Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Päivämäärän muuttaminen

Kuvaus

9/10/2024

Muutit Windows-päivitysten ajoitukset -osion täyden pakotustilan kuvauksen vastaamaan uusia päivämääriä. 11. helmikuuta 2025 siirtää laitteet pakotustilaan, mutta jättää tuen siirtyäkseen takaisin yhteensopivuustilaan. Täydellinen rekisteriavaimen tuki päättyy nyt 10. syyskuuta 2025.

7/5/2024

Lisätty tietoja SID-laajennuksesta Avainten jakelukeskuksen (KDC) rekisteriavaimeen Rekisteriavaimen tiedot -osassa.

10.10.2023

Lisätty tietoja vahvojen yhdistämismääritysten oletusmuutoksista kohdassa "Windows Päivitykset aikajana"

6/30/2023

Muutettu täydet pakotustilat päivämäärästä 14.11.2023 11.2.2025 (nämä päivämäärät on aiemmin lueteltu 19. toukokuuta 2023 ja 14. marraskuuta 2023).

1/26/2023

Poistettu käytöstä -tilan poistaminen 14. helmikuuta 2023 ja 11. huhtikuuta 2023

Yhteenveto

CVE-2022-34691,CVE-2022-26931 ja CVE-2022-26923 korjaavat käyttöoikeuksien haavoittuvuutta, joka voi ilmetä, kun Kerberos Key Distribution Center (KDC) tukee varmennepohjaista todennuspyyntöä. Ennen 10.5.2022 julkaistua suojauspäivitystä varmenteeseen perustuva todennus ei merkinnut dollarimerkkiä ($) koneen nimen lopussa. Tämä mahdollisti toisiinsa liittyvien varmenteiden emuloidun (väärennetyn) eri tavoin. Lisäksi käyttäjien päänimien (UPN) ja sAMAccountNamein väliset ristiriidat toi mukanaan muita emuloinnin (huijaus) haavoittuvuuksia, joita korjaamme myös tämän suojauspäivityksen yhteydessä. 

Toimi

Voit suojata ympäristösi suorittamalla seuraavat varmenteeseen perustuvan todentamisen vaiheet:

  1. Päivitä 10. toukokuuta 2022 julkaistulla päivityksellä kaikki palvelimet, joissa on Käytössä Active Directory -varmennepalvelut ja Windowsin toimialueen ohjauskoneet, jotka palvelevat varmennepohjaista todentamista (katso Yhteensopivuustila). 10. toukokuuta 2022 -päivitys tarjoaa valvontatapahtumia , jotka tunnistavat varmenteet, jotka eivät ole yhteensopivia täyden pakotustilan kanssa.

  2. Jos toimialueen ohjauskoneisiin ei luoda valvontatapahtumalokeja kuukauden ajan päivityksen asentamisen jälkeen, jatka täyden pakotustilan käyttöönottoa kaikissa toimialueen ohjauskoneissa. 11. helmikuuta 2025 mennessä kaikki laitteet päivitetään Täysi pakotus -tilaan. Jos varmenne epäonnistuu tässä tilassa vahvan (suojatun) määritysehdon (katso Varmenteiden yhdistämismääritykset), todennus hylätään. Mahdollisuus siirtyä takaisin yhteensopivuustilaan säilyy kuitenkin 10. syyskuuta 2025 asti.

Tapahtumien valvonta

Windows 10. toukokuuta 2022 -päivitys lisää seuraavat tapahtumalokit.

Vahvoja varmenteiden yhdistämismäärityksiä ei löytynyt, eikä varmenteella ollut uutta suojaustunnistetta (SID), jonka KDC pystyi vahvistamaan.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus, jos KDC on yhteensopivuustilassa

Virhe, jos KDC on pakotustilassa

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

39

41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Tapahtuman teksti

Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Tällaiset varmenteet on joko vaihdettava tai yhdistettävä suoraan käyttäjään eksplisiittisen yhdistämisen avulla. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925.

