KB5014754: A tanúsítványalapú hitelesítés változásai a Windows tartományvezérlőkön

Hatókör
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Módosítási napló
Dátum módosítása Leírás:
9/10/2025 A kényszerítési mód dátumát 2025. szeptember 10-ről 2025. szeptember 9-re javítottuk.
9/8/2025 Hivatkozás hozzáadva a "További erőforrások" szakaszhoz... Erős leképezések implementálása Intune-tanúsítványokban.
7/29/2025 Hozzáadtunk egy "Ismert problémát" a "Hibaelhárítás" szakaszhoz... Egy Csoportházirend-objektum zavarhatja a "névalapú leképezéseket"
10/24/2024 A "Művelet végrehajtása" szakasz 2. lépésének "Teljes kényszerítési mód" leírásának szövegét a "Windows-frissítések idővonala" szakasz "Teljes kényszerítési mód" szakaszában frissítettük, és módosítottuk a "Kulcsinformációi" szakasz "Kulcsszolgáltató szolgáltató (KDC) beállításkulcsa" és "Tanúsítványok visszadátumozási rendszerleíró kulcsa" témakörök dátumadatait.
9/10/2024 Módosult a kényszerítési mód teljes leírása "A Windows-frissítések időzítése" című szakaszban, hogy tükrözze az új dátumokat. 2025. február 11-én kényszerítési módba helyezi az eszközöket, de megszűnik a kompatibilitási módba való visszatérés támogatása. A beállításkulcsok teljes körű támogatása 2025. szeptember 9-én megszűnik.
7/5/2024 A "Beállításkulcs-információk" szakaszban információt adtunk hozzá a kulcsszolgáltató (KDC) beállításkulcsának SID-kiterjesztéséről.
2023. 10. 10. Információk hozzáadva az erős megfeleltetések alapértelmezett módosításairól a "Windows Frissítések idővonalán" alatt
6/30/2023 A teljes kényszerítési mód dátuma 2023. november 14-ről 2025. február 11-re módosult (ezek a dátumok korábban 2023. május 19. és 2023. november 14. között szerepeltek).
1/26/2023 A letiltott mód eltávolítása 2023. február 14-ről 2023. április 11-re módosult.

Összegzés

A CVE-2022-34691,CVE-2022-26931 és CVE-2022-26923 egy jogosultságszint-emelési sebezhetőséget javít ki, amely akkor fordulhat elő, amikor a Kerberos kulcsszolgáltató (KDC) egy tanúsítványalapú hitelesítési kérelmet szolgál ki. A 2022. május 10-i biztonsági frissítés előtt a tanúsítványalapú hitelesítés nem vette figyelembe a gép nevének végén található dollárjelet ($). Ez lehetővé tette a kapcsolódó tanúsítványok különféle módokon történő emulálását (hamisítását). Emellett az egyszerű felhasználónevek (UPN) és az sAMAccountName közötti ütközés egyéb emulációs (hamisítási) biztonsági réseket is eredményezett, amelyeket szintén megszüntetünk a biztonsági frissítéssel.

Vágjon bele

A környezet védelme érdekében hajtsa végre a következő lépéseket a tanúsítványalapú hitelesítéshez:

  1. Frissítse az Active Directory tanúsítványszolgáltatásokat futtató összes kiszolgálót és tanúsítványalapú hitelesítést támogató Windows-tartományvezérlőt a 202. május 10-i frissítéssel (lásd: Kompatibilitási mód). A 2022. május 10-i frissítés olyan naplózási eseményeket biztosít majd, amelyek azonosítják a teljes érvényesítési móddal nem kompatibilis tanúsítványokat.
  2. Ha a frissítés telepítése után egy hónapig nem hoztak létre naplózási eseménynaplókat a tartományvezérlőkön, engedélyezze a teljes érvényesítési módot az összes tartományvezérlőn. Ha 2025 februárjáig nincs konfigurálva a StrongCertificateBindingEnforcemenbeállításkulcs, a tartományvezérlők teljes kényszerítési módba kerülnek. Ellenkező esetben a beállításkulcsok kompatibilis üzemmódra vonatkozó beállítását a rendszer továbbra is figyelembe veszi. Ha teljes érvényesítési módban egy tanúsítvány nem felel meg az erős (biztonságos) leképezési feltételeknek (lásd: Tanúsítványleképezések), a rendszer megtagadja a hitelesítést. A kompatibilitási módba való visszatérés lehetősége azonban a Windows biztonsági frissítésének 2025. szeptember 9-i telepítéséig megmarad.

Naplózási események

A 2022. május 10-i Windows-frissítés a következő eseménynaplókat adja hozzá.

