KB5014754: promjene provjere autentičnosti na temelju certifikata na kontrolerima domene sustava Windows

Primjenjuje se na
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Zapisnik promjena
Promjena datuma Opis
9/10/2025 Ispravljen je datum načina provedbe s 10. rujna 2025. na 9. rujna 2025.
9/8/2025 Dodana referenca na odjeljak "Dodatni resursi"... Implementacija snažnog mapiranja u certifikate za Intune.
7/29/2025 Dodan je "Poznati problem" u odjeljku "Otklanjanje poteškoća"... Objekt pravilnik grupe može ometati "mapiranja na temelju naziva"
10/24/2024 Ažuriran je tekst radi jasnoće u 2. koraku odjeljka "Poduzimanje radnji" u opisu odjeljka "Način potpunog provođenja" u odjeljku "Vremenska crta za ažuriranja sustava Windows" i revidirali informacije o datumima za teme "Key Distribution Center (KDC) Registry Key" i "Certificate Backdating Registry Key" u odjeljku "Informacije o ključu registra".
9/10/2024 Promijenjen je opis Potpunog načina provođenja u odjeljku "Tempiranje za ažuriranja sustava Windows" tako da odražava nove datume. 11. veljače 2025. premjestit će uređaje u način provođenja, ali ostaviti podršku za povratak u način kompatibilnosti. Puna podrška za ključeve registra sada će završiti 9. rujna 2025.
7/5/2024 Dodane su informacije o SID proširenju ključu registra Key Distribution Center (KDC) u odjeljku "Informacije o ključu registra".
10.10.2023. Dodane su informacije o zadanim promjenama jakih mapiranja u odjeljku "Vremenska crta za ažuriranja sustava Windows"
6/30/2023 Promijenjen datum načina potpune provedbe sa 14. studenog 2023. na 11. veljače 2025. (ti su datumi prethodno bili navedeni kao 19. svibnja 2023. do 14. studenog 2023.).
1/26/2023 Promijenjeno je uklanjanje načina Onemogućeno s 14. veljače 2023. na 11. travnja 2023.

Sažetak

CVE-2022-34691,CVE-2022-26931 i CVE-2022-26923 rješavaju ranjivost povećavanja privilegije koja se može pojaviti kada Kerberos Key Distribution Center (KDC) servisira zahtjev za provjeru autentičnosti na temelju certifikata. Prije sigurnosnog ažuriranja od 10. svibnja 2022. provjera autentičnosti utemeljena na certifikatu ne bi uzimala u obzir znak dolara ($) na kraju naziva računala. To je omogućivalo emuliranje (lažiranje) povezanih certifikata na razne načine. Osim toga, sukobi između glavnih imena korisnika (UPN) i sAMAccountName uveli su i druge slabe točke prilikom emulacije (lažnog predstavljanja) koje rješavamo i ovim sigurnosnim ažuriranjem.

Preuzmite stvari u svoje ruke

Da biste zaštitili svoje okruženje, za provjeru autentičnosti pomoću certifikata učinite sljedeće:

  1. Ažurirajte sve poslužitelje koji pokreću Active Directory Certificate Services i kontrolore domene sustava Windows koji pružaju usluge provjere autentičnosti na temelju certifikata uz ažuriranje od 10. svibnja 202,2 (pogledajte Način kompatibilnosti). Ažuriranje od 10. svibnja 2022. omogućit će događaje nadzora koji identificiraju certifikate koji nisu kompatibilni s načinom potpunog provođenja.
  2. Ako se mjesec dana nakon instalacije ažuriranja na kontrolerima domene ne stvore zapisnici događaja nadzora, nastavite s omogućivanjem načina potpune provedbe na svim domenskim kontrolerima. Ako do veljače 2025. ključ registra StrongCertificateBindingEnforcemennije konfiguriran, domenski kontroleri će se prebaciti u način potpunog provođenja. U suprotnom će se postavka načina kompatibilnosti ključeva registra i dalje poštovati. Ako u načinu potpunog provođenja certifikat ne zadovolji kriterije jakog (sigurnog) mapiranja (pogledajte Mapiranja certifikata), provjera autentičnosti bit će odbijena. Međutim, mogućnost povratka na način kompatibilnosti ostat će zadržana do instaliranja sigurnosnog ažuriranja za Windows 9. rujna 2025.

