Módosítási napló
| Dátum módosítása | Leírás: |
|---|---|
| 9/10/2025 | A kényszerítési mód dátumát 2025. szeptember 10-ről 2025. szeptember 9-re javítottuk. |
| 9/8/2025 | Hivatkozás hozzáadva a "További erőforrások" szakaszhoz... Erős leképezések implementálása Intune-tanúsítványokban. |
| 7/29/2025 | Hozzáadtunk egy "Ismert problémát" a "Hibaelhárítás" szakaszhoz... Egy Csoportházirend-objektum zavarhatja a "névalapú leképezéseket" |
| 10/24/2024 | A "Művelet végrehajtása" szakasz 2. lépésének "Teljes kényszerítési mód" leírásának szövegét a "Windows-frissítések idővonala" szakasz "Teljes kényszerítési mód" szakaszában frissítettük, és módosítottuk a "Kulcsinformációi" szakasz "Kulcsszolgáltató szolgáltató (KDC) beállításkulcsa" és "Tanúsítványok visszadátumozási rendszerleíró kulcsa" témakörök dátumadatait. |
| 9/10/2024 | Módosult a kényszerítési mód teljes leírása "A Windows-frissítések időzítése" című szakaszban, hogy tükrözze az új dátumokat. 2025. február 11-én kényszerítési módba helyezi az eszközöket, de megszűnik a kompatibilitási módba való visszatérés támogatása. A beállításkulcsok teljes körű támogatása 2025. szeptember 9-én megszűnik. |
| 7/5/2024 | A "Beállításkulcs-információk" szakaszban információt adtunk hozzá a kulcsszolgáltató (KDC) beállításkulcsának SID-kiterjesztéséről. |
| 2023. 10. 10. | Információk hozzáadva az erős megfeleltetések alapértelmezett módosításairól a "Windows Frissítések idővonalán" alatt |
| 6/30/2023 | A teljes kényszerítési mód dátuma 2023. november 14-ről 2025. február 11-re módosult (ezek a dátumok korábban 2023. május 19. és 2023. november 14. között szerepeltek). |
| 1/26/2023 | A letiltott mód eltávolítása 2023. február 14-ről 2023. április 11-re módosult. |
Összegzés
A CVE-2022-34691,CVE-2022-26931 és CVE-2022-26923 egy jogosultságszint-emelési sebezhetőséget javít ki, amely akkor fordulhat elő, amikor a Kerberos kulcsszolgáltató (KDC) egy tanúsítványalapú hitelesítési kérelmet szolgál ki. A 2022. május 10-i biztonsági frissítés előtt a tanúsítványalapú hitelesítés nem vette figyelembe a gép nevének végén található dollárjelet ($). Ez lehetővé tette a kapcsolódó tanúsítványok különféle módokon történő emulálását (hamisítását). Emellett az egyszerű felhasználónevek (UPN) és az sAMAccountName közötti ütközés egyéb emulációs (hamisítási) biztonsági réseket is eredményezett, amelyeket szintén megszüntetünk a biztonsági frissítéssel.
Vágjon bele
A környezet védelme érdekében hajtsa végre a következő lépéseket a tanúsítványalapú hitelesítéshez:
- Frissítse az Active Directory tanúsítványszolgáltatásokat futtató összes kiszolgálót és tanúsítványalapú hitelesítést támogató Windows-tartományvezérlőt a 202. május 10-i frissítéssel (lásd: Kompatibilitási mód). A 2022. május 10-i frissítés olyan naplózási eseményeket biztosít majd, amelyek azonosítják a teljes érvényesítési móddal nem kompatibilis tanúsítványokat.
- Ha a frissítés telepítése után egy hónapig nem hoztak létre naplózási eseménynaplókat a tartományvezérlőkön, engedélyezze a teljes érvényesítési módot az összes tartományvezérlőn. Ha 2025 februárjáig nincs konfigurálva a StrongCertificateBindingEnforcemenbeállításkulcs, a tartományvezérlők teljes kényszerítési módba kerülnek. Ellenkező esetben a beállításkulcsok kompatibilis üzemmódra vonatkozó beállítását a rendszer továbbra is figyelembe veszi. Ha teljes érvényesítési módban egy tanúsítvány nem felel meg az erős (biztonságos) leképezési feltételeknek (lásd: Tanúsítványleképezések), a rendszer megtagadja a hitelesítést. A kompatibilitási módba való visszatérés lehetősége azonban a Windows biztonsági frissítésének 2025. szeptember 9-i telepítéséig megmarad.