Käyttäjä: <päänimi>

Varmenteen aihe: <aiheen nimi Varmenne->

Varmenteen myöntäjä: <myöntäjän täydellinen toimialuenimi (FQDN)>

Varmenteen sarjanumero: <varmenteen sarjanumero>

Varmenteen peukalonjälki: <varmenteen> peukalonjälki

Varmenne on myönnetty käyttäjälle ennen käyttäjän olemassaoloa Active Directoryssa, eikä vahvaa yhdistämismääritystä löytynyt. Tämä tapahtuma kirjataan lokiin vain, kun KDC on yhteensopivuustilassa.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Virhe

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

40

48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2

Tapahtuman teksti

Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Varmenne on myös vanhentunut käyttäjälle, jonka se on yhdistänyt, joten se hylättiin. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925.

Käyttäjä: <päänimi>

Varmenteen aihe: <aiheen nimi Varmenne->

Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen>

Varmenteen sarjanumero: <varmenteen sarjanumero>

Varmenteen peukalonjälki: <varmenteen> peukalonjälki

Varmenteen myöntämisaika: varmenteen> <FILETIME

Tilin luontiaika: <AD-> pääobjektin FILETIME

Käyttäjien varmenteen uudessa laajennuksessa oleva SID ei vastaa käyttäjien SID-tunnusta, mikä viittaa siihen, että varmenne on myönnetty toiselle käyttäjälle.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Virhe

Tapahtumalähde

Kdcsvc

Tapahtumatunnus

41

49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)

Tapahtuman teksti

Avainten jakelukeskus (KDC) kohtasi kelvollisen käyttäjävarmenteen, joka sisälsi eri SID-tunnuksen kuin käyttäjä, johon se on määrittänyt. Tämän seurauksena varmennetta koskeva pyyntö epäonnistui. Lisätietoja on artikkelissa https://go.microsoft.cm/fwlink/?linkid=2189925.

Käyttäjä: <päänimi>

User SID: <SID todennuspäänimi>

Varmenteen aihe: <aiheen nimi Varmenne->

Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen>

Varmenteen sarjanumero: <varmenteen sarjanumero>

Varmenteen peukalonjälki: <varmenteen> peukalonjälki

Certificate SID: <SID löytyi uudesta varmennelaajennuksesta>

Varmenteiden yhdistämismääritykset

Toimialueen järjestelmänvalvojat voivat yhdistää varmenteet manuaalisesti käyttäjälle Active Directoryssa käyttämällä käyttäjien objektin altSecurityIdentities-määritettä . Määritteelle on kuusi tuettua arvoa, ja kolmea karttaa pidetään heikkoina (epävarmoina) ja kolmea muuta vahvaa. Yleensä yhdistämistyyppejä pidetään vahvoina, jos ne perustuvat tunnisteisiin, joita ei voi käyttää uudelleen. Siksi kaikkia käyttäjänimiin ja sähköpostiosoitteisiin perustuvia yhdistämistyyppejä pidetään heikkoina.

Kuvaus

Esimerkki

Tyyppi

Huomautukset

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Heikko

X509SubjectOnly

"X509:<S>SubjectName"

Heikko

X509RFC822

"X509:<RFC822>user@contoso.com"

Heikko

Sähköpostiosoite

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Vahva

Ehdotukset

X509SKI

"X509:<SKI>123456789abcdef"

Vahva

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Vahva

Jos asiakkaat eivät voi luoda varmenteita uudelleen uudella SID-tunnisteella, suosittelemme, että luot manuaalisen yhdistämisen käyttämällä jotakin yllä kuvatuista vahvoista yhdistämismäärityksistä. Voit tehdä tämän lisäämällä sopivan yhdistämismerkkijonon käyttäjien altSecurityIdentities-määritteeseen Active Directoryssa.

Muistiinpano Tietyt kentät, kuten Myöntäjä, Aihe ja Sarjanumero, raportoidaan välitysmuodossa. Tämä muoto on muutettava käänteiseksi, kun lisäät yhdistämismerkkijonon altSecurityIdentities-määritteeseen . Jos esimerkiksi haluat lisätä X509IssuerSerialNumber-yhdistämismäärityksen käyttäjälle, etsi sen varmenteen Myöntäjä- ja Sarjanumero-kentistä, jonka haluat yhdistää käyttäjään. Katso alla oleva esimerkkitulos.