Događaji nadzora

Windows Update od 10. svibnja 2022. dodaje sljedeće zapisnike događaja.

Nema jakog mapiranja

Nije pronađeno snažno mapiranje certifikata, a certifikat nije imao novi nastavak sigurnosnog identifikatora (SID) koji bi KDC mogao potvrditi.

Zapisnik događaja Sustav
Vrsta događaja Upozorenje ako je KDC u načinu kompatibilnosti
Pogreška ako je KDC u načinu provedbe
Izvor događaja Kdcsvc
ID događaja 39
41 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)
Tekst događaja Key Distribution Center (KDC) naišao je na korisnički certifikat koji je bio valjan, ali ga nije bilo moguće na snažan način mapirati na korisnika (primjerice eksplicitnim mapiranjem, mapiranjem pouzdanosti ključa ili SID-om). Takve je certifikate potrebno zamijeniti ili mapirati izravno na korisnika putem eksplicitnog mapiranja. Pogledajte https://go.microsoft.com/fwlink/?linkid=2189925 da biste saznali više.
Korisnik: <glavno ime>
Predmet certifikata: <Naziv predmeta u certifikatu>
Izdavatelj certifikata: <izdavatelj potpuno kvalificiranog naziva domene (FQDN)>
Serijski broj certifikata: <Serijski broj certifikata>
Otisak certifikata: <otisak certifikata>
Certifikat prethodi računu

Certifikat je izdan korisniku prije nego što je korisnik postojao na servisu Active Directory te nije pronađeno čvrsto mapiranje. Taj se događaj bilježi samo kada je KDC u načinu kompatibilnosti.

Zapisnik događaja Sustav
Vrsta događaja Pogreška
Izvor događaja Kdcsvc
ID događaja 40
48 (Za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2
Tekst događaja Key Distribution Center (KDC) naišao je na korisnički certifikat koji je bio valjan, ali ga nije bilo moguće na snažan način mapirati na korisnika (primjerice eksplicitnim mapiranjem, mapiranjem pouzdanosti ključa ili SID-om). Certifikat je bio i prije korisnika na kojeg je mapiran, pa je odbijen. Pogledajte https://go.microsoft.com/fwlink/?linkid=2189925 da biste saznali više.
Korisnik: <glavno ime>
Predmet certifikata: <Naziv predmeta u certifikatu>
Izdavatelj certifikata: <FQDN izdavača>
Serijski broj certifikata: <Serijski broj certifikata>
Otisak certifikata: <otisak certifikata>
Vrijeme izdavanja certifikata: <FILETIME certifikata>
Vrijeme stvaranja računa: <FILETIME glavnog objekta u servisu AD>
Korisnički SID ne odgovara SID-u certifikata

SID sadržan u novom proširenju korisničkog certifikata ne odgovara SID-u korisnika, što upućuje na to da je certifikat izdan drugom korisniku.

Zapisnik događaja Sustav
Vrsta događaja Pogreška
Izvor događaja Kdcsvc
ID događaja 41
49 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)
Tekst događaja Key Distribution Center (KDC) naišao je na korisnički certifikat koji je bio valjan, ali sadržavao SID koji se razlikuje od SID-a korisnika na kojeg je mapiran. Zbog toga zahtjev koji obuhvaća certifikat nije uspio. Pogledajte https://go.microsoft.cm/fwlink/?linkid=2189925 da biste saznali više.
Korisnik: <glavno ime>
Korisnički SID: <SID upravitelja za provjeru autentičnosti>
Predmet certifikata: <Naziv predmeta u certifikatu>
Izdavatelj certifikata: <FQDN izdavača>
Serijski broj certifikata: <Serijski broj certifikata>
Otisak certifikata: <otisak certifikata>
SID certifikata: <SID pronađen u novom proširenju certifikata>

Mapiranja certifikata

Administratori domene mogu ručno mapirati certifikate za korisnika u servisu Active Directory pomoću atributa altSecurityIdentities objekta korisnika. Za taj atribut postoji šest podržanih vrijednosti, pri čemu se tri mapiranja smatraju slabim (nesigurnim), a preostala tri jakim. Općenito govoreći, vrste mapiranja smatraju se jakima ako se temelje na identifikatorima koje ne možete ponovno koristiti. Stoga se sve vrste mapiranja utemeljene na korisničkim imenima i adresama e-pošte smatraju slabima.