Naplózási események
A 2022. május 10-i Windows-frissítés a következő eseménynaplókat adja hozzá.
Nincs erős leképezés
Nem található erős tanúsítványleképezés, és a tanúsítvány nem rendelkezett a KDC által ellenőrzött új biztonsági azonosító (SID) kiterjesztéssel.
| Eseménynapló | Rendszer |
|---|---|
| Esemény típusa | Figyelmeztetés, ha a fő teljesítményvezérlő kompatibilitási módban van Hiba, ha a KDC kényszerítési módban van |
| Eseményforrás | Kdcsvc |
| Eseményazonosító | 39 41 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén) |
| Esemény szövege | A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-vel) hozzárendelni egy felhasználóhoz. Az ilyen tanúsítványokat vagy le kell cserélni, vagy explicit hozzárendeléssel közvetlenül a felhasználóhoz kell rendelni. További információért tekintse meg a https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban> Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve (FQDN)> Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata> |
A fióknál régebbi tanúsítvány
A tanúsítványt azelőtt állították ki a felhasználónak, hogy a felhasználó létezett volna az Active Directoryban, és nem található erős hozzárendelés. Ezt az eseményt csak akkor naplózza a rendszer, ha a fő teljesítményvezérlő kompatibilitási módban van.
| Eseménynapló | Rendszer |
|---|---|
| Esemény típusa | Hiba |
| Eseményforrás | Kdcsvc |
| Eseményazonosító | 40 48 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén) |
| Esemény szövege | A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-vel) hozzárendelni egy felhasználóhoz. A tanúsítvány szintén annál a felhasználónál korábbi, amelyhez hozzá lett rendelve, ezért a rendszer elutasította. További információért tekintse meg a https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban> Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve> Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata> A tanúsítvány kiállításának ideje: <A tanúsítvány FILETIME> Fióklétrehozás ideje: <FILETIME (FILETIME érték) az Active Directoryban lévő principal objektumhoz> |
A felhasználók biztonsági azonosítója nem egyezik meg a tanúsítvány biztonsági azonosítójával
A felhasználói tanúsítvány új kiterjesztésében található biztonsági azonosító nem egyezik meg a felhasználó biztonsági azonosítójával, ami arra utal, hogy a tanúsítványt egy másik felhasználónak állították ki.
| Eseménynapló | Rendszer |
|---|---|
| Esemény típusa | Hiba |
| Eseményforrás | Kdcsvc |
| Eseményazonosító | 41 49 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 rendszerhez) |
| Esemény szövege | A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de más biztonsági azonosítót tartalmazott, mint az a felhasználó, amelyhez hozzá lett képezve. Ennek eredményeképpen a tanúsítványra vonatkozó kérelem sikertelen volt. További információért tekintse meg a https://go.microsoft.cm/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Felhasználói SID: <A hitelesítést végző rendszerbiztonsági tag SID azonosítója> Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban> Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve> Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata> Tanúsítvány biztonsági azonosítója: <Az új tanúsítványbővítményben található SID> |
Tanúsítvány-hozzárendelések
A tartományi rendszergazdák manuálisan leképezhetik a tanúsítványokat az Active Directoryban a users objektum altSecurityIdentities attribútumának használatával. Ehhez az attribútumhoz hat támogatott érték tartozik, amelyek közül három gyengének (nem biztonságosnak), a másik három pedig erősnek tekinthető. A megfeleltetési típusok általában akkor számítanak erősnek, ha olyan azonosítókon alapulnak, amelyeket nem használhat újra. Ezért a felhasználóneveken és e-mail címeken alapuló összes megfeleltetési típus gyengének minősül.