  • Myöntäjä: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Sarjanumero: 2B0000000011AC0000000012

Päivitä sitten käyttäjän AltSecurityIdentities-määrite Active Directoryssa seuraavalla merkkijonolla:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"

Jos haluat päivittää tämän määritteen Powershellin avulla, voit käyttää alla olevaa komentoa. Muista, että oletusarvoisesti vain toimialueen järjestelmänvalvojilla on oikeus päivittää tämä määrite.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Huomaa, että kun kumoat sarjanumeron, sinun on pidettävä tavujärjestys. Tämä tarkoittaa, että järjestysnumeron "A1B2C3" peruuttamisen pitäisi johtaa merkkijonoon "C3B2A1" eikä "3C2B1A". Lisätietoja on ohjeaiheessa HowTo: Käyttäjän yhdistäminen varmenteeseen kaikilla vaihtoehtoisenSecurityIdentities-määritteen menetelmillä.

Windows-päivitysten aikajana

Tärkeää Käyttöönottovaihe alkaa Windowsin 11. huhtikuuta 2023 julkaistuilla päivityksillä, jotka ohittavat Käytöstä poistetun tilan rekisteriavaimen asetuksen. 

Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, laitteet ovat yhteensopivuustilassa. Jos varmenne voidaan yhdistää vahvasti käyttäjään, todennus tapahtuu odotetulla tavalla. Jos varmenne voidaan yhdistää vain käyttäjään heikosti, todennus tapahtuu odotetulla tavalla. Varoitussanoma kirjataan kuitenkin lokiin, ellei varmenne ole käyttäjää vanhempi. Jos varmenne on vanhempi kuin käyttäjä ja varmenteen varmuuskopioinnin rekisteriavainta ei ole tai alue on varmuuskopioinnin korvaamisen ulkopuolella, todennus epäonnistuu ja virhesanoma kirjataan lokiin.  Jos Varmenteen varmuuskopioinnin rekisteriavain on määritetty, se kirjaa varoitussanoman tapahtumalokiin, jos päivämäärät kuuluvat varmuuskopioinnin kompensaatioon.

Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, katso mahdolliset varoitusviestit, jotka saattavat näkyä kuukauden tai useamman kuukauden kuluttua. Jos varoitussanomia ei ole, suosittelemme vahvasti, että otat täyden pakotustilan käyttöön kaikissa toimialueen ohjauskoneissa varmennepohjaisen todentamisen avulla. Voit ottaa täyden pakotustilan käyttöön KDC-rekisteriavaimen avulla.

Ellei tätä tilaa ole päivitetty aiemmin, päivitämme kaikki laitteet täyteen pakotustilaan 11. helmikuuta 2025 tai uudempaan versioon mennessä. Jos varmennetta ei voi määrittää vahvasti, todennus hylätään. Yhteensopivuustilaan siirtyminen säilyy 10.9.2025 asti. Tämän päivämäärän jälkeen StrongCertificateBindingEnforcement-rekisteriarvoa ei enää tueta.

Jos varmennepohjainen todennus perustuu heikkoon yhdistämismääritykseen, jota ei voi siirtää ympäristöstä, voit asettaa toimialueen ohjauskoneet käytöstä poistettuun tilaan rekisteriavainasetuksen avulla. Microsoft ei suosittele tätä, ja poistamme käytöstä poistetun tilan 11. huhtikuuta 2023.

Kun olet asentanut 13.2.2024 tai uudemmat Windows-päivitykset Server 2019:ään ja uudemmissa versioissa ja tuettuja asiakkaita, joihin on asennettu valinnainen RSAT-ominaisuus, Active Directory Users & Computers -sovelluksen varmenteiden yhdistämismääritykset valitsevat oletusarvoisesti vahvat yhdistämismääritykset X509IssuerSerialNumberin avulla X509IssuerSubjectin heikon yhdistämismäärityksen sijaan. Asetusta voi edelleen muuttaa haluamallasi tavalla.

Vianmääritys

  • Käytä kyseisen tietokoneen Kerberos Operational -lokia sen määrittämiseen, mikä toimialueen ohjauskone epäonnistuu kirjautumisessa. Siirry kohtaan Tapahtumienvalvonta > Sovellukset ja palvelut -lokit\Microsoft \Windows\Security-Kerberos\Operational.

  • Etsi osuvia tapahtumia toimialueen ohjauskoneen Järjestelmän tapahtumalokista, jota vastaan tili yrittää todentaa.

  • Jos varmenne on tiliä vanhempi, luo varmenne uudelleen tai lisää tiliin suojattu altSecurityId-kohteiden yhdistämismääritys (katso Varmenteiden yhdistämismääritykset).