Mapiranje Primjer Vrsta Napomene
X509IssuerSubject "X509:<I NazivIzdavatelja><S>nazivSubjekta" Slaba
X509SubjectOnly "X509:<S>SubjectName" Slaba
X509RFC822 "X509:<RFC822>user@contoso.com" Slaba Adresa e-pošte
X509IssuerSerialNumber "X509:<I>NazivEmitenta<SR>1234567890" Jak Preporučeno
X509SKI "X509:<SKI>123456789abcdef" Jak
X509SHA1PublicKey "X509:<SHA1-PUKEY>123456789abcdef" Jak

Ako korisnici ne mogu ponovno izdati certifikate s novim proširenjem SID-a, preporučujemo da stvorite ručno mapiranje pomoću jednog od gore opisanih jakih mapiranja. To možete učiniti tako da dodate odgovarajući niz za mapiranje korisničkom atributu altSecurityIdentities u imeničkom servisu Active Directory.

Ručno mapiranje certifikata

Napomena Određena polja, kao što su Izdavač, Predmet i Serijski broj, iskazuju se u obliku "prosljeđivanja". Taj oblik morate obrnuti kada niz za mapiranje dodate u atribut altSecurityIdentities . Da biste, primjerice, korisniku dodali mapiranje X509IssuerSerialNumber, pretražite polja "Izdavač" i "Serijski broj" certifikata koji želite mapirati na korisnika. Pogledajte ogledni rezultat u nastavku.

  • Izdavatelj: CN=CONTOSO-DC-CA, DC=contoso, DC=com
  • Serijski broj: 2B0000000011AC0000000012

Zatim ažurirajte korisnikov atribut altSecurityIdentities u servisu Active Directory sljedećim nizom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"

Da biste ažurirali taj atribut pomoću komponente Powershell, upotrijebite naredbu u nastavku. Imajte na umu da prema zadanim postavkama samo administratori domene imaju dozvolu za ažuriranje tog atributa.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Imajte na umu da kada obrnete vrijednost SerialNumber, morate zadržati redoslijed bajtova. To znači da bi obrtanje serijskog broja "A1B2C3" trebalo rezultirati nizom "C3B2A1", a ne "3C2B1A". Dodatne informacije potražite u sljedećim uputama: mapiranje korisnika na certifikat pomoću svih metoda dostupnih u atributu altSecurityIdentities.

Vremenska crta za ažuriranja sustava Windows

Važno Faza omogućavanja počinje s ažuriranjima za Windows od 11. travnja 2023., koja će zanemariti postavku ključa registra Onemogućenog načina rada.

Način kompatibilnosti

Nakon što instalirate ažuriranja sustava Windows od 10. svibnja 2022., uređaji će biti u načinu kompatibilnosti. Ako je moguće snažno mapirati certifikat na korisnika, provjera autentičnosti odvijat će se prema očekivanjima. Ako je certifikat moguće samo slabo mapirati na korisnika, provjera autentičnosti odvijat će se prema očekivanjima. No, poruka upozorenja zapisat će se ako certifikat nije stariji od korisnika. Ako je certifikat stariji od korisnika, a ključa registra za staranje certifikata nema ili je raspon izvan kompenzacije za staranje datuma, provjera autentičnosti neće uspjeti i zabilježit će se poruka o pogrešci.  Ako je konfiguriran ključ registra za zadrabljivanje certifikata, zapisat će se poruka upozorenja u zapisnik događaja ako datumi spadaju u kompenzaciju za staro datiranje.

