Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Promjena datuma

Opis

10.10.2023.

Dodane su informacije o zadanim promjenama jakih mapiranja u odjeljku "Vremenska crta za Windows Ažuriranja"

6/30/2023

Promijenjen je datum punog načina provođenja od 14. studenog 2023. u 11. veljače 2025. (ti su datumi prethodno bili navedeni kao 19. svibnja 2023. u 14. studenog 2023.).

1/26/2023

Promijenjeno je uklanjanje onemogućenog načina rada s 14. veljače 2023. u 11. travnja 2023.

Sažetak

CVE-2022-34691,CVE-2022-26931 i CVE-2022-26923 rješavaju povećanje ranjivosti privilegija do koje može doći kada Kerberos Key Distribution Center (KDC) servisi zahtjev za provjeru autentičnosti utemeljen na certifikatu. Prije sigurnosnog ažuriranja od 10. svibnja 2022. provjera autentičnosti utemeljena na certifikatima ne bi se računala za znak dolara ($) na kraju naziva računala. To je dopustili emuliranje povezanih certifikata (lažno predstavljanje) na različite načine. Osim toga, sukobi između imena upravitelja korisnika (UPN) i sAMAccountName uveli su druge slabe točke emulacije (lažnog predstavljanja) koje rješavamo i ovim sigurnosnim ažuriranjem. 

Akcija

Da biste zaštitili svoje okruženje, dovršite sljedeće korake za provjeru autentičnosti utemeljenu na certifikatima:

  1. Ažurirajte sve poslužitelje na kojima se pokreću servisi Active Directory Certificate Services i domenski kontroleri sustava Windows koji provjere autentičnosti utemeljenu na certifikatu servisa ažuriraju ažuriranjem od 10. svibnja 2022. (pogledajte način kompatibilnosti). Ažuriranje od 10. svibnja 2022. pružit će događaje nadzora koji identificiraju certifikate koji nisu kompatibilni s načinom potpunog provođenja.

  2. Ako se na kontrolorima domene ne stvaraju zapisnici događaja nadzora mjesec dana nakon instalacije ažuriranja, nastavite s omogućivanjem načina rada Potpuna provedba na svim domenski kontrolerima. Do 11. veljače 2025. svi će uređaji biti ažurirani u način rada Potpuna provedba. U ovom načinu rada, ako certifikat ne uspije jake (sigurne) kriterije mapiranja (pogledajte Mapiranja certifikata), provjera autentičnosti bit će odbijena.

Događaji nadzora

Ažuriranje sustava Windows od 10. svibnja 2022. dodaje sljedeće zapisnike događaja.

Nije moguće pronaći mapiranja jakih certifikata i certifikat nema novo proširenje sigurnosnog identifikatora (SID) koje KDC može provjeriti.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje ako je KDC u načinu kompatibilnosti

Pogreška ako je KDC u načinu provedbe

Izvor događaja

Kdcsvc

ID događaja

39

41 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na valjani korisnički certifikat, ali ga nije bilo moguće mapirati na snažan način (npr. putem eksplicitnog mapiranja, mapiranja pouzdanosti ključa ili SID-a). Takvi bi certifikati trebali biti zamijenjeni ili mapirani izravno korisniku putem eksplicitnog mapiranja. Dodatne https://go.microsoft.com/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <izdavača potpuno kvalificiranog naziva domene (FQDN)>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

Certifikat je izdan korisniku prije nego što je korisnik postojao u servisu Active Directory i nije moguće pronaći snažno mapiranje. Ovaj se događaj bilježi samo kada je KDC u načinu kompatibilnosti.

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Kdcsvc

ID događaja

40

48 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na valjani korisnički certifikat, ali ga nije bilo moguće mapirati na snažan način (npr. putem eksplicitnog mapiranja, mapiranja pouzdanosti ključa ili SID-a). Certifikat je predodređeno i za korisnika na koji je mapiran, pa je odbijen. Dodatne https://go.microsoft.com/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <FQDN>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

Vrijeme izdavanja certifikata: <FILETIME certifikata>

Vrijeme stvaranja računa: <FILETIME glavnog objekta u ad>

SID koji se nalazi u novom proširenju certifikata korisnika ne odgovara SID-u korisnika, što znači da je certifikat izdan drugom korisniku.

