KB5014754 – Varmenteeseen perustuvat todennusmuutokset Windowsin toimialueen ohjauskoneissa

Vahvoja varmenteiden yhdistämismäärityksiä ei löytynyt, eikä varmenteella ollut uutta suojaustunnistetta (SID), jonka KDC pystyi vahvistamaan.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Varoitus, jos KDC on yhteensopivuustilassa Virhe, jos KDC on pakotustilassa
Tapahtumalähde	Kdcsvc
Tapahtumatunnus	39 41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)
Tapahtuman teksti	Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Tällaiset varmenteet on joko vaihdettava tai yhdistettävä suoraan käyttäjään eksplisiittisen yhdistämisen avulla. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925. Käyttäjä: <päänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydellinen toimialuenimi (FQDN)> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki

Varmenne on myönnetty käyttäjälle ennen käyttäjän olemassaoloa Active Directoryssa, eikä vahvaa yhdistämismääritystä löytynyt. Tämä tapahtuma kirjataan lokiin vain, kun KDC on yhteensopivuustilassa.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Virhe
Tapahtumalähde	Kdcsvc
Tapahtumatunnus	40 48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2
Tapahtuman teksti	Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Varmenne on myös vanhentunut käyttäjälle, jonka se on yhdistänyt, joten se hylättiin. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925. Käyttäjä: <päänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki Varmenteen myöntämisaika: varmenteen> <FILETIME Tilin luontiaika: <AD-> pääobjektin FILETIME

Käyttäjien varmenteen uudessa laajennuksessa oleva SID ei vastaa käyttäjien SID-tunnusta, mikä viittaa siihen, että varmenne on myönnetty toiselle käyttäjälle.

Tapahtumaloki	Järjestelmä
Tapahtumatyyppi	Virhe
Tapahtumalähde	Kdcsvc
Tapahtumatunnus	41 49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2)
Tapahtuman teksti	Avainten jakelukeskus (KDC) kohtasi kelvollisen käyttäjävarmenteen, joka sisälsi eri SID-tunnuksen kuin käyttäjä, johon se on määrittänyt. Tämän seurauksena varmennetta koskeva pyyntö epäonnistui. Lisätietoja on artikkelissa https://go.microsoft.cm/fwlink/?linkid=2189925. Käyttäjä: <päänimi> User SID: <SID todennuspäänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki Certificate SID: <SID löytyi uudesta varmennelaajennuksesta>

Huomautus Tietyt kentät, kuten Myöntäjä, Aihe ja Sarjanumero, raportoidaan välitysmuodossa. Tämä muoto on muutettava käänteiseksi, kun lisäät yhdistämismerkkijonon altSecurityIdentities-määritteeseen . Jos esimerkiksi haluat lisätä X509IssuerSerialNumber-yhdistämismäärityksen käyttäjälle, etsi sen varmenteen Myöntäjä- ja Sarjanumero-kentistä, jonka haluat yhdistää käyttäjään. Katso alla oleva esimerkkitulos.

• Myöntäjä: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Sarjanumero: 2B0000000011AC0000000012

Päivitä sitten käyttäjän AltSecurityIdentities-määrite Active Directoryssa seuraavalla merkkijonolla:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"

Jos haluat päivittää tämän määritteen Powershellin avulla, voit käyttää alla olevaa komentoa. Muista, että oletusarvoisesti vain toimialueen järjestelmänvalvojilla on oikeus päivittää tämä määrite.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Huomaa, että kun kumoat sarjanumeron, sinun on pidettävä tavujärjestys. Tämä tarkoittaa, että järjestysnumeron "A1B2C3" peruuttamisen pitäisi johtaa merkkijonoon "C3B2A1" eikä "3C2B1A". Lisätietoja on ohjeaiheessa HowTo: Käyttäjän yhdistäminen varmenteeseen kaikilla vaihtoehtoisenSecurityIdentities-määritteen menetelmillä.

Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, laitteet ovat yhteensopivuustilassa. Jos varmenne voidaan yhdistää vahvasti käyttäjään, todennus tapahtuu odotetulla tavalla. Jos varmenne voidaan yhdistää vain käyttäjään heikosti, todennus tapahtuu odotetulla tavalla. Varoitussanoma kirjataan kuitenkin lokiin, ellei varmenne ole käyttäjää vanhempi. Jos varmenne on vanhempi kuin käyttäjä ja varmenteen varmuuskopioinnin rekisteriavainta ei ole tai alue on varmuuskopioinnin korvaamisen ulkopuolella, todennus epäonnistuu ja virhesanoma kirjataan lokiin.  Jos Varmenteen varmuuskopioinnin rekisteriavain on määritetty, se kirjaa varoitussanoman tapahtumalokiin, jos päivämäärät kuuluvat varmuuskopioinnin kompensaatioon.

Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, katso mahdolliset varoitusviestit, jotka saattavat näkyä kuukauden tai useamman kuukauden kuluttua. Jos varoitussanomia ei ole, suosittelemme vahvasti, että otat täyden pakotustilan käyttöön kaikissa toimialueen ohjauskoneissa varmennepohjaisen todentamisen avulla. Voit ottaa täyden pakotustilan käyttöön KDC-rekisteriavaimen avulla.

Ellei tätä tilaa ole päivitetty aiemmin, päivitämme kaikki laitteet täyteen pakotustilaan 11. helmikuuta 2025 tai uudempaan versioon mennessä. Jos varmennetta ei voi määrittää vahvasti, todennus hylätään.

Jos varmennepohjainen todennus perustuu heikkoon yhdistämismääritykseen, jota ei voi siirtää ympäristöstä, voit asettaa toimialueen ohjauskoneet käytöstä poistettuun tilaan rekisteriavainasetuksen avulla. Microsoft ei suosittele tätä, ja poistamme käytöstä poistetun tilan 11. huhtikuuta 2023.

Kun olet asentanut 13.2.2024 tai uudemmat Windows-päivitykset Server 2019:ään ja uudemmissa versioissa ja tuettuja asiakkaita, joihin on asennettu valinnainen RSAT-ominaisuus, Active Directory Users & Computers -sovelluksen varmenteiden yhdistämismääritykset valitsevat oletusarvoisesti vahvat yhdistämismääritykset X509IssuerSerialNumberin avulla X509IssuerSubjectin heikon yhdistämismäärityksen sijaan. Asetusta voi edelleen muuttaa haluamallasi tavalla.

• Käytä kyseisen tietokoneen Kerberos Operational -lokia sen määrittämiseen, mikä toimialueen ohjauskone epäonnistuu kirjautumisessa. Siirry kohtaan Tapahtumienvalvonta > Sovellukset ja palvelut -lokit\Microsoft \Windows\Security-Kerberos\Operational.

• Etsi osuvia tapahtumia toimialueen ohjauskoneen Järjestelmän tapahtumalokista, jota vastaan tili yrittää todentaa.

• Jos varmenne on tiliä vanhempi, luo varmenne uudelleen tai lisää tiliin suojattu altSecurityId-kohteiden yhdistämismääritys (katso Varmenteiden yhdistämismääritykset).

• Jos varmenne sisältää SID-tunnisteen, varmista, että SID vastaa tiliä.

• Jos varmennetta käytetään useiden eri tilien todennusta varten, jokaiselle tilille on määritettävä erillinen altSecurityId-entiteettien määritys.

• Jos varmenteessa ei ole suojattua yhdistämismääritystä tiliin, lisää se tai jätä toimialue yhteensopivuustilaan, kunnes se voidaan lisätä.

Esimerkki TLS-varmenteiden yhdistämisestä on IIS intranet -verkkosovelluksen käyttäminen.

• CVE-2022-26391- ja CVE-2022-26923-suojausten asentamisen jälkeen näissä skenaarioissa käytetään oletusarvoisesti Kerberos Certificate Service For User (S4U) -protokollaa varmenteiden yhdistämiseen ja todentamiseen.

• Kerberos Certificate S4U -protokollassa todennuspyyntö siirtyy sovelluspalvelimesta toimialueen ohjauskoneeseen, ei asiakkaasta toimialueen ohjauskoneeseen. Siksi olennaiset tapahtumat ovat sovelluspalvelimessa.

Tämä rekisteriavain muuttaa KDC:n pakotustilan käytöstä poistetuksi tilaksi, yhteensopivuustilaksi tai täydeksi pakotustilaksi.