Nakon što instalirate ažuriranja sustava Windows od 10. svibnja 2022., pripazite na sve poruke upozorenja koje bi se mogle pojaviti nakon mjesec dana ili više. Ako nema poruka upozorenja, preporučujemo da omogućite način potpunog provođenja na svim domenskim kontrolerima koji koriste provjeru autentičnosti utemeljenu na certifikatu. Način potpune provedbe možete omogućiti pomoću ključa registra KDC .

Način potpune provedbe

Osim ako se prethodno ne ažurira na način nadzora ili način provedbe pomoću ključa registra StrongCertificateBindingEnforce , domenski kontroleri će se prebaciti u način potpune provedbe kada se instalira sigurnosno ažuriranje sustava Windows za veljaču 2025. Provjera autentičnosti bit će odbijena ako nije moguće dobro mapirati certifikat. Mogućnost povratka na način kompatibilnosti zadržat će se do instalacije sigurnosnog ažuriranja za Windows od 9. rujna 2025. Nakon tog datuma ključ registra StrongCertificateBindingEnforcement više neće biti podržan

Način Onemogućeno

Ako se provjera autentičnosti utemeljena na certifikatu oslanja na slabo mapiranje koje nije moguće pomicati iz okruženja, možete domenske kontrolere postaviti u način Onemogućeno pomoću postavke ključa registra. Microsoft to ne preporučuje i uklonit ćemo način Onemogućeno 11. travnja 2023.

Zadane promjene jakog mapiranja

Nakon što instalirate ažuriranja sustava Windows od 13. veljače 2024. ili novija na poslužitelj verzije 2019 i novije te podržane klijente s instaliranom neobaveznom značajkom RSAT, mapiranje certifikata u odjeljku Korisnici servisa Active Directory & računala po zadanom će odabrati snažno mapiranje pomoću X509IssuerSerialNumber umjesto slabog mapiranja pomoću x509IssuerSubject. Postavku je i dalje moguće promijeniti po želji.

Otklanjanje poteškoća

Objekt pravilnik grupe može ometati "mapiranja na temelju naziva"

Simptomi

Microsoft je primio izvješća da je postavka "Obradi čak i ako se objekti pravilnik grupe nisu promijenili" pod objektom pravilnik grupe "Konfiguracija> računalaAdministrativni predlošci>sustavapravilnik>grupe>Konfiguriranje obrade pravila registra" može povremeno ometati mapiranja na temelju naziva na domenskim kontrolerima.

Zaobilazno rješenje

Da biste zaobišli taj problem, onemogućite postavku "Obradi čak i ako se objekti pravilnik grupe nisu promijenili" na kontrolerima domene. Učinite to samo ako su potrebna mapiranja na temelju naziva kao što je definirano u pravilnik grupe "Konfiguracija računala>,administrativni predlošci>sustava>KDC>,Dopusti snažna mapiranja na temelju naziva za certifikate". Dodatne informacije potražite u članku Omogućivanje snažnog mapiranja na temelju naziva u scenarijima državne uprave.

Sljedeći korak

Istražujemo ta izvješća i pružit ćemo dodatne informacije kada budu dostupne.

Neuspjela prijava nakon instaliranja zaštite CVE-2022-26931 i CVE-2022-26923
  • Pomoću operativnog zapisnika protokola Kerberos na odgovarajućem računalu utvrdite koji domenski kontroler ne uspijeva se prijaviti. Idite na Preglednik događajaZapisnici>aplikacija i servisa Microsoft\ \Windows\Security – Kerberos\operativan.
  • Potražite relevantne događaje u zapisniku događaja u sustavu na kontroleru domene za koji račun pokušava provjeriti autentičnost.
  • Ako je certifikat stariji od računa, ponovno ga izdajte ili dodajte sigurno mapiranje altSecurityIdentities na račun (pogledajte Mapiranja certifikata).
  • Ako certifikat sadrži nastavak SID-a, provjerite podudara li se SID s računom.
  • Ako se certifikat koristi za provjeru autentičnosti nekoliko različitih računa, za svaki račun bit će potrebno zasebno mapiranje altSecurityIdentities .
  • Ako certifikat ne sadrži sigurno mapiranje računa, dodajte ga ili ostavite domenu u načinu kompatibilnosti dok ga ne bude moguće dodati.
Neuspjela provjera autentičnosti pomoću mapiranja certifikata Transport Layer Security (TLS)

Primjer mapiranja TLS certifikata jest korištenje intranetske web-aplikacije IIS.