| Leképezés | Példa | Típus: | Megjegyzések |
|---|---|---|---|
| X509IssuerSubject | "X509:<I IssuerName><S>SubjectName" | Gyenge | |
| X509SubjectOnly | "X509:<S>SubjectName" | Gyenge | |
| X509RFC822 | "X509:<RFC822>user@contoso.com" | Gyenge | E-mail-cím |
| X509IssuerSerialNumber | "X509:<I>IssuerName<SR>1234567890" | Erős | Ajánlott |
| X509SKI | "X509:<SKI>123456789abcdef" | Erős | |
| X509SHA1PublicKey | "X509:<SHA1-PUKEY>123456789abcdef" | Erős |
Ha az ügyfelek nem tudják újra kiadni a tanúsítványokat az új biztonsági azonosító kiterjesztéssel, javasoljuk, hogy hozzon létre manuális leképezést a fent ismertetett erős leképezések egyikével. Ezt úgy teheti meg, hogy hozzáadja a megfelelő leképezési karakterláncot egy users altSecurityIdentities attribútumhoz az Active Directoryban.
Tanúsítványok manuális megfeleltetése
Megjegyzés Bizonyos mezők, például a Kibocsátó, a Tárgy és a Sorozatszám "továbbítási" formátumban jelennek meg. Ezt a formátumot meg kell fordítania, amikor hozzárendelési karakterláncot ad az altSecurityIdentities attribútumhoz. Ha például az X509IssuerSerialNumber megfeleltetést hozzá szeretné adni egy felhasználóhoz, keressen a felhasználóhoz hozzárendelni kívánt tanúsítvány "Issuer" és "Serial Number" mezőiben. Tekintse meg az alábbi mintakimenetet.
- Kibocsátó: CN=CONTOSO-DC-CA, DC=contoso, DC=com
- Sorozatszám: 2B0000000011AC0000000012
Ezután frissítse a felhasználó altSecurityIdentities attribútumát az Active Directoryban a következő karakterlánccal:
- "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"
Az attribútum PowerShell-lel való frissítéséhez használja az alábbi parancsot. Ne feledje, hogy alapértelmezés szerint csak a tartományi rendszergazdák rendelkeznek engedéllyel az attribútum frissítésére.
- set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Ne feledje, hogy a SerialNumber megfordításakor meg kell tartania a bájtsorrendet. Ez azt jelenti, hogy az "A1B2C3" sorozatszám megfordítása a "C3B2A1" karakterláncot eredményezi, nem pedig a "3C2B1A" karakterláncot. További információ: Útmutató: Felhasználó leképezése tanúsítványra az altSecurityIdentities attribútumban elérhető összes metódussal.
A Windows-frissítések idővonala
Fontos Az engedélyezési fázis a Windows 2023. április 11-i frissítéseivel kezdődik, amelyek figyelmen kívül hagyják a korlátozott módú beállításkulcs-beállítást.
Kompatibilis üzemmód
Miután telepítette a 2022. május 10-i Windows-frissítéseket, az eszközök kompatibilitási módba kerülnek. Ha egy tanúsítvány pontosan hozzárendelhető egy felhasználóhoz, a hitelesítés a várt módon megy végbe. Ha egy tanúsítványt csak gyengén lehet hozzárendelni egy felhasználóhoz, a hitelesítés a várt módon történik. A rendszer azonban figyelmeztető üzenetet küld, hacsak a tanúsítvány nem régebbi a felhasználónál. Ha a tanúsítvány régebbi a felhasználónál, és a tanúsítványok visszadátumolási rendszerleíró kulcsa nem található vagy a tartomány kívül esik a visszadátumozási kompenzáción, a hitelesítés sikertelen lesz, és hibaüzenet kerül naplózásra. Ha a tanúsítványok visszadátumozási rendszerleíró kulcsa be van állítva, akkor figyelmeztető üzenetet fog naplózni az eseménynaplóba, ha a dátumok a visszamenőleges dátumok kompenzációján belülre esnek.
A 2022. május 10-i Windows-frissítések telepítése után figyelje, hogy vannak-e olyan figyelmeztető üzenetek, amelyek egy hónap vagy több idő elteltével jelenhetnek meg. Ha nem jelenik meg figyelmeztető üzenet, javasoljuk, hogy engedélyezze a teljes érvényesítési módot minden tanúsítványalapú hitelesítést használó tartományvezérlőn. A KDC beállításkulcsával engedélyezheti a teljes érvényesítési módot.
Teljes kényszerítési mód
Hacsak korábban nem frissítette naplózási vagy kényszerítési módra a StrongCertificateBindingEnforcement beállításkulcs használatával, a tartományvezérlők a 2025. februári Windows biztonsági frissítés telepítésekor teljes kényszerítési módba kerülnek. A rendszer megtagadja a hitelesítést, ha a tanúsítványt nem lehet pontosan megfeleltetni. A kompatibilitási módba való visszatérés lehetősége a 2025. szeptember 9-i Windows biztonsági frissítés telepítéséig megmarad. Ezt a dátumot követően a StrongCertificateBindingEnforcement beállításkulcs támogatása megszűnik
Korlátozott üzemmód
Ha a tanúsítványalapú hitelesítés olyan gyenge leképezésre támaszkodik, amelyet nem lehet áthelyezni a környezetből, a tartományvezérlőket egy beállításkulcs-beállítással korlátozott módba helyezheti. A Microsoft ezt nem javasolja , és 2023. április 11-én eltávolítjuk a letiltott módot.
Az erős leképezés alapértelmezett módosításai
Miután telepítette a 2024. február 13-i vagy újabb Windows-frissítéseket a Server 2019-es és újabb kiszolgálókon, és támogatta az RSAT választható funkcióval rendelkező ügyfeleket, az Active Directory felhasználói & számítógépek tanúsítványleképezése alapértelmezés szerint az X509IssuerSerialNumber használatával történő erős leképezést választja az X509IssuerSubject szerinti gyenge leképezés helyett. A beállítás ennek ellenére tetszés szerint módosítható.
Hibaelhárítás
Egy Csoportházirend-objektum zavarhatja a "névalapú leképezéseket"
Tünetek
A Microsoft jelentéseket kapott arról, hogy a "Számítógép konfigurációja>,felügyeleti sablonjai>, rendszer-Csoportházirend>konfigurálása, beállításjegyzék-házirend feldolgozásának konfigurálása a Csoportházirend objektum alatt található "Folyamat, még akkor is, ha a Csoportházirend objektumai nem változtak" beállítás>" időnként zavarhatja a tartományvezérlők névalapú leképezéseit.
Kerülő megoldás
A probléma kerülő megoldásához tiltsa le a "Folyamat, még akkor is, ha a Csoportházirend objektumai nem változtak" beállítást a tartományvezérlőkön. Csak akkor tegye ezt meg, ha a "Számítógép konfigurációja>, felügyeleti sablonjai>,rendszer,>KDC,>névalapú erős hozzárendelések engedélyezése tanúsítványokhoz" Csoportházirend szerinti névalapú leképezésekre van szükség. További információ: Erős névalapú leképezés engedélyezése kormányzati forgatókönyvekben.
Következő lépés
Vizsgáljuk ezeket a jelentéseket, és további információval szolgálunk, amint elérhetővé válnak.
Nem sikerült bejelentkezni a CVE-2022-26931 és CVE-2022-26923 védelmek telepítése után
- A Kerberos operatív naplója segítségével állapítsa meg az adott számítógépen, hogy melyik tartományvezérlő nem képes bejelentkezni. Nyissa meg az eseménymegtekintőAlkalmazás>- és szolgáltatásnaplók\Microsoft \Windows\biztonság-Kerberos\működőképes.
- Keresse meg a vonatkozó eseményeket annak a tartományvezérlőnek a rendszereseménynaplójában, amelyet a fiók hitelesíteni próbál.
- Ha a tanúsítvány régebbi a fióknál, adja ki újból azt, vagy adjon hozzá egy biztonságos altSecurityIdentities-megfeleltetést a fiókhoz (lásd: Tanúsítványleképezések).
- Ha a tanúsítvány SID-kiterjesztést tartalmaz, ellenőrizze, hogy a biztonsági azonosító megegyezik-e a fiókéval.
- Ha a tanúsítványt több különböző fiók hitelesítésére használja, minden fiókhoz külön altSecurityIdentities leképezésre van szükség.
- Ha a tanúsítvány nem rendelkezik biztonságos hozzárendeléssel a fiókhoz, vegyen fel egyet, vagy hagyja a tartományt kompatibilitási módban, amíg nem tud ilyet hozzáadni.
Nem sikerült hitelesíteni Transport Layer Security (TLS) tanúsítványleképezéssel
A TLS-tanúsítvány hozzárendelésére példa egy IIS intranetes webalkalmazás használata.