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Kdcsvc

ID događaja

41

49 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na korisnički certifikat koji je valjan, ali je sadržavao drukčiji SID od korisnika na koji je mapiran. Zbog toga zahtjev koji uključuje certifikat nije uspio. Dodatne https://go.microsoft.cm/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

SID korisnika: <SID upravitelja provjere autentičnosti>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <FQDN>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

SID certifikata: <SID pronađen u novom dodatku za>

Mapiranja certifikata

Administratori domene mogu ručno mapirati certifikate korisniku u servisu Active Directory pomoću atributa altSecurityIdentities objekta korisnika. Za taj atribut postoji šest podržanih vrijednosti, a tri se mapiranja smatraju slabima (nesigurnima), a ostale tri smatraju jakima. Vrste mapiranja općenito se smatraju jakima ako se temelje na identifikatorima koje ne možete ponovno koristiti. Stoga se sve vrste mapiranja na temelju korisničkih imena i adresa e-pošte smatraju slabima.

Mapiranje

Primjer

Vrsta

Primjedbe

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Slab

X509SubjectOnly

"X509:<S>SubjectName"

Slab

X509RFC822

"X509:<RFC822>user@contoso.com"

Slab

Adresa e-pošte

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Jak

Preporuke

X509SKI

"X509:<SKI>123456789abcdef"

Jak

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Jak

Ako korisnici ne mogu ponovno koristiti certifikate s novim SID proširenjem, preporučujemo da stvorite ručno mapiranje pomoću jednog od gore opisanih jakih mapiranja. To možete učiniti dodavanjem odgovarajućeg niza za mapiranje u atribut altSecurityIdentities korisnika u servisu Active Directory.

Napomena Određena polja, kao što su izdavač, predmet i serijski broj, prijavljuju se u obliku "prosljeđivanja". Taj oblik morate poništiti kada dodate niz za mapiranje atributu altSecurityIdentities . Da biste, primjerice, dodali mapiranje X509IssuerSerialNumber korisniku, pretražite polja "Izdavač" i "Serijski broj" certifikata koji želite mapirati na korisnika. Pogledajte uzorak izlaza u nastavku.

  • Izdavač: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B000000011AC0000000012

Zatim ažurirajte atribut altSecurityIdentities korisnika u servisu Active Directory sljedećim nizom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Da biste ažurirali taj atribut pomoću komponente Powershell, koristite naredbu u nastavku. Imajte na umu da po zadanom samo administratori domene imaju dozvolu za ažuriranje tog atributa.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Imajte na umu da kada poništite SerialNumber, morate zadržati redoslijed bajtova. To znači da bi vraćanje rednog broja "A1B2C3" trebalo rezultirati nizom "C3B2A1 ", a ne "3C2B1A". Dodatne informacije potražite u članku Upute: Mapiranje korisnika na certifikat putem svih metoda dostupnih u atributu altSecurityIdentities.

Vremenska crta za ažuriranja sustava Windows

Važno Faza omogućivanja započinje ažuriranjima za Windows od 11. travnja 2023., što će zanemariti postavku ključa registra Onemogućeni način rada. 

Nakon instalacije ažuriranja sustava Windows od 10. svibnja 2022. uređaji će biti u načinu kompatibilnosti. Ako se certifikat može snažno mapirati na korisnika, provjera autentičnosti odvijat će se prema očekivanjima. Ako je certifikat moguće samo slabo mapirati s korisnikom, provjera autentičnosti odvijat će se prema očekivanjima. Međutim, poruka upozorenja bit će zabilježena osim ako je certifikat stariji od korisnika. Ako je certifikat stariji od korisnika, a ključ registra Za sigurnosno kopiranje certifikata nije prisutan ili je raspon izvan naknade za sigurnosno kopiranje, provjera autentičnosti neće uspjeti i zapisati će se poruka o pogrešci.  Ako je ključ registra Za sigurnosno kopiranje certifikata konfiguriran, u zapisniku događaja evidentirat će se poruka upozorenja ako se datumi nalaze unutar naknade za sigurnosno kopiranje.

Kada instalirate ažuriranja sustava Windows od 10. svibnja 2022., potražite bilo koju poruku upozorenja koja se može pojaviti nakon mjesec dana ili više. Ako nema poruka upozorenja, preporučujemo da omogućite način rada Potpuna provedba na svim kontrolorima domene pomoću provjere autentičnosti utemeljene na certifikatu. Pomoću ključa registra KDC možete omogućiti način potpunog provođenja.