  • Nakon instalacije zaštite CVE-2022-26391 i CVE-2022-26923 , ti scenariji prema zadanim postavkama koriste protokol Kerberos servisa za izdavanje certifikata za korisnika (S4U) za mapiranje certifikata i provjeru autentičnosti.
  • U protokolu Kerberos Certificate S4U zahtjev za provjeru autentičnosti teče od poslužitelja aplikacija do kontrolera domene, a ne od klijenta do kontrolera domene. Stoga će se relevantni događaji odvijati na aplikacijskom poslužitelju.

Informacije o ključu registra

Nakon što instalirate zaštite CVE-2022-26931 i CVE-2022-26923 u ažuriranjima sustava Windows objavljenim između 10. svibnja 2022. i 9. rujna 2025. ili kasnije, dostupni su sljedeći ključevi registra.

ključ registra centra za distribuciju ključeva (KDC-a)

Ovaj ključ registra neće biti podržan nakon instalacije ažuriranja za Windows objavljenih u rujnu 2025. ili kasnije.

Napomena

  • Važno

  • Upotreba tog ključa registra privremeno je zaobilazno rješenje za okruženja koja ga zahtijevaju i mora se primjenjivati s oprezom. Korištenje tog ključa registra znači sljedeće za vaše okruženje:

  • Ovaj ključ registra funkcionira samo u načinu kompatibilnosti počevši s ažuriranjima objavljenim 10. svibnja 2022.

  • Ovaj ključ registra neće biti podržan nakon instaliranja ažuriranja za Windows objavljenih 9. rujna 2025.

  • Otkrivanje i provjera valjanosti SID-a koje koristi snažna provedba povezivanja certifikata ovisi o vrijednosti ključa registra KDC-a UseSubjectAltName . Proširenje SID koristit će se ako vrijednost registra ne postoji ili je vrijednost postavljena na vrijednost 0x1. Proširenje SID neće se koristiti ako postoji UseSubjectAltName , a vrijednost je postavljena na 0x0.

Registry Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrijednost StrongCertificateBindingEnforcement
Vrsta podataka REG_DWORD
Podaci 1 – provjerava postoji li dobro mapiranje certifikata. Ako piše, provjera autentičnosti je dopuštena. U suprotnom, KDC će provjeriti ima li certifikat novo SID proširenje i provjeriti njegovu valjanost. Ako nema tog nastavka, provjera autentičnosti dopuštena je ako je korisnički račun stariji od certifikata.
2 – provjerava postoji li dobro mapiranje certifikata. Ako piše, provjera autentičnosti je dopuštena. U suprotnom, KDC će provjeriti ima li certifikat novo SID proširenje i provjeriti njegovu valjanost. Ako nema tog proširenja, provjera autentičnosti se odbija.
0 – Onemogućuje provjeru jakog mapiranja certifikata. Ne preporučuje se jer će to onemogućiti sva sigurnosna poboljšanja.
Ako tu postavku postavite na 0, morate postaviti i CertificateMappingMethods na 0x1F kao što je opisano u odjeljku ključa registra Schannel u nastavku da bi provjera autentičnosti utemeljena na certifikatima računala uspjela.
Je li potrebno ponovno pokretanje? Ne
Ključ registra SChannel

Kada poslužiteljska aplikacija zahtijeva provjeru autentičnosti klijenta, Schannel automatski pokušava mapirati certifikat koji TLS klijent isporučuje na korisnički račun. Autentičnost korisnika koji se prijavljuju pomoću klijentske potvrde možete provjeriti stvaranjem mapiranja koja povezuju informacije o certifikatu s korisničkim računom sustava Windows. Nakon stvaranja i omogućavanja mapiranja certifikata, svaki put kada klijent predoči klijentski certifikat, poslužiteljska aplikacija automatski povezuje tog korisnika s odgovarajućim korisničkim računom sustava Windows.