- A CVE-2022-26391 és CVE-2022-26923 védelem telepítése után ezek a forgatókönyvek alapértelmezés szerint a Kerberos Certificate Service For User (S4U) protokollt használják a tanúsítványleképezéshez és a hitelesítéshez.
- A Kerberos Certificate S4U protokollban a hitelesítési kérelem az alkalmazáskiszolgálóról a tartományvezérlőre érkezik, nem pedig az ügyfélről a tartományvezérlőre. Ezért a releváns események az alkalmazáskiszolgálón lesznek.
Beállításkulcsokkal kapcsolatos információk
Miután telepítette a CVE-2022-26931 és CVE-2022-26923 védelmet a 2022. május 10. és 2025. szeptember 9. között vagy később kiadott Windows-frissítésekben, a következő beállításkulcsok érhetők el.
Kulcsszolgáltató (KDC) beállításkulcs
Ez a beállításkulcs nem lesz támogatott a 2025 szeptemberében vagy azt követően kiadott Windows-frissítések telepítése után.
Megjegyzés
Fontos
Ennek a beállításkulcsnak a használata egy ideiglenes kerülő megoldás olyan környezetekben, ahol szükség van rá, és körültekintően kell eljárni. A beállításkulcs használata az alábbiakat jelenti a környezetben:
Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve.
Ez a beállításkulcs nem lesz támogatott a 2025. szeptember 9-én kiadott Windows-frissítések telepítése után.
Az erős tanúsítványkötés-kényszerítés által használt SID-bővítményészlelés és -érvényesítés a KDC UseSubjectAltName beállításkulcsának értékétől függ. A biztonsági azonosító akkor lesz használatos, ha a beállításazonosító nem létezik vagy az érték 0x1 értékre van állítva. A rendszer nem használja a biztonsági azonosító kiterjesztést, ha létezik a UseSubjectAltName érték, és az érték 0x0.
| Beállításjegyzékbeli alkulcs | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Érték | StrongCertificateBindingEnforcement |
| Adattípus: | REG_DWORD |
| Adatok | 1 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezett. Ellenkező esetben a kulcsszolgáltató ellenőrzi, hogy a tanúsítvány rendelkezik-e az új biztonsági azonosító kiterjesztéssel, és érvényesíti azt. Ha ez a kiterjesztés nem található meg, a hitelesítés akkor engedélyezett, ha a felhasználói fiók a tanúsítványnál régebbi. 2 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezett. Ellenkező esetben a kulcsszolgáltató ellenőrzi, hogy a tanúsítvány rendelkezik-e az új biztonsági azonosító kiterjesztéssel, és érvényesíti azt. Ha ez a kiterjesztés nem található, a rendszer megtagadja a hitelesítést. 0 – Letiltja az erős tanúsítványleképezés ellenőrzését. Nem javasolt, mert ezzel letiltja az összes biztonsági fejlesztést. Ha ezt 0-ra állítja, a számítógép tanúsítványalapú hitelesítésének sikerességéhez a CertificateMappingMethods tulajdonságot is 0x1F-ra kell állítania a Schannel beállításkulcsait ismertető alábbi szakaszban leírtak szerint. |
| Újra kell indítani? | Nem |
SChannel beállításkulcs
Amikor egy kiszolgálói alkalmazás ügyfél-hitelesítést követel meg, a Schannel automatikusan megkísérli a TLS-ügyfél által biztosított tanúsítvány hozzárendelését egy felhasználói fiókhoz. Az ügyféltanúsítvánnyal bejelentkező felhasználók hitelesítéséhez olyan megfeleltetéseket hozhat létre, amelyek a tanúsítványadatokat egy Windows felhasználói fiókhoz kapcsolják. A tanúsítványleképezés létrehozása és engedélyezése után minden alkalommal, amikor egy ügyfél bemutat egy ügyféltanúsítványt, a kiszolgálóalkalmazás automatikusan társítja az adott felhasználót a megfelelő Windows-felhasználói fiókkal.