Osim ako prethodno ne ažuriramo taj način rada, ažurirat ćemo sve uređaje u način potpunog provođenja do 11. veljače 2025. ili novije. Ako certifikat nije moguće snažno mapirati, provjera autentičnosti bit će odbijena.

Ako se provjera autentičnosti utemeljena na certifikatu oslanja na slabo mapiranje koje ne možete premjestiti iz okruženja, kontrolere domene možete postaviti u onemogućenom načinu pomoću postavke ključa registra. Microsoft to ne preporučuje i uklonit ćemo onemogućeni način rada 11. travnja 2023.

Nakon instalacije ažuriranja sustava Windows od 13. veljače 2024. ili novije verzije u sustavu Server 2019 i novijim verzijama i podržanih klijenata s instaliranom neobaveznom značajkom RSAT, mapiranje certifikata u korisnicima servisa Active Directory & Računala po zadanom će odabrati snažno mapiranje pomoću X509IssuerSerialNumber umjesto slabog mapiranja pomoću X509IssuerSubject. Postavku je i dalje moguće promijeniti po želji.

Otklanjanje poteškoća

  • Upotrijebite zapisnik Kerberos Operational na odgovarajućem računalu da biste utvrdili koji domenski kontroler ne uspijeva prijaviti se. Idite na Preglednik događaja> zapisnike aplikacija i usluga\Microsoft \Windows\Security-Kerberos\Operational.

  • Potražite relevantne događaje u zapisniku događaja sustava na kontroloru domene protiv koje račun pokušava provjeriti autentičnost.

  • Ako je certifikat stariji od računa, ponovno ispišite certifikat ili dodajte sigurno mapiranje altSecurityIdentities na račun (pogledajte mapiranja certifikata).

  • Ako certifikat sadrži SID proširenje, provjerite podudara li se SID s računom.

  • Ako se certifikat koristi za provjeru autentičnosti nekoliko različitih računa, za svaki će račun biti potrebno zasebno mapiranje altSecurityIdentities .

  • Ako certifikat nema sigurno mapiranje na račun, dodajte je ili ostavite domenu u načinu kompatibilnosti dok ga ne dodate.

Primjer mapiranja TLS certifikata koristi intranetnu IIS web-aplikaciju.

  • Nakon instalacije zaštite CVE-2022-26391 i CVE-2022-26923 ti scenariji koriste protokol Kerberos Certificate Service za korisnika (S4U) za mapiranje certifikata i provjeru autentičnosti po zadanom.

  • U protokolu Kerberos Certificate S4U zahtjev za provjeru autentičnosti teče s poslužitelja aplikacije na domenski kontroler, a ne od klijenta do domenskog kontrolera. Stoga će se relevantni događaji nalaziti na poslužitelju aplikacija.

Informacije o ključu registra

Nakon instalacije zaštite CVE-2022-26931 i CVE-2022-26923 u ažuriranjima sustava Windows objavljenima između 10. svibnja 2022. i 11. veljače 2025. ili novije dostupne su sljedeće ključeve registra.

Ovaj ključ registra mijenja način provođenja KDC-a u način onemogućenog rada, način kompatibilnosti ili način potpunog provođenja.

Važno

Korištenje ovog ključa registra privremeno je zaobilazno rješenje za okruženja za koja je potreban i potrebno ga je izvršiti uz oprez. Korištenje ovog ključa registra znači sljedeće za vaše okruženje:

  • Taj ključ registra funkcionira samo u načinu kompatibilnosti počevši od ažuriranja objavljenih 10. svibnja 2022.

  • Taj ključ registra neće biti podržan nakon instalacije ažuriranja za Windows objavljenih 11. veljače 2025., što će omogućiti način rada potpuna provedba.

Potključ registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrijednost

StrongCertificateBindingEnforcement

Vrsta podataka

REG_DWORD

Podaci

1 – provjerava postoji li snažno mapiranje certifikata. Ako da, provjera autentičnosti je dopuštena. U suprotnom će KDC provjeriti ima li certifikat novo proširenje SID-a i provjeriti valjanost. Ako ovo proširenje ne postoji, provjera autentičnosti dopuštena je ako korisnički račun prethodi certifikatu.