  • Jos varmenne sisältää SID-tunnisteen, varmista, että SID vastaa tiliä.

  • Jos varmennetta käytetään useiden eri tilien todennusta varten, jokaiselle tilille on määritettävä erillinen altSecurityId-entiteettien määritys.

  • Jos varmenteessa ei ole suojattua yhdistämismääritystä tiliin, lisää se tai jätä toimialue yhteensopivuustilaan, kunnes se voidaan lisätä.

Esimerkki TLS-varmenteiden yhdistämisestä on IIS intranet -verkkosovelluksen käyttäminen.

  • CVE-2022-26391- ja CVE-2022-26923-suojausten asentamisen jälkeen näissä skenaarioissa käytetään oletusarvoisesti Kerberos Certificate Service For User (S4U) -protokollaa varmenteiden yhdistämiseen ja todentamiseen.

  • Kerberos Certificate S4U -protokollassa todennuspyyntö siirtyy sovelluspalvelimesta toimialueen ohjauskoneeseen, ei asiakkaasta toimialueen ohjauskoneeseen. Siksi olennaiset tapahtumat ovat sovelluspalvelimessa.

Rekisteriavaimen tiedot

Kun olet asentanut CVE-2022-26931- ja CVE-2022-26923-suojaukset 10.5.2022–10.9.2025 tai uudemmissa versioissa julkaistuihin Windows-päivityksiin, seuraavat rekisteriavaimet ovat käytettävissä.

Tämä rekisteriavain muuttaa KDC:n pakotustilan käytöstä poistetuksi tilaksi, yhteensopivuustilaksi tai täydeksi pakotustilaksi.

Tärkeää

Tämän rekisteriavaimen käyttäminen on tilapäinen vaihtoehtoinen menetelmä ympäristöille, jotka edellyttävät sitä ja jotka on tehtävä varoen. Tämän rekisteriavaimen käyttäminen tarkoittaa ympäristöllesi seuraavaa:

  • Tämä rekisteriavain toimii yhteensopivuustilassa vain 10.5.2022 julkaistuista päivityksistä alkaen.

  • Tätä rekisteriavainta ei tueta 10. syyskuuta 2025 julkaistujen Windows-päivitysten asentamisen jälkeen.

  • Strong Certificate Binding Enforcement -toiminnon käyttämä SID-tunnisteen tunnistus ja kelpoisuustarkistus on riippuvainen KDC-rekisteriavaimen UseSubjectAltName-arvosta . SID-tunnistetta käytetään, jos rekisteriarvoa ei ole tai jos arvoksi on määritetty 0x1. SID-tunnistetta ei käytetä, jos UseSubjectAltName on olemassa ja arvoksi on määritetty 0x0.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Arvo

StrongCertificateBindingEnforcement

Tietotyyppi

REG_DWORD

Tiedot

1 – Tarkistaa, onko varmenteen yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä tunnistetta ei ole, todennus on sallittu, jos käyttäjätili on varmenteen edeltävä.

2 – Tarkistaa, onko varmenteiden yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä laajennusta ei ole, todennus on estetty.

0 – Poistaa vahvan varmenteiden yhdistämistarkistuksen käytöstä. Ei suositella, koska tämä poistaa käytöstä kaikki suojausparannukset.

Jos määrität arvoksi 0, sinun on myös määritettävä CertificateMappingMethods-arvoksi 0x1F alla olevassa Schannel-rekisteriavainosassa kuvatulla tavalla, jotta tietokonevarmennepohjainen todentaminen onnistuu..

Uudelleenkäynnistys Pakollinen?

Ei

Kun palvelinsovellus edellyttää asiakkaan todennusta, Schannel yrittää automaattisesti yhdistää varmenteen, jonka TLS-asiakas toimittaa käyttäjätilille. Voit todentaa käyttäjät, jotka kirjautuvat sisään asiakasvarmenteella, luomalla yhdistämismäärityksiä, jotka yhdistävät varmennetiedot Windows-käyttäjätiliin. Kun olet luonut varmenteen yhdistämismäärityksen ja ottanut sen käyttöön aina, kun asiakas esittää asiakasvarmenteen, palvelinsovellus liittää kyseisen käyttäjän automaattisesti oikeaan Windows-käyttäjätiliin.