A Schannel az engedélyezett tanúsítványleképezési módszereket addig próbálja megfeleltetni, amíg az egyik sikeres nem lesz. A Schannel először megpróbálja megfeleltetni a Service-for-User-to-Self (S4U2Self) leképezéseket. A Subject/Issuer, a Issuer és az UPN tanúsítványmegfeleltetések mostantól gyengének minősülnek, és alapértelmezés szerint le vannak tiltva. A kijelölt beállítások bitmaszkolt összege határozza meg az elérhető tanúsítványleképezési módszerek listáját.
Az alapértelmezett SChannel beállításkulcs 0x1F volt, és most 0x18. Ha hitelesítési hibát tapasztal a Schannel-alapú kiszolgálói alkalmazásokban, javasoljuk, hogy végezzen egy tesztet. Adja hozzá vagy módosítsa a CertificateMappingMethods beállításkulcs értékét a tartományvezérlőn, és állítsa 0x1F értékre, és ellenőrizze, hogy ez megoldja-e a problémát. További információt a cikkben felsorolt hibákért ellenőrizze a tartományvezérlő rendszereseménynaplóiban. Ne feledje, hogy ha visszaállítja a SChannel beállításkulcs értékét a korábbi alapértelmezett értékre (0x1F), azzal visszatérhet a gyenge tanúsítványleképezési módszerek használatához.
| Beállításjegyzékbeli alkulcs | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
|---|---|
| Érték | CertificateMappingMethods |
| Adattípus: | DWORD |
| Adatok | 0x0001 – Tulajdonos/kiállító tanúsítvány megfeleltetése (gyenge – Alapértelmezés szerint le van tiltva) 0x0002 – Kiállítói tanúsítvány hozzárendelése (gyenge – Alapértelmezés szerint le van tiltva) 0x0004 – UPN-tanúsítványleképezés (gyenge – Alapértelmezés szerint le van tiltva) 0x0008 – S4U2Self tanúsítványleképezés (erős) 0x0010 – S4U2Self explicit tanúsítványleképezés (erős) |
| Újra kell indítani? | Nem |
További erőforrásokért és támogatásért tekintse át a "További erőforrások" című részt.
A tanúsítványok visszamenőleges dátumozású beállításkulcsa
A CVE-2022-26931 és CVE-2022-26923 címkével ellátott frissítések telepítése után a hitelesítés sikertelen lehet olyan esetekben, amikor a felhasználói tanúsítványok régebbiek, mint a felhasználó létrehozási ideje. Ez a beállításkulcs lehetővé teszi a sikeres hitelesítést, ha gyenge tanúsítványleképezéseket használ a környezetben, és a tanúsítvány ideje a felhasználó létrehozási ideje előtti egy meghatározott tartományon belüli. Ez a beállításkulcs nincs hatással az erős tanúsítványleképezéssel rendelkező felhasználókra vagy gépekre, mivel a rendszer nem ellenőrzi a tanúsítvány idejét és a felhasználók létrehozásának idejét erős tanúsítványleképezésekkel. Ennek a beállításkulcsnak nincs hatása, ha a StrongCertificateBindingEnforcement értéke 2.
Ennek a beállításkulcsnak a használata egy ideiglenes kerülő megoldás olyan környezetekben, ahol szükség van rá, és körültekintően kell eljárni. A beállításkulcs használata az alábbiakat jelenti a környezetben:
- Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve. A hitelesítés a visszamenőleges dátumkompenzáció eltolásán belül engedélyezett, de a gyenge kötés miatt naplózzunk egy eseménynapló-figyelmeztetést.
- Ennek a beállításkulcsnak az engedélyezése lehetővé teszi a felhasználó hitelesítését, ha a tanúsítvány ideje a felhasználó létrehozási ideje előtt van egy meghatározott tartományon belül. Ez gyenge megfeleltetés. A gyenge megfeleltetések nem lesznek támogatottak a 2025 szeptemberében vagy azt követően kiadott Windows-frissítések telepítése után.