2 – provjerava postoji li snažno mapiranje certifikata. Ako da, provjera autentičnosti je dopuštena. U suprotnom će KDC provjeriti ima li certifikat novo proširenje SID-a i provjeriti valjanost. Ako ovo proširenje ne postoji, odbijena je provjera autentičnosti.

0 – Onemogućuje jaku provjeru mapiranja certifikata. Ne preporučuje se jer će to onemogućiti sva sigurnosna poboljšanja.

Ako to postavite na 0, morate postaviti i CertificateMappingMethods na 0x1F kao što je opisano u odjeljku Ključ registra Schannel u nastavku da bi provjera autentičnosti utemeljena na certifikatu računala uspjela..

Potrebno je ponovno pokretanje?

Ne

Kada je za poslužiteljsku aplikaciju potrebna provjera autentičnosti klijenta, Schannel automatski pokušava mapirati certifikat koji TLS klijent isporučuje na korisnički račun. Možete provjeriti autentičnost korisnika koji se prijave pomoću klijentskog certifikata stvaranjem mapiranja koja odnose informacije o certifikatu s korisničkim računom sustava Windows. Kada stvorite i omogućite mapiranje certifikata, svaki put kada klijent prezentira klijentski certifikat, aplikacija poslužitelja automatski povezuje tog korisnika s odgovarajućim korisničkim računom sustava Windows.

Schannel će pokušati mapirati svaku metodu mapiranja certifikata koju ste omogućili dok ne uspije. Schannel najprije pokušava mapirati mapiranje mapiranja servisa za korisnika(S4U2Self). Mapiranja certifikata Predmet/Izdavač, Izdavač i UPN sada se smatraju slabima i po zadanom su onemogućena. Bitmaskedni zbroj odabranih mogućnosti određuje popis dostupnih metoda mapiranja certifikata.

Zadani ključ registra SChannel 0x1F i sada je 0x18. Ako se u aplikacijama poslužitelja utemeljenima na Schannelu ne bi događale pogreške provjere autentičnosti, preporučujemo da izvršite test. Dodajte ili izmijenite vrijednost ključa registra CertificateMappingMethods na kontroleru domene i postavite ga na 0x1F i provjerite rješava li to problem. Dodatne informacije potražite u zapisnicima događaja Sustava na domenski kontroler za sve pogreške navedene u ovom članku. Imajte na umu da će se vraćanjem vrijednosti ključa registra SChannel na prethodnu zadanu vrijednost (0x1F) koristiti metode mapiranja slabih certifikata.

Potključ registra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Vrijednost

CertificateMappingMethods

Vrsta podataka

DWORD

Podaci

0x0001 - mapiranje certifikata predmeta/izdavača (slabo – onemogućeno po zadanom)

0x0002 – mapiranje certifikata izdavatelja (slabo – onemogućeno po zadanom)

0x0004 – mapiranje UPN certifikata (slabo – po zadanom onemogućeno)

0x0008 - S4U2Self mapiranje certifikata (strong)

0x0010 - S4U2Self eksplicitno mapiranje certifikata (jako)

Potrebno je ponovno pokretanje?

Ne

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Kada instalirate ažuriranja koja adresa CVE-2022-26931 i CVE-2022-26923, provjera autentičnosti možda neće uspjeti u slučajevima kada su korisnički certifikati stariji od vremena stvaranja korisnika. Taj ključ registra omogućuje uspješnu provjeru autentičnosti kada koristite slaba mapiranja certifikata u okruženju, a vrijeme certifikata prije vremena stvaranja korisnika unutar postavljenog raspona. Taj ključ registra ne utječe na korisnike ni računala s jakim mapiranjem certifikata jer se vrijeme certifikata i vrijeme stvaranja korisnika ne provjeravaju pomoću mapiranja jakih certifikata. Ovaj ključ registra nema učinka kada je StrongCertificateBindingEnforcement postavljen na 2.

Korištenje ovog ključa registra privremeno je zaobilazno rješenje za okruženja za koja je potreban i potrebno ga je izvršiti uz oprez. Korištenje ovog ključa registra znači sljedeće za vaše okruženje:

  • Taj ključ registra funkcionira samo u načinu kompatibilnosti počevši od ažuriranja objavljenih 10. svibnja 2022. Provjera autentičnosti bit će dopuštena tijekom pomaka kompenzacije za sigurnosno kopiranje, ali će se zapisati upozorenje zapisnika događaja za slabo povezivanje.

