Sažetak

CVE-2022-26931 i CVE-2022-26923 rješava ranjivost povećanja ovlasti do koje može doći kada Kerberos Distribution Center (KDC) servisi zahtjev za provjeru autentičnosti utemeljen na certifikatu. Prije sigurnosnog ažuriranja od 10. svibnja 2022. provjera autentičnosti utemeljena na certifikatima ne bi se računala za znak dolara ($) na kraju naziva računala. To je dopustili emuliranje povezanih certifikata (lažno predstavljanje) na različite načine. Osim toga, sukobi između imena upravitelja korisnika (UPN) i sAMAccountName uveli su druge slabe točke emulacije (lažnog predstavljanja) koje rješavamo i ovim sigurnosnim ažuriranjem.

Akcija

Da biste zaštitili svoje okruženje, dovršite sljedeće korake za provjeru autentičnosti utemeljenu na certifikatima:

  1. Ažurirajte sve poslužitelje na kojima se pokreću servisi Active Directory Certificate Services i domenski kontroleri Windows koji provjere autentičnosti utemeljene na certifikatima servisa ažuriraju ažuriranjem od 10. svibnja 2022. (pogledajte način kompatibilnosti). Ažuriranje od 10. svibnja 2022. pružit će događaje nadzora koji identificiraju certifikate koji nisu kompatibilni s načinom potpunog provođenja.

  2. Ako se na kontrolorima domene ne stvaraju zapisnici događaja nadzora mjesec dana nakon instalacije ažuriranja, nastavite s omogućivanjem načina rada Potpuna provedba na svim domenski kontrolerima. Do 9. svibnja 2023. svi će uređaji biti ažurirani u način rada Potpuna provedba. U ovom načinu rada, ako certifikat ne uspije jake (sigurne) kriterije mapiranja (pogledajte Mapiranja certifikata), provjera autentičnosti bit će odbijena.

Događaji nadzora

Ažuriranjem od 10. svibnja 2022. Windows se dodaju sljedeći zapisnici događaja.

Nije moguće pronaći mapiranja jakih certifikata i certifikat nema novo proširenje sigurnosnog identifikatora (SID) koje KDC može provjeriti.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje ako je KDC u načinu kompatibilnosti

Pogreška ako je KDC u načinu provedbe

Izvor događaja

Kdcsvc

ID događaja

39

41 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na valjani korisnički certifikat, ali ga nije bilo moguće mapirati na snažan način (npr. putem eksplicitnog mapiranja, mapiranja pouzdanosti ključa ili SID-a). Takvi bi certifikati trebali biti zamijenjeni ili mapirani izravno korisniku putem eksplicitnog mapiranja. Dodatne https://go.microsoft.com/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <izdavača potpuno kvalificiranog naziva domene (FQDN)>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

Certifikat je izdan korisniku prije nego što je korisnik postojao u servisu Active Directory i nije moguće pronaći snažno mapiranje. Ovaj se događaj bilježi samo kada je KDC u načinu kompatibilnosti.

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Kdcsvc

ID događaja

40

48 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na valjani korisnički certifikat, ali ga nije bilo moguće mapirati na snažan način (npr. putem eksplicitnog mapiranja, mapiranja pouzdanosti ključa ili SID-a). Certifikat je predodređeno i za korisnika na koji je mapiran, pa je odbijen. Dodatne https://go.microsoft.com/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <FQDN>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

Vrijeme izdavanja certifikata: <FILETIME certifikata>

Vrijeme stvaranja računa: <FILETIME glavnog objekta u ad>

SID koji se nalazi u novom proširenju certifikata korisnika ne odgovara SID-u korisnika, što znači da je certifikat izdan drugom korisniku.

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

Kdcsvc

ID događaja

41

49 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za raspodjelu ključeva (KDC) naišao je na korisnički certifikat koji je valjan, ali je sadržavao drukčiji SID od korisnika na koji je mapiran. Zbog toga zahtjev koji uključuje certifikat nije uspio. Dodatne https://go.microsoft.cm/fwlink/?linkid=2189925 potražite u članku.