| Beállításjegyzékbeli alkulcs | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Érték | CertificateBackdatingCompensation |
| Adattípus: | REG_DWORD |
| Adatok | A megkerülő megoldás értékei hozzávetőleges években:
Ez a kulcs állítja be azt az időkülönbséget (másodpercben), amelyet a kulcsszolgáltató (KDC) figyelmen kívül hagy a hitelesítési tanúsítvány kibocsátása és a felhasználói/számítógépfiókok fiók létrehozásának időpontja között. Fontos Csak akkor állítsa be ezt a beállításkulcsot, ha a környezete megköveteli. Ennek a beállításkulcsnak a használata letiltja a biztonsági ellenőrzést. |
| Újra kell indítani? | Nem |
Vállalati hitelesítésszolgáltatók
A 2022. május 10-i Windows-frissítés telepítése után a vállalati hitelesítésszolgáltatók (CA) alapértelmezés szerint új, nem kritikus kiterjesztéseket adnak hozzá objektumazonosítóval (OID) (1.3.6.1.4.1.311.25.2) rendelkező összes tanúsítványhoz. A kiterjesztés hozzáadását úgy állíthatja le, hogy beállítja a 0x00080000 bitet a megfelelő sablon msPKI-Enrollment-Flag értékében.
Példa
A következő certutil paranccsal kizárhatja, hogy a felhasználói sablon tanúsítványai megkapják az új bővítményt.
- Jelentkezzen be egy hitelesítésszolgáltatói kiszolgálóra vagy egy tartományhoz csatlakoztatott Windows 10-ügyfélre a vállalati rendszergazdai vagy azzal egyenértékű hitelesítő adatokkal.
- Nyisson meg egy parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.
- Futtassa a certutil -dstemplate user msPKI-Enrollment-Flag + 0x00080000 parancsot.
A bővítmény hozzáadásának letiltásával eltávolítja az új bővítmény által nyújtott védelmet. Ezt csak az alábbi műveletek egyike után végezze el:
- Megerősíti, hogy a megfelelő tanúsítványok nem fogadhatók el a nyilvános kulcsú titkosításhoz a kezdeti hitelesítéshez (PKINIT) a Kerberos protokoll hitelesítésében a KDC-nél
- A megfelelő tanúsítványokhoz más erős tanúsítványleképezések is konfigurálva vannak
A nem Microsoft által üzembe helyezett központi telepítéssel rendelkező környezetek nem lesznek védve az új SID bővítménnyel a 2022. május 10-i Windows-frissítés telepítése után. Az érintett ügyfeleknek a megfelelő hitelesítésszolgáltatói szolgáltatókkal együttműködve kell megoldaniuk ezt a problémát, vagy fontolóra kell venniük más, fent ismertetett erős tanúsítványleképezések használatát.
További erőforrásokért és támogatásért tekintse át a "További erőforrások" című részt.
Gyakori kérdések
A hitelesítésszolgáltató frissítése után meg kell újítani az összes ügyfél-hitelesítési tanúsítványt?
Nem, a megújítás nem kötelező. A hitelesítésszolgáltató kompatibilitási módban lesz elérhető. Ha az ObjectSID kiterjesztéssel szeretne erős megfeleltetést alkalmazni, új tanúsítványra lesz szüksége.
Milyen hatással lesz a teljes érvényesítési mód a környezetemre?
A 2025. február 11-i Windows-frissítésben azok az eszközök, amelyek még nincsenek kényszerítés alatt (a StrongCertificateBindingEnforcement beállításazonosító 2-re van állítva), kényszerítés alá kerülnek. A hitelesítés megtagadása esetén a 39-es eseményazonosító jelenik meg (vagy 41-es eseményazonosító a Windows Server 2008 R2 SP1 és a Windows Server 2008 SP2 rendszer esetében). Ebben a fázisban lehetősége lesz visszaállítani a beállításkulcs értékét 1-re (Kompatibilitási mód).
A 2025. szeptember 9-i Windows-frissítésben a StrongCertificateBindingEnforcement beállításazonosító támogatása megszűnik.
További erőforrások
A TLS ügyféltanúsítvány-hozzárendeléssel kapcsolatos további információkért lásd az alábbi cikkeket:
- Erős leképezés implementálása Intune-tanúsítványokban
- Transport Layer Security (TLS) rendszerleíró adatbázis beállításai
- IIS ügyféltanúsítvány-leképezési hitelesítés iisClientCertificateMappingAuthentication <>
- Egy-az-egyhez ügyféltanúsítvány-leképezések konfigurálása
- "Több az egyhez" megfeleltetések <többToOneMappings>
- Nyilvános kulcsú infrastruktúra (PKI) biztonságossá tétele
- Active Directory tanúsítványszolgáltatások: Vállalati hitelesítésszolgáltatói architektúra