Schannel yrittää yhdistää jokaisen käytössä olevan varmenteen yhdistämismenetelmän, kunnes se onnistuu. Schannel yrittää ensin yhdistää Service-For-User-To-Self (S4U2Self) -määritykset. Aihe-/myöntäjä-, myöntäjä- ja UPN-varmenteiden yhdistämismääritykset ovat nyt heikkoja, ja ne on oletusarvoisesti poistettu käytöstä. Valittujen asetusten bittikarttasumma määrittää käytettävissä olevien varmenteiden yhdistämismenetelmien luettelon.

SChannel-rekisteriavaimen oletusasetus oli 0x1F ja on nyt 0x18. Jos schannel-pohjaisissa palvelinsovelluksissa ilmenee todennusvirheitä, suosittelemme, että suoritat testin. Lisää tai muokkaa CertificateMappingMethods-rekisteriavainarvoa toimialueen ohjauskoneeseen ja määritä se 0x1F ja katso, korjaantyyko ongelma. Lisätietoja on tässä artikkelissa luetelluista virheistä toimialueen ohjauskoneen Järjestelmän tapahtumalokeissa. Muista, että SChannel-rekisteriavaimen arvon muuttaminen takaisin edelliseen oletusarvoon (0x1F) palautuu heikoilla varmenteiden yhdistämismenetelmillä.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Arvo

CertificateMappingMethods

Tietotyyppi

DWORD

Tiedot

0x0001 – Subject/Issuer certificate mapping (heikko – oletusarvoisesti poissa käytöstä)

0x0002 – Myöntäjän varmenteen yhdistäminen (heikko – oletusarvoisesti poissa käytöstä)

0x0004 – UPN-varmenteiden yhdistäminen (heikko – oletusarvoisesti poissa käytöstä)

0x0008 – S4U2Self-varmenteiden yhdistäminen (vahva)

0x0010 – S4U2Sel eksplisiittinen varmenteiden yhdistäminen (strong)

Uudelleenkäynnistys Pakollinen?

Ei

Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.

Kun olet asentanut päivitykset, joiden osoite on CVE-2022-26931 ja CVE-2022-26923, todennus saattaa epäonnistua tapauksissa, joissa käyttäjävarmenteet ovat vanhempia kuin käyttäjien luontiaika. Tämä rekisteriavain mahdollistaa onnistuneen todentamisen, kun käytät heikkoja varmenteiden yhdistämismäärityksiä ympäristössäsi ja varmenneaika on ennen käyttäjän luontiaikaa määritetyllä alueella. Tämä rekisteriavain ei vaikuta käyttäjiin tai koneisiin, joilla on vahva varmenteiden yhdistäminen, koska varmenteen aikaa ja käyttäjän luontiaikaa ei tarkisteta vahvoilla varmenteiden yhdistämismäärityksillä. Tämä rekisteriavain ei vaikuta, kun StrongCertificateBindingEnforcement-asetuksena on 2.

Tämän rekisteriavaimen käyttäminen on tilapäinen vaihtoehtoinen menetelmä ympäristöille, jotka edellyttävät sitä ja jotka on tehtävä varoen. Tämän rekisteriavaimen käyttäminen tarkoittaa ympäristöllesi seuraavaa:

  • Tämä rekisteriavain toimii yhteensopivuustilassa vain 10.5.2022 julkaistuista päivityksistä alkaen. Todennus sallitaan korvaavan kompensaatiopoikkeuksen aikana, mutta heikon sidonnan vuoksi kirjataan tapahtumalokivaroitus.

  • Tämän rekisteriavaimen käyttöönotto mahdollistaa käyttäjän todentamisen, kun varmenteen aika on ennen käyttäjän luontiaikaa määritetyllä alueella heikkona yhdistämismäärityksenä. Heikkoja yhdistämismäärityksiä ei tueta 10. syyskuuta 2025 julkaistujen Windows-päivitysten asentamisen jälkeen.