Korisnik: <ime>

SID korisnika: <SID upravitelja provjere autentičnosti>

Predmet certifikata: <naziv predmeta u odjeljku>

Izdavatelj certifikata: <FQDN>

Serijski broj certifikata: <serijski broj certifikata>

Otisak certifikata: <otisak prsta certifikata>

SID certifikata: <SID pronađen u novom dodatku za>

Mapiranja certifikata

Administratori domene mogu ručno mapirati certifikate korisniku u servisu Active Directory pomoću atributa altSecurityIdentities objekta korisnika. Za taj atribut postoji šest podržanih vrijednosti, a tri se mapiranja smatraju slabima (nesigurnima), a ostale tri smatraju jakima. Vrste mapiranja općenito se smatraju jakima ako se temelje na identifikatorima koje ne možete ponovno koristiti. Stoga se sve vrste mapiranja na temelju korisničkih imena i adresa e-pošte smatraju slabima.

Mapiranje

Primjer

Vrsta

Primjedbe

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Slab

X509SubjectOnly

"X509:<S>SubjectName"

Slab

X509RFC822

"X509:<RFC822>user@contoso.com"

Slab

Adresa e-pošte

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Jak

Preporuke

X509SKI

"X509:<SKI>123456789abcdef"

Jak

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Jak

Ako korisnici ne mogu ponovno koristiti certifikate s novim SID proširenjem, preporučujemo da stvorite ručno mapiranje pomoću jednog od gore opisanih jakih mapiranja. To možete učiniti dodavanjem odgovarajućeg niza za mapiranje u atribut altSecurityIdentities korisnika u servisu Active Directory.

Napomena Određena polja, kao što su izdavač, predmet i serijski broj, prijavljuju se u obliku "prosljeđivanja". Taj oblik morate poništiti kada dodate niz za mapiranje atributu altSecurityIdentities . Da biste, primjerice, dodali mapiranje X509IssuerSerialNumber korisniku, pretražite polja "Izdavač" i "Serijski broj" certifikata koji želite mapirati na korisnika. Pogledajte uzorak izlaza u nastavku.

  • Izdavač: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B000000011AC0000000012

Zatim ažurirajte atribut altSecurityIdentities korisnika u servisu Active Directory sljedećim nizom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Da biste ažurirali taj atribut pomoću komponente Powershell, koristite naredbu u nastavku. Imajte na umu da po zadanom samo administratori domene imaju dozvolu za ažuriranje tog atributa.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Imajte na umu da kada poništite SerialNumber, morate zadržati redoslijed bajtova. To znači da bi poništavanje rednog broja "A1B2C3" trebalo rezultirati nizom "C3B2A1 ", a ne "3C2B1A". Dodatne informacije potražite u članku Upute: Mapiranje korisnika na certifikat putem svih metoda dostupnih u atributu altSecurityIdentities.

Vremenska crta za Windows ažuriranja

Nakon instalacije ažuriranja od 10. svibnja 2022. Windows uređaji će biti u načinu kompatibilnosti. Ako se certifikat može snažno mapirati na korisnika, provjera autentičnosti odvijat će se prema očekivanjima. Ako je certifikat moguće samo slabo mapirati s korisnikom, provjera autentičnosti odvijat će se prema očekivanjima. Međutim, poruka upozorenja bit će zabilježena, osim ako je certifikat stariji od korisnika. Ako je certifikat stariji od korisnika, a ključ registra za sigurnosno kopiranje certifikata nije prisutan ili je raspon izvan naknade za sigurnosno kopiranje, provjera autentičnosti neće uspjeti i zapisati će se poruka o pogrešci.  Ako je ključ registra Za sigurnosno kopiranje certifikata konfiguriran, u zapisniku događaja evidentirat će se poruka upozorenja ako se datumi nalaze unutar naknade za sigurnosno kopiranje.

Kada instalirate ažuriranja od 10. svibnja 2022. Windows, potražite bilo koju poruku upozorenja koja se može pojaviti nakon mjesec ili više. Ako nema poruka upozorenja, preporučujemo da omogućite način rada Potpuna provedba na svim kontrolorima domene pomoću provjere autentičnosti utemeljene na certifikatu. Pomoću ključa registra KDC možete omogućiti način potpunog provođenja.