Nincs erős leképezés

Nem található erős tanúsítványleképezés, és a tanúsítvány nem rendelkezett a KDC által ellenőrzött új biztonsági azonosító (SID) kiterjesztéssel.

Eseménynapló Rendszer
Esemény típusa Figyelmeztetés, ha a fő teljesítményvezérlő kompatibilitási módban van
Hiba, ha a KDC kényszerítési módban van
Eseményforrás Kdcsvc
Eseményazonosító 39
41 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)
Esemény szövege A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-vel) hozzárendelni egy felhasználóhoz. Az ilyen tanúsítványokat vagy le kell cserélni, vagy explicit hozzárendeléssel közvetlenül a felhasználóhoz kell rendelni. További információért tekintse meg a https://go.microsoft.com/fwlink/?linkid=2189925.
Felhasználó: <egyszerű név>
Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban>
Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve (FQDN)>
Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma>
Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata>
A fióknál régebbi tanúsítvány

A tanúsítványt azelőtt állították ki a felhasználónak, hogy a felhasználó létezett volna az Active Directoryban, és nem található erős hozzárendelés. Ezt az eseményt csak akkor naplózza a rendszer, ha a fő teljesítményvezérlő kompatibilitási módban van.

Eseménynapló Rendszer
Esemény típusa Hiba
Eseményforrás Kdcsvc
Eseményazonosító 40
48 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)
Esemény szövege A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-vel) hozzárendelni egy felhasználóhoz. A tanúsítvány szintén annál a felhasználónál korábbi, amelyhez hozzá lett rendelve, ezért a rendszer elutasította. További információért tekintse meg a https://go.microsoft.com/fwlink/?linkid=2189925.
Felhasználó: <egyszerű név>
Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban>
Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve>
Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma>
Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata>
A tanúsítvány kiállításának ideje: <A tanúsítvány FILETIME>
Fióklétrehozás ideje: <FILETIME (FILETIME érték) az Active Directoryban lévő principal objektumhoz>
A felhasználók biztonsági azonosítója nem egyezik meg a tanúsítvány biztonsági azonosítójával

A felhasználói tanúsítvány új kiterjesztésében található biztonsági azonosító nem egyezik meg a felhasználó biztonsági azonosítójával, ami arra utal, hogy a tanúsítványt egy másik felhasználónak állították ki.

Eseménynapló Rendszer
Esemény típusa Hiba
Eseményforrás Kdcsvc
Eseményazonosító 41
49 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 rendszerhez)
Esemény szövege A kulcsszolgáltató (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de más biztonsági azonosítót tartalmazott, mint az a felhasználó, amelyhez hozzá lett képezve. Ennek eredményeképpen a tanúsítványra vonatkozó kérelem sikertelen volt. További információért tekintse meg a https://go.microsoft.cm/fwlink/?linkid=2189925.
Felhasználó: <egyszerű név>
Felhasználói SID: <A hitelesítést végző rendszerbiztonsági tag SID azonosítója>
Tanúsítvány tárgya: <Tulajdonos neve a tanúsítványban>
Tanúsítvány kibocsátója: <Kibocsátó teljes tartományneve>
Tanúsítvány sorozatszáma: <A tanúsítvány sorozatszáma>
Tanúsítvány ujjlenyomata: <A tanúsítvány ujjlenyomata>
Tanúsítvány biztonsági azonosítója: <Az új tanúsítványbővítményben található SID>

Tanúsítvány-hozzárendelések

A tartományi rendszergazdák manuálisan leképezhetik a tanúsítványokat az Active Directoryban a users objektum altSecurityIdentities attribútumának használatával. Ehhez az attribútumhoz hat támogatott érték tartozik, amelyek közül három gyengének (nem biztonságosnak), a másik három pedig erősnek tekinthető. A megfeleltetési típusok általában akkor számítanak erősnek, ha olyan azonosítókon alapulnak, amelyeket nem használhat újra. Ezért a felhasználóneveken és e-mail címeken alapuló összes megfeleltetési típus gyengének minősül.

Leképezés Példa Típus: Megjegyzések
X509IssuerSubject "X509:<I IssuerName><S>SubjectName" Gyenge
X509SubjectOnly "X509:<S>SubjectName" Gyenge
X509RFC822 "X509:<RFC822>user@contoso.com" Gyenge E-mail-cím
X509IssuerSerialNumber "X509:<I>IssuerName<SR>1234567890" Erős Ajánlott
X509SKI "X509:<SKI>123456789abcdef" Erős
X509SHA1PublicKey "X509:<SHA1-PUKEY>123456789abcdef" Erős

Ha az ügyfelek nem tudják újra kiadni a tanúsítványokat az új biztonsági azonosító kiterjesztéssel, javasoljuk, hogy hozzon létre manuális leképezést a fent ismertetett erős leképezések egyikével. Ezt úgy teheti meg, hogy hozzáadja a megfelelő leképezési karakterláncot egy users altSecurityIdentities attribútumhoz az Active Directoryban.