Rekisterin aliavain	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Arvo	StrongCertificateBindingEnforcement
Tietotyyppi	REG_DWORD
Tiedot	1 – Tarkistaa, onko varmenteen yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä tunnistetta ei ole, todennus on sallittu, jos käyttäjätili on varmenteen edeltävä. 2 – Tarkistaa, onko varmenteiden yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä laajennusta ei ole, todennus on estetty. 0 – Poistaa vahvan varmenteiden yhdistämistarkistuksen käytöstä. Ei suositella, koska tämä poistaa käytöstä kaikki suojausparannukset. Jos määrität arvoksi 0, sinun on myös määritettävä CertificateMappingMethods-arvoksi 0x1F alla olevassa Schannel-rekisteriavainosassa kuvatulla tavalla, jotta tietokonevarmennepohjainen todentaminen onnistuu..
Uudelleenkäynnistys Pakollinen?	Ei

Kun palvelinsovellus edellyttää asiakkaan todennusta, Schannel yrittää automaattisesti yhdistää varmenteen, jonka TLS-asiakas toimittaa käyttäjätilille. Voit todentaa käyttäjät, jotka kirjautuvat sisään asiakasvarmenteella, luomalla yhdistämismäärityksiä, jotka yhdistävät varmennetiedot Windows-käyttäjätiliin. Kun olet luonut varmenteen yhdistämismäärityksen ja ottanut sen käyttöön aina, kun asiakas esittää asiakasvarmenteen, palvelinsovellus liittää kyseisen käyttäjän automaattisesti oikeaan Windows-käyttäjätiliin.

Schannel yrittää yhdistää jokaisen käytössä olevan varmenteen yhdistämismenetelmän, kunnes se onnistuu. Schannel yrittää ensin yhdistää Service-For-User-To-Self (S4U2Self) -määritykset. Aihe-/myöntäjä-, myöntäjä- ja UPN-varmenteiden yhdistämismääritykset ovat nyt heikkoja, ja ne on oletusarvoisesti poistettu käytöstä. Valittujen asetusten bittikarttasumma määrittää käytettävissä olevien varmenteiden yhdistämismenetelmien luettelon.

SChannel-rekisteriavaimen oletusasetus oli 0x1F ja on nyt 0x18. Jos schannel-pohjaisissa palvelinsovelluksissa ilmenee todennusvirheitä, suosittelemme, että suoritat testin. Lisää tai muokkaa CertificateMappingMethods-rekisteriavainarvoa toimialueen ohjauskoneeseen ja määritä se 0x1F ja katso, korjaantyyko ongelma. Lisätietoja on tässä artikkelissa luetelluista virheistä toimialueen ohjauskoneen Järjestelmän tapahtumalokeissa. Muista, että SChannel-rekisteriavaimen arvon muuttaminen takaisin edelliseen oletusarvoon (0x1F) palautuu heikoilla varmenteiden yhdistämismenetelmillä.

Rekisterin aliavain	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Arvo	CertificateMappingMethods
Tietotyyppi	DWORD
Tiedot	0x0001 – Subject/Issuer certificate mapping (heikko – oletusarvoisesti poissa käytöstä) 0x0002 – Myöntäjän varmenteen yhdistäminen (heikko – oletusarvoisesti poissa käytöstä) 0x0004 – UPN-varmenteiden yhdistäminen (heikko – oletusarvoisesti poissa käytöstä) 0x0008 – S4U2Self-varmenteiden yhdistäminen (vahva) 0x0010 – S4U2Sel eksplisiittinen varmenteiden yhdistäminen (strong)
Uudelleenkäynnistys Pakollinen?	Ei

Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.

Kun olet asentanut päivitykset, joiden osoite on CVE-2022-26931 ja CVE-2022-26923, todennus saattaa epäonnistua tapauksissa, joissa käyttäjävarmenteet ovat vanhempia kuin käyttäjien luontiaika. Tämä rekisteriavain mahdollistaa onnistuneen todentamisen, kun käytät heikkoja varmenteiden yhdistämismäärityksiä ympäristössäsi ja varmenneaika on ennen käyttäjän luontiaikaa määritetyllä alueella. Tämä rekisteriavain ei vaikuta käyttäjiin tai koneisiin, joilla on vahva varmenteiden yhdistäminen, koska varmenteen aikaa ja käyttäjän luontiaikaa ei tarkisteta vahvoilla varmenteiden yhdistämismäärityksillä. Tämä rekisteriavain ei vaikuta, kun StrongCertificateBindingEnforcement-asetuksena on 2.