Osim ako prethodno ne ažuriramo taj način rada, sve ćemo uređaje ažurirati u način rada Potpuna provedba do 9. svibnja 2023. Ako certifikat nije moguće snažno mapirati, provjera autentičnosti bit će odbijena.

Ako se provjera autentičnosti utemeljena na certifikatu oslanja na slabo mapiranje koje ne možete premjestiti iz okruženja, kontrolere domene možete postaviti u onemogućenom načinu pomoću postavke ključa registra. Microsoft to ne preporučuje i uklonit ćemo onemogućeni način rada 14. veljače 2023.

Otklanjanje poteškoća

  • Upotrijebite zapisnik Kerberos Operational na odgovarajućem računalu da biste utvrdili koji domenski kontroler ne uspijeva prijaviti se. Idite na Preglednik događaja > zapisnike aplikacija i servisa\Microsoft \Windows\Security-Kerberos\Operational.

  • Potražite relevantne događaje u zapisniku događaja sustava na kontroloru domene protiv koje račun pokušava provjeriti autentičnost.

  • Ako je certifikat stariji od računa, ponovno ispišite certifikat ili dodajte sigurno mapiranje altSecurityIdentities na račun (pogledajte mapiranja certifikata).

  • Ako certifikat sadrži SID proširenje, provjerite podudara li se SID s računom.

  • Ako se certifikat koristi za provjeru autentičnosti nekoliko različitih računa, za svaki će račun biti potrebno zasebno mapiranje altSecurityIdentities .

  • Ako certifikat nema sigurno mapiranje na račun, dodajte je ili ostavite domenu u načinu kompatibilnosti dok ga ne dodate.

Primjer mapiranja TLS certifikata koristi intranetnu IIS web-aplikaciju.

  • Nakon instalacije zaštite CVE-2022-26391 i CVE-2022-26923 ti scenariji koriste protokol Kerberos Certificate Service za korisnika (S4U) za mapiranje certifikata i provjeru autentičnosti po zadanom.

  • U protokolu Kerberos Certificate S4U zahtjev za provjeru autentičnosti teče s poslužitelja aplikacije na domenski kontroler, a ne od klijenta do domenskog kontrolera. Stoga će se relevantni događaji nalaziti na poslužitelju aplikacija.

Informacije o ključu registra

Kada instalirate zaštite CVE-2022-26931 i CVE-2022-26923 u ažuriranjima sustava Windows objavljenima između 10. svibnja 2022. i 9. svibnja 2023., dostupni su sljedeći ključevi registra.

Ovaj ključ registra mijenja način provođenja KDC-a u način onemogućenog rada, način kompatibilnosti ili način potpunog provođenja.

Važno

Korištenje ovog ključa registra privremeno je zaobilazno rješenje za okruženja koja ga zahtijevaju i koja se moraju izvršiti s oprezom. Korištenje ovog ključa registra znači sljedeće za vaše okruženje:

  • Taj ključ registra funkcionira samo u načinu kompatibilnosti počevši od ažuriranja objavljenih 10. svibnja 2022.

  • Taj ključ registra neće biti podržan nakon instalacije ažuriranja za Windows objavljen 9. svibnja 2023. koji će omogućiti način rada za potpunu primjenu.

Potključ registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrijednost

StrongCertificateBindingEnforcement

Vrsta podataka

REG_DWORD

Podaci

1 – provjerava postoji li snažno mapiranje certifikata. Ako da, provjera autentičnosti je dopuštena. U suprotnom će KDC provjeriti ima li certifikat novo proširenje SID-a i provjeriti valjanost. Ako ovo proširenje ne postoji, provjera autentičnosti dopuštena je ako korisnički račun prethodi certifikatu.

2 – provjerava postoji li snažno mapiranje certifikata. Ako da, provjera autentičnosti je dopuštena. U suprotnom će KDC provjeriti ima li certifikat novo proširenje SID-a i provjeriti valjanost. Ako ovo proširenje ne postoji, odbijena je provjera autentičnosti.