Schannel će pokušati mapirati svaku metodu mapiranja certifikata koju ste omogućili dok ne uspije. Schannel pokušava najprije mapirati mapiranja servisa za-korisnika prema sebi (S4U2Self). Mapiranja certifikata predmeta/izdavača, izdavatelja i UPN-a sada se smatraju slabima i prema zadanim su postavkama onemogućena. Bitmaskirani zbroj odabranih mogućnosti određuje popis dostupnih načina mapiranja certifikata.

Zadani ključ registra SChannel bio je 0x1F i sada je 0x18. Ako dođe do neuspjele provjere autentičnosti s poslužiteljskim aplikacijama koje se temelje na kanalu Schannel, predlažemo da izvršite test. Dodajte ili izmijenite vrijednost ključa registra CertificateMappingMethods na domenskom kontroleru i postavite je na 0x1F da biste provjerili je li to riješilo problem. Da biste saznali više, u zapisnicima događaja u sustavu na kontroleru domene potražite pogreške navedene u ovom članku. Imajte na umu da će se vraćanjem vrijednosti ključa registra SChannel na prethodnu zadanu vrijednost (0x1F) vratiti na korištenje slabih načina mapiranja certifikata.

Registry Subkey HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Vrijednost CertificateMappingMethods
Vrsta podataka DWORD
Podaci 0x0001 – mapiranje certifikata predmeta/izdavatelja certifikata (slabo – po zadanom onemogućeno)
0x0002 – mapiranje certifikata izdavatelja (slabo – po zadanom onemogućeno)
0x0004 – mapiranje certifikata UPN-a (slabo – po zadanom onemogućeno)
0x0008 – S4U2Self mapiranje certifikata (snažno)
0x0010 – S4U2Self eksplicitno mapiranje certifikata (jako)
Je li potrebno ponovno pokretanje? Ne

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Certificate Backdating registarski ključ

Nakon što instalirate ažuriranja koja adresiraju CVE-2022-26931 i CVE-2022-26923, provjera autentičnosti možda neće uspjeti u slučajevima kada su korisnički certifikati stariji od vremena stvaranja korisnika. Taj ključ registra omogućuje uspješnu provjeru autentičnosti kada u svom okruženju koristite slaba mapiranja certifikata , a vrijeme certifikata je prije vremena stvaranja korisnika unutar postavljenog raspona. Taj ključ registra ne utječe na korisnike ni računala sa snažnim mapiranjima certifikata jer se vrijeme certifikata i vrijeme stvaranja korisnika ne provjeravaju prilikom jakih mapiranja certifikata. Taj ključ registra nema nikakvog učinka kada je StrongCertificateBindingEnforcement postavljen na 2.

Upotreba tog ključa registra privremeno je zaobilazno rješenje za okruženja koja ga zahtijevaju i mora se primjenjivati s oprezom. Korištenje tog ključa registra znači sljedeće za vaše okruženje:

  • Ovaj ključ registra funkcionira samo u načinu kompatibilnosti počevši s ažuriranjima objavljenim 10. svibnja 2022. Provjera autentičnosti bit će dopuštena unutar kompenzacijskog pomaka za staranje, no za slabo povezivanje bit će zabilježeno upozorenje zapisnika događaja.
  • Omogućivanjem ključa registra omogućuje se provjera autentičnosti korisnika kada je vrijeme certifikata prije vremena stvaranja korisnika unutar zadanog raspona kao slabo mapiranje. Slaba mapiranja više neće biti podržana nakon instalacije ažuriranja za Windows objavljenih u rujnu 2025. ili kasnije.
Registry Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vrijednost CertificateBackdatingCompensation
Vrsta podataka REG_DWORD
Podaci Vrijednosti zaobilaznog rješenja u približnim godinama:

  • 50 godina: 0x5E0C89C0
  • 25 godina: 0x2EFE0780
  • 10 godina: 0x12CC0300
  • 5 godina: 0x9660180
  • 3 godine: 0x5A39A80
  • 1 godina: 0x1E13380
Napomena Ako znate koliki je vijek trajanja certifikata u vašem okruženju, postavite taj ključ registra na nešto dulji od vijeka trajanja certifikata. Ako vam nije poznat vijek trajanja certifikata za vaše okruženje, postavite taj ključ registra na 50 godina. Zadano je 10 minuta kada nema ključa, što odgovara servisu Active Directory Certificate Services (ADCS). Maksimalna je vrijednost 50 godina (0x5E0C89C0).