Tämän rekisteriavaimen käyttäminen on tilapäinen vaihtoehtoinen menetelmä ympäristöille, jotka edellyttävät sitä ja jotka on tehtävä varoen. Tämän rekisteriavaimen käyttäminen tarkoittaa ympäristöllesi seuraavaa:

• Tämä rekisteriavain toimii yhteensopivuustilassa vain 10.5.2022 julkaistuista päivityksistä alkaen. Todennus sallitaan korvaavan kompensaatiopoikkeuksen aikana, mutta heikon sidonnan vuoksi kirjataan tapahtumalokivaroitus.

• Tämän rekisteriavaimen käyttöönotto mahdollistaa käyttäjän todentamisen, kun varmenteen aika on ennen käyttäjän luontiaikaa määritetyllä alueella heikkona yhdistämismäärityksenä. Heikkoja yhdistämismäärityksiä ei tueta, kun Windowsiin on asennettu 11. helmikuuta 2025 julkaistut päivitykset, jotka mahdollistavat täyden pakotustilan.

Rekisterin aliavain	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Arvo	CertificateBackdatingCompensation
Tietotyyppi	REG_DWORD
Tiedot	Vaihtoehtoisen menetelmän arvot noin vuosissa: 50 vuotta: 0x5E0C89C0 25 vuotta: 0x2EFE0780 10 vuotta: 0x12CC0300 5 vuotta: 0x9660180 3 vuotta: 0x5A39A80 1 vuosi: 0x1E13380 Huomautus Jos tiedät varmenteiden käyttöiän ympäristössäsi, määritä tämän rekisteriavaimen arvoksi hieman pidempi kuin varmenteen elinkaari.  Jos et tiedä ympäristösi varmenteen käyttöikää, määritä tämän rekisteriavaimen arvoksi 50 vuotta. Oletusarvo on 10 minuuttia, kun tämä avain ei ole näkyvissä, mikä vastaa Active Directory -varmennepalveluja (ADCS). Suurin arvo on 50 vuotta (0x5E0C89C0). Tämä näppäin määrittää sekunteina aikaeron, jonka avainten jakelukeskus (KDC) ohittaa todennusvarmenteen myöntämisajan ja käyttäjä-/konetilien luontiajan välillä. Tärkeää Määritä tämä rekisteriavain vain, jos ympäristö edellyttää sitä. Tämän rekisteriavaimen käyttäminen poistaa suojaustarkistuksen käytöstä.
Uudelleenkäynnistys Pakollinen?	Ei

Suorita seuraava varmennekomento , jos haluat estää käyttäjämallin varmenteita saamasta uutta laajennusta.

1. Kirjaudu varmenteen myöntäjän palvelimeen tai toimialueeseen liitettyun Windows 10 asiakasohjelmaan yrityksen järjestelmänvalvojalla tai vastaavilla tunnistetiedoilla.

2. Avaa komentokehote ja valitse Suorita järjestelmänvalvojana.

3. Suorita certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Tämän laajennuksen lisäämisen poistaminen käytöstä poistaa uuden laajennuksen tarjoaman suojauksen. Harkitse tätä vain jonkin seuraavan jälkeen:

1. Vahvistat, että vastaavat varmenteet eivät ole hyväksyttäviä PKINIT (Public Key Cryptography for Initial Authentication) -salauksessa KDC:n Kerberos Protocol -todennuksessa

2. Vastaavilla varmenteilla on muita vahvoja varmenteiden yhdistämismäärityksiä määritettynä

Ympäristöjä, joissa on muita kuin Microsoft CA -käyttöönottoja, ei suojata uudella SID-laajennuksella 10. toukokuuta 2022 julkaistun Windows-päivityksen asentamisen jälkeen. Asiakkaiden, joita ongelma koskee, tulee tehdä yhteistyötä vastaavien varmenteiden myöntäjien toimittajien kanssa tämän ratkaisemiseksi tai harkita muiden yllä kuvattujen vahvojen varmenteiden yhdistämismääritysten käyttöä.

Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.

Ei, uusimista ei tarvita. Varmenteiden myöntäjä toimitetaan yhteensopivuustilassa. Jos haluat vahvan yhdistämisen ObjectSID-laajennuksen avulla, tarvitset uuden varmenteen.