0 – Onemogućuje jaku provjeru mapiranja certifikata. Ne preporučuje se.

Potrebno je ponovno pokretanje?

Ne

Kada je za poslužiteljsku aplikaciju potrebna provjera autentičnosti klijenta, Schannel automatski pokušava mapirati certifikat koji TLS klijent isporučuje na korisnički račun. Možete provjeriti autentičnost korisnika koji se prijave pomoću klijentskog certifikata stvaranjem mapiranja koja odnose informacije o certifikatu na Windows korisnički račun. Kada stvorite i omogućite mapiranje certifikata, svaki put kada klijent prezentira klijentski certifikat, aplikacija poslužitelja automatski povezuje tog korisnika s odgovarajućim Windows korisničkim računom.

Schannel će pokušati mapirati svaku metodu mapiranja certifikata koju ste omogućili dok ne uspije. Schannel najprije pokušava mapirati mapiranje mapiranja servisa za korisnika(S4U2Self). Mapiranja certifikata Predmet/Izdavač, Izdavač i UPN sada se smatraju slabima i po zadanom su onemogućena. Bitmaskedni zbroj odabranih mogućnosti određuje popis dostupnih metoda mapiranja certifikata.

Zadani ključ registra SChannel 0x1F i sada je 0x18. Ako se u aplikacijama poslužitelja utemeljenima na Schannelu ne bi događale pogreške provjere autentičnosti, preporučujemo da izvršite test. Dodajte ili izmijenite vrijednost ključa registra CertificateMappingMethods na kontroleru domene i postavite ga na 0x1F i provjerite rješava li to problem. Dodatne informacije potražite u zapisnicima događaja Sustava na domenski kontroler za sve pogreške navedene u ovom članku. Imajte na umu da će se vraćanjem vrijednosti ključa registra SChannel na prethodnu zadanu vrijednost (0x1F) koristiti metode mapiranja slabih certifikata.

Potključ registra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Vrijednost

CertificateMappingMethods

Vrsta podataka

DWORD

Podaci

0x0001 - mapiranje certifikata predmeta/izdavača (slabo – onemogućeno po zadanom)

0x0002 – mapiranje certifikata izdavatelja (slabo – onemogućeno po zadanom)

0x0004 – mapiranje UPN certifikata (slabo – po zadanom onemogućeno)

0x0008 - S4U2Self mapiranje certifikata (strong)

0x0010 - S4U2Self eksplicitno mapiranje certifikata (jako)

Potrebno je ponovno pokretanje?

Ne

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Kada instalirate ažuriranja koja adresa CVE-2022-26931 i CVE-2022-26923, provjera autentičnosti možda neće uspjeti u slučajevima kada su korisnički certifikati stariji od vremena stvaranja korisnika. Taj ključ registra omogućuje uspješnu provjeru autentičnosti kada koristite slaba mapiranja certifikata u okruženju, a vrijeme certifikata prije vremena stvaranja korisnika unutar postavljenog raspona. Taj ključ registra ne utječe na korisnike ni računala s jakim mapiranjem certifikata jer se vrijeme certifikata i vrijeme stvaranja korisnika ne provjeravaju pomoću mapiranja jakih certifikata. Taj ključ registra nema učinka kada je StrongCertificateBindingEnforcement postavljen na 2.

Korištenje ovog ključa registra privremeno je zaobilazno rješenje za okruženja koja ga zahtijevaju i koja se moraju izvršiti s oprezom. Korištenje ovog ključa registra znači sljedeće za vaše okruženje:

  • Taj ključ registra funkcionira samo u načinu kompatibilnosti počevši od ažuriranja objavljenih 10. svibnja 2022. Provjera autentičnosti bit će dopuštena tijekom pomaka kompenzacije za sigurnosno kopiranje, ali će se zapisati upozorenje zapisnika događaja za slabo povezivanje.