Ovaj ključ postavlja vremensku razliku u sekundama koju će Key Distribution Center (KDC) zanemariti između vremena izdavanja certifikata za provjeru autentičnosti i vremena stvaranja računa za korisnike/računala.

Važno Postavite taj ključ registra samo ako je to potrebno u okruženju. Upotreba tog ključa registra onemogućuje sigurnosnu provjeru.
Je li potrebno ponovno pokretanje? Ne

Ustanove za izdavanje certifikata za velike tvrtke

Ustanove za izdavanje certifikata za velike tvrtke (CA) započet će dodavati novo nekritično proširenje s identifikatorom objekta (OID) (1.3.6.1.4.1.311.25.2) prema zadanim postavkama u svim certifikatima izdanim na temelju mrežnih predložaka nakon instalacije ažuriranja sustava Windows od 10. svibnja 2022. Dodavanje ovog proširenja možete zaustaviti postavljanjem 0x00080000 bita u vrijednosti msPKI-Enrollment-Flag odgovarajućeg predloška.

Primjer

Pokrenite sljedeću naredbu certutil da biste isključili certifikate korisničkog predloška iz dohvaćanja novog proširenja.

  1. Prijavite se na poslužitelj ustanove za izdavanje certifikata ili klijent sustava Windows 10 pridružen domeni s administratorom u tvrtki ili ustanovom ili odgovarajućim vjerodajnicama.
  2. Otvorite naredbeni redak i odaberite Pokreni kao administrator.
  3. Pokrenite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.

Onemogućivanjem dodavanja ovog proširenja uklonit će se zaštita koju pruža novo proširenje. Razmislite o tome tek nakon što učinite nešto od sljedećeg:

  1. Potvrđujete da odgovarajući certifikati nisu prihvatljivi za šifriranje s javnim ključem za početnu provjeru autentičnosti (PKINIT) u provjerama autentičnosti protokola Kerberos na servisu KDC
  2. Za odgovarajuće certifikate konfigurirana su druga mapiranja jakih certifikata

Okruženja s implementacijama koje nisu Microsoftove ustanove za izdavanje certifikata neće biti zaštićena novim proširenjem SID-a nakon instalacije ažuriranja sustava Windows od 10. svibnja 2022. Zahvaćeni korisnici trebali bi surađivati s odgovarajućim dobavljačima ustanova za izdavanje certifikata da bi riješili taj problem ili bi trebali razmisliti o korištenju drugih prethodno opisanih jakih mapiranja certifikata.

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Najčešća pitanja

Moraju li se nakon ažuriranja ustanove za izdavanje certifikata obnoviti svi certifikati za provjeru autentičnosti klijenta?

Ne, obnova nije obavezna. CA će se isporučiti u načinu kompatibilnosti. Ako želite snažno mapiranje pomoću proširenja ObjectSID, potreban vam je novi certifikat.

Kako način potpune provedbe utječe na moje okruženje?

U ažuriranju sustava Windows od 11. veljače 2025. uređaji koji još nisu u provedbi (vrijednost registra StrongCertificateBindingEnforcement postavljena je na 2) bit će premješteni na provedbu. Ako je provjera autentičnosti odbijena, prikazat će se ID događaja 39 (ili ID događaja 41 za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2). U ovoj fazi moći ćete vratiti vrijednost ključa registra na 1 (način kompatibilnosti).

U ažuriranju sustava Windows od 9. rujna 2025. vrijednost registra StrongCertificateBindingEnforcement više neće biti podržana.

Dodatni resursi

Dodatne informacije o mapiranju certifikata klijenta za TLS potražite u sljedećim člancima: