatud summa määrab saadaolevate serdivastendusmeetodite loendi.

SChanneli registrivõti on vaikimisi 0x1F ja on nüüd 0x18. Kui Schanneli-põhistes serverirakendustes ilmneb autentimistõrkeid, soovitame teil teha test. Lisage domeenikontrolleri registrivõtme CertificateMappingMethods väärtus või muutke seda, määrake selle väärtuseks 0x1F ja vaadake, kas see lahendab probleemi. Lisateavet leiate selles artiklis loetletud tõrgete kohta domeenikontrolleri süsteemisündmuste logidest. Pidage meeles, et SChanneli registrivõtme väärtuse tagasi eelmiseks vaikeväärtuseks (0x1F) taastatakse nõrkade sertide vastendamise meetodite kasutamine.

Registri alamvõti

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Väärtus

CertificateMappingMethods

Andmetüüp

DWORD

Andmed

0x0001 – subjekti/väljaandja serdi vastendamine (nõrk – vaikimisi keelatud)

0x0002 – väljaandja serdi vastendamine (nõrk – vaikimisi keelatud)

0x0004 – UPN-serdi vastendamine (nõrk – vaikimisi keelatud)

0x0008 – S4U2Self serdi vastendamine (tugev)

0x0010 – S4U2Selfi selgesõnaline serdivastendus (tugev)

Kas taaskäivitamine on nõutav?

Ei

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Pärast värskenduste installimist, mis käsitlevad CVE-2022-26931 ja CVE-2022-26923, võib autentimine nurjuda juhul, kui kasutaja serdid on vanemad kui kasutajate loomisaeg. See registrivõti võimaldab edukat autentimist, kui kasutate oma keskkonnas nõrku serdivastendusi ja serdi aeg on määratud vahemikus kasutaja loomisajast varasem. See registrivõti ei mõjuta tugevate serdivastendustega kasutajaid ega masinaid, kuna serdiaega ja kasutaja loomisaega ei kontrollita keerukate serdivastendustega. Kui StrongCertificateBindingEnforcementi väärtuseks on seatud 2, ei avalda see registrivõti mingit mõju.

Selle registrivõtme kasutamine on ajutine lahendus keskkondadele, mis seda nõuavad ja mida tuleb teha ettevaatlikult. Selle registrivõtme kasutamine tähendab teie keskkonna jaoks järgmist.

  • See registrivõti töötab ainult ühilduvusrežiimis alates 10. maist 2022 välja antud värskendustest. Taganemiskompensatsiooni nihes on autentimine lubatud, kuid nõrga sidumise jaoks logitakse sündmuselogi hoiatus.

  • Selle registrivõtme lubamine võimaldab kasutaja autentimist, kui serdi aeg on enne kasutaja loomisaega määratud vahemikus nõrga vastendusena. Nõrku vastendusi ei toetata pärast 10. septembril 2025 välja antud Windowsi värskenduste installimist.

Registri alamvõti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Väärtus

CertificateBackdatingCompensation

Andmetüüp

REG_DWORD

Andmed

Ajutise lahenduse väärtused ligikaudsete aastate puhul:

  • 50 aastat: 0x5E0C89C0

  • 25 aastat: 0x2EFE0780

  • 10 aastat: 0x12CC0300

  • 5 aastat: 0x9660180

  • 3 aastat: 0x5A39A80

  • 1 aasta: 0x1E13380

Märkus Kui teate oma keskkonnas sertide eluiga, määrake selle registrivõtme väärtuseks veidi pikem kui serdi eluiga.  Kui te ei tea, et sert on teie keskkonna jaoks elueaga, määrake selle registrivõtme väärtuseks 50 aastat. Vaikimisi on see 10 minutit, kui seda võtit pole olemas, mis vastab Teenusele Active Directory Certificate Services (ADCS). Maksimumväärtus on 50 aastat (0x5E0C89C0).

See võti määrab ajaerinevuse sekundites, mida võtmejaotuskeskus (KDC) ignoreerib autentimisserdi probleemi aja ja kasutaja/arvuti kontode kontode loomisaja vahel.

Tähtis Määrake see registrivõti ainult siis, kui teie keskkond seda nõuab. Selle registrivõtme kasutamine keelab turbekontrolli.

Kas taaskäivitamine on nõutav?

Ei

Ettevõtte sertimiskeskused

Ettevõtte sertimiskeskused (CA) hakkavad vaikimisi lisama uut mittekriitilist laiendit objektiidentifikaatoriga (OID) (1.3.6.1.4.1.311.25.2) vaikimisi kõigile võrgumallide jaoks väljastatud sertidele pärast 10. mai 2022 Windowsi värskenduse installimist. Selle laiendi lisamise peatamiseks määrake vastava malli väärtuses msPKI-Enrollment-Flag 0x00080000 bitt.

Käivitate järgmise sertimiskäsu , et välistada kasutajamalli serdid uue laiendi toomisest.

  1. Logige sertimiskeskuse serverisse või domeeniga liidetud Windows 10 klienti sisse ettevõtte administraatori või samaväärse identimisteabega.

  2. Avage käsuviip ja valige käsk Käivita administraatorina.

  3. Käivitage certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Selle laienduse lisamise keelamisel eemaldatakse uue laienduse pakutav kaitse. Kaaluge seda alles pärast ühte järgmistest.

  1. Kinnitate, et vastavad serdid pole algautentimise (PKINIT) avaliku võtme krüptograafia jaoks KDC-s Kerberose protokolli autentimise korral vastuvõetavad

  2. Vastavatel sertidel on konfigureeritud muud keerukad serdivastendused

Keskkonnad, millel on mitte-Microsoft CA juurutused ei ole kaitstud uue SID laienduse abil pärast 10. mai 2022 Windowsi värskenduse installimist. Mõjutatud kliendid peaksid selle probleemi lahendamiseks koostööd tegema vastavate CA tarnijatega või kaaluma muude eespool kirjeldatud keerukate sertide vastenduste kasutamist.

Lisaressursside ja -toe leiate jaotisest "Lisaressursid".

Korduma kippuvad küsimused

Ei, uuendamine pole nõutav. CA tarnitakse ühilduvusrežiimis. Kui soovite objektide laiendiga ObjectSID tugevat vastendust, vajate uut serti.

11. veebruari 2025 Windowsi värskenduses teisaldatakse seadmed, mis pole veel jõustamise (StrongCertificateBindingEnforcement registriväärtus) väärtuseks 2), jõustamine. Kui autentimine on keelatud, kuvatakse sündmuse ID 39 (või Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 sündmuse ID 41). Selles etapis saate seada registrivõtme väärtuseks tagasi väärtuse 1 (ühilduvusrežiim).

2025. aasta 10. septembri Windowsi värskenduses ei toetata enam registriväärtust StrongCertificateBindingEnforcement . ​​​​​​​

Lisaressursid

TLS-i kliendiserdi vastendamise kohta leiate lisateavet järgmistest artiklitest.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.