  • Omogućivanjem tog ključa registra omogućuje se provjera autentičnosti korisnika kada je vrijeme certifikata prije vremena stvaranja korisnika unutar postavljenog raspona kao slabo mapiranje. Slaba mapiranja neće biti podržana nakon instalacije ažuriranja za Windows objavljena 11. veljače 2025., što će omogućiti način rada Potpuna provedba.

Potključ registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrijednost

CertificateBackdatingCompensation

Vrsta podataka

REG_DWORD

Podaci

Vrijednosti za zaobilazno rješenje u približnoj godinama:

  • 50 godina: 0x5E0C89C0

  • 25 godina: 0x2EFE0780

  • 10 godina: 0x12CC0300

  • 5 godina: 0x9660180

  • 3 godine: 0x5A39A80

  • 1 godina: 0x1E13380

Napomena Ako znate vijek trajanja certifikata u svom okruženju, postavite ključ registra na nešto dulje od životnog vijeka certifikata.  Ako ne znate vijek trajanja certifikata za svoje okruženje, taj ključ registra postavite na 50 godina. Zadano je na 10 minuta kada taj ključ nije prisutan, što odgovara servisu Active Directory Certificate Services (ADCS). Maksimalna je vrijednost 50 godina (0x5E0C89C0).

Ovaj ključ postavlja vremensku razliku, u sekundama, koju će centar za raspodjelu ključeva (KDC) zanemariti između vremena izdavanja certifikata za provjeru autentičnosti i vremena stvaranja računa za korisničke račune/ račune računala.

Važno Taj ključ registra postavite samo ako ga vaše okruženje zahtijeva. Korištenjem ovog ključa registra onemogućit će se sigurnosna provjera.

Potrebno je ponovno pokretanje?

Ne

Ustanove za izdavanje certifikata za velike tvrtke

Ustanove za izdavanje certifikata za velike tvrtke (CA) po zadanom će početi dodavati novo proširenje koje nije kritično s identifikatorom objekta (OID) (1.3.6.1.4.1.311.25.2) u svim certifikatima izdanima na internetskim predlošcima nakon instalacije ažuriranja sustava Windows od 10. svibnja 2022. Dodavanje tog proširenja možete zaustaviti tako da postavite 0x00080000 bit u vrijednosti msPKI-Enrollment-Flag odgovarajućeg predloška.

Pokrenite sljedeću naredbu certutil da biste izuzeli certifikate korisničkog predloška iz dohvaćanja novog proširenja.

  1. Prijavite se na poslužitelj ustanove za izdavanje certifikata ili klijent pridružen domeni Windows 10 administratoru tvrtke ili ekvivalentnim vjerodajnicama.

  2. Otvorite naredbeni redak i odaberite Pokreni kao administrator.

  3. Pokrenite certutil -dstemplate korisnik msPKI-Enrollment-Flag +0x00080000. 

Onemogućivanjem dodavanja ovog proširenja uklonit će se zaštita koju pruža novo proširenje. Razmislite o tome tek nakon jednog od sljedećih:

  1. Potvrđujete da odgovarajući certifikati nisu prihvatljivi za šifriranje javnog ključa za početnu provjeru autentičnosti (PKINIT) u provjera autentičnosti protokola Kerberos na KDC-u

  2. Odgovarajuće potvrde imaju konfigurirana druga snažna mapiranja certifikata

Okruženja koja imaju implementacije koje nisu Microsoft CA neće biti zaštićena pomoću novog SID proširenja nakon instalacije ažuriranja sustava Windows od 10. svibnja 2022. Zahvaćeni korisnici trebali bi raditi s odgovarajućim dobavljačima certifikata za izdavanje certifikata da bi riješili taj problem ili bi trebali razmisliti o korištenju drugih gore opisanih jakih mapiranja certifikata.

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Najčešća pitanja

Ne, obnova nije potrebna. Ca će se poslati u načinu kompatibilnosti. Ako želite snažno mapiranje pomoću proširenja ObjectSID, potreban vam je novi certifikat.

Dodatni resursi

Dodatne informacije o mapiranju TLS klijentskog certifikata potražite u sljedećim člancima:

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×