  • Omogućivanjem tog ključa registra omogućuje se provjera autentičnosti korisnika kada je vrijeme certifikata prije vremena stvaranja korisnika unutar postavljenog raspona kao slabo mapiranje. Slaba mapiranja neće biti podržana nakon instalacije ažuriranja za Windows objavljena 9. svibnja 2023., što će omogućiti način rada Potpuna provedba.

Potključ registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrijednost

CertificateBackdatingCompensation

Vrsta podataka

REG_DWORD

Podaci

Vrijednosti za zaobilazno rješenje u približnoj godinama:

  • 50 godina: 0x5E0C89C0

  • 25 godina: 0x2EFE0780

  • 10 godina: 0x12CC0300

  • 5 godina: 0x9660180

  • 3 godine: 0x5A39A80

  • 1 godina: 0x1E13380

Napomena Ako znate vijek trajanja certifikata u svom okruženju, postavite ključ registra na nešto dulje od životnog vijeka certifikata.  Ako ne znate vijek trajanja certifikata za svoje okruženje, taj ključ registra postavite na 50 godina. Zadano je na 10 minuta kada taj ključ nije prisutan, što odgovara servisu Active Directory Certificate Services (ADCS). Maksimalna je vrijednost 50 godina (0x5E0C89C0).

Taj ključ postavlja vremensku razliku u sekundama koju će centar za raspodjelu ključeva (KDC) zanemariti između vremena izdavanja certifikata za provjeru autentičnosti i vremena stvaranja računa za korisničke račune/ račune računala.

Važno Taj ključ registra postavite samo ako ga vaše okruženje zahtijeva. Korištenjem ovog ključa registra onemogućit će se sigurnosna provjera.

Potrebno je ponovno pokretanje?

Ne

Ustanove za izdavanje certifikata za velike tvrtke

Ustanove za izdavanje certifikata za velike tvrtke (CA) po zadanom će početi dodavati novo proširenje koje nije kritično s identifikatorom objekta (OID) (1.3.6.1.4.1.311.25.2) u svim certifikatima izdanima na mrežnim predlošcima nakon instalacije ažuriranja za 10. svibnja 2022. Windows. Dodavanje tog proširenja možete zaustaviti tako da postavite 0x00080000 bit u vrijednosti msPKI-Enrollment-Flag odgovarajućeg predloška.

Pokrenite sljedeću naredbu certutil da biste izuzeli certifikate korisničkog predloška iz dohvaćanja novog proširenja.

  1. Prijavite se na poslužitelj ustanove za izdavanje certifikata ili klijent pridružen domeni Windows 10 administratoru tvrtke ili ekvivalentnim vjerodajnicama.

  2. Otvorite naredbeni redak i odaberite Pokreni kao administrator.

  3. Pokrenite certutil -dstemplate korisnik msPKI-Enrollment-Flag +0x00080000. 

Onemogućivanjem dodavanja ovog proširenja uklonit će se zaštita koju pruža novo proširenje. Razmislite o tome tek nakon jednog od sljedećih:

  1. Potvrđujete da odgovarajući certifikati nisu prihvatljivi za šifriranje javnog ključa za početnu provjeru autentičnosti (PKINIT) u provjera autentičnosti protokola Kerberos na KDC-u

  2. Odgovarajuće potvrde imaju konfigurirana druga snažna mapiranja certifikata

Okruženja koja imaju implementacije koje nisu Microsoft CA neće biti zaštićena pomoću novog SID proširenja nakon instalacije ažuriranja za 10. svibnja 2022. Windows. Zahvaćeni korisnici trebali bi raditi s odgovarajućim dobavljačima certifikata za izdavanje certifikata da bi riješili taj problem ili bi trebali razmisliti o korištenju drugih gore opisanih jakih mapiranja certifikata.

Dodatne resurse i podršku potražite u odjeljku "Dodatni resursi".

Najčešća pitanja

Ne, obnova nije potrebna. Ca će se poslati u načinu kompatibilnosti. Ako želite snažno mapiranje pomoću proširenja ObjectSID, potreban vam je novi certifikat.

Dodatni resursi

Dodatne informacije o mapiranju TLS klijentskog certifikata potražite u sljedećim člancima:

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×