Rekisterin aliavain

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Arvo

CertificateBackdatingCompensation

Tietotyyppi

REG_DWORD

Tiedot

Vaihtoehtoisen menetelmän arvot noin vuosissa:

  • 50 vuotta: 0x5E0C89C0

  • 25 vuotta: 0x2EFE0780

  • 10 vuotta: 0x12CC0300

  • 5 vuotta: 0x9660180

  • 3 vuotta: 0x5A39A80

  • 1 vuosi: 0x1E13380

Huomautus Jos tiedät varmenteiden käyttöiän ympäristössäsi, määritä tämän rekisteriavaimen arvoksi hieman pidempi kuin varmenteen elinkaari.  Jos et tiedä ympäristösi varmenteen käyttöikää, määritä tämän rekisteriavaimen arvoksi 50 vuotta. Oletusarvo on 10 minuuttia, kun tämä avain ei ole näkyvissä, mikä vastaa Active Directory -varmennepalveluja (ADCS). Suurin arvo on 50 vuotta (0x5E0C89C0).

Tämä näppäin määrittää sekunteina aikaeron, jonka avainten jakelukeskus (KDC) ohittaa todennusvarmenteen myöntämisajan ja käyttäjä-/konetilien luontiajan välillä.

Tärkeää Määritä tämä rekisteriavain vain, jos ympäristö edellyttää sitä. Tämän rekisteriavaimen käyttäminen poistaa suojaustarkistuksen käytöstä.

Uudelleenkäynnistys Pakollinen?

Ei

Yrityksen varmenteiden myöntäjät

Enterprise Certificate Authorities (CA) alkaa lisätä uutta ei-kriittistä tunnistetta objektitunnisteella (OID) (1.3.6.1.4.1.311.25.2) oletusarvoisesti kaikkiin varmenteisiin, jotka on myönnetty online-malleja vastaan Windows-päivityksen asentamisen jälkeen 10. toukokuuta 2022. Voit lopettaa tämän laajennuksen lisäämisen määrittämällä 0x00080000-bittisen arvon vastaavan mallin msPKI-Enrollment-Flag-arvossa .

Suorita seuraava varmennekomento , jos haluat estää käyttäjämallin varmenteita saamasta uutta laajennusta.

  1. Kirjaudu varmenteen myöntäjän palvelimeen tai toimialueeseen liitettyun Windows 10 asiakasohjelmaan yrityksen järjestelmänvalvojalla tai vastaavilla tunnistetiedoilla.

  2. Avaa komentokehote ja valitse Suorita järjestelmänvalvojana.

  3. Suorita certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Tämän laajennuksen lisäämisen poistaminen käytöstä poistaa uuden laajennuksen tarjoaman suojauksen. Harkitse tätä vain jonkin seuraavan jälkeen:

  1. Vahvistat, että vastaavat varmenteet eivät ole hyväksyttäviä PKINIT (Public Key Cryptography for Initial Authentication) -salauksessa KDC:n Kerberos Protocol -todennuksessa

  2. Vastaavilla varmenteilla on muita vahvoja varmenteiden yhdistämismäärityksiä määritettynä

Ympäristöjä, joissa on muita kuin Microsoft CA -käyttöönottoja, ei suojata uudella SID-laajennuksella 10. toukokuuta 2022 julkaistun Windows-päivityksen asentamisen jälkeen. Asiakkaiden, joita ongelma koskee, tulee tehdä yhteistyötä vastaavien varmenteiden myöntäjien toimittajien kanssa tämän ratkaisemiseksi tai harkita muiden yllä kuvattujen vahvojen varmenteiden yhdistämismääritysten käyttöä.

Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.

Usein kysytyt kysymykset

Ei, uusimista ei tarvita. Varmenteiden myöntäjä toimitetaan yhteensopivuustilassa. Jos haluat vahvan yhdistämisen ObjectSID-laajennuksen avulla, tarvitset uuden varmenteen.

11. helmikuuta 2025 julkaistussa Windows-päivityksessä laitteet, jotka eivät ole vielä käytössä (StrongCertificateBindingEnforcement-rekisteriarvo on 2), siirretään pakotteisiin. Jos todennus on estetty, näkyviin tulee Tapahtumatunnus 39 (tai Tapahtumatunnus 41 Windows Server 2008 R2 SP1:lle ja Windows Server 2008 SP2:lle). Tässä vaiheessa voit määrittää rekisteriavaimen arvon takaisin arvoksi 1 (yhteensopivuustila).

10. syyskuuta 2025 julkaistussa Windows-päivityksessä StrongCertificateBindingEnforcement-rekisteriarvoa ei enää tueta. ​​​​​​​

Muut resurssit

Lisätietoja TLS-asiakasvarmenteiden yhdistämisestä on seuraavissa artikkeleissa:

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.