Tanúsítványok manuális megfeleltetése

Megjegyzés Bizonyos mezők, például a Kibocsátó, a Tárgy és a Sorozatszám "továbbítási" formátumban jelennek meg. Ezt a formátumot meg kell fordítania, amikor hozzárendelési karakterláncot ad az altSecurityIdentities attribútumhoz. Ha például az X509IssuerSerialNumber megfeleltetést hozzá szeretné adni egy felhasználóhoz, keressen a felhasználóhoz hozzárendelni kívánt tanúsítvány "Issuer" és "Serial Number" mezőiben. Tekintse meg az alábbi mintakimenetet.

  • Kibocsátó: CN=CONTOSO-DC-CA, DC=contoso, DC=com
  • Sorozatszám: 2B0000000011AC0000000012

Ezután frissítse a felhasználó altSecurityIdentities attribútumát az Active Directoryban a következő karakterlánccal:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Az attribútum PowerShell-lel való frissítéséhez használja az alábbi parancsot. Ne feledje, hogy alapértelmezés szerint csak a tartományi rendszergazdák rendelkeznek engedéllyel az attribútum frissítésére.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Ne feledje, hogy a SerialNumber megfordításakor meg kell tartania a bájtsorrendet. Ez azt jelenti, hogy az "A1B2C3" sorozatszám megfordítása a "C3B2A1" karakterláncot eredményezi, nem pedig a "3C2B1A" karakterláncot. További információ: Útmutató: Felhasználó leképezése tanúsítványra az altSecurityIdentities attribútumban elérhető összes metódussal.

A Windows-frissítések idővonala

Fontos Az engedélyezési fázis a Windows 2023. április 11-i frissítéseivel kezdődik, amelyek figyelmen kívül hagyják a korlátozott módú beállításkulcs-beállítást.

Kompatibilis üzemmód

Miután telepítette a 2022. május 10-i Windows-frissítéseket, az eszközök kompatibilitási módba kerülnek. Ha egy tanúsítvány pontosan hozzárendelhető egy felhasználóhoz, a hitelesítés a várt módon megy végbe. Ha egy tanúsítványt csak gyengén lehet hozzárendelni egy felhasználóhoz, a hitelesítés a várt módon történik. A rendszer azonban figyelmeztető üzenetet küld, hacsak a tanúsítvány nem régebbi a felhasználónál. Ha a tanúsítvány régebbi a felhasználónál, és a tanúsítványok visszadátumolási rendszerleíró kulcsa nem található vagy a tartomány kívül esik a visszadátumozási kompenzáción, a hitelesítés sikertelen lesz, és hibaüzenet kerül naplózásra.  Ha a tanúsítványok visszadátumozási rendszerleíró kulcsa be van állítva, akkor figyelmeztető üzenetet fog naplózni az eseménynaplóba, ha a dátumok a visszamenőleges dátumok kompenzációján belülre esnek.

A 2022. május 10-i Windows-frissítések telepítése után figyelje, hogy vannak-e olyan figyelmeztető üzenetek, amelyek egy hónap vagy több idő elteltével jelenhetnek meg. Ha nem jelenik meg figyelmeztető üzenet, javasoljuk, hogy engedélyezze a teljes érvényesítési módot minden tanúsítványalapú hitelesítést használó tartományvezérlőn. A KDC beállításkulcsával engedélyezheti a teljes érvényesítési módot.

Teljes kényszerítési mód

Hacsak korábban nem frissítette naplózási vagy kényszerítési módra a StrongCertificateBindingEnforcement beállításkulcs használatával, a tartományvezérlők a 2025. februári Windows biztonsági frissítés telepítésekor teljes kényszerítési módba kerülnek. A rendszer megtagadja a hitelesítést, ha a tanúsítványt nem lehet pontosan megfeleltetni. A kompatibilitási módba való visszatérés lehetősége a 2025. szeptember 9-i Windows biztonsági frissítés telepítéséig megmarad. Ezt a dátumot követően a StrongCertificateBindingEnforcement beállításkulcs támogatása megszűnik

Korlátozott üzemmód

Ha a tanúsítványalapú hitelesítés olyan gyenge leképezésre támaszkodik, amelyet nem lehet áthelyezni a környezetből, a tartományvezérlőket egy beállításkulcs-beállítással korlátozott módba helyezheti. A Microsoft ezt nem javasolja , és 2023. április 11-én eltávolítjuk a letiltott módot.

Az erős leképezés alapértelmezett módosításai

Miután telepítette a 2024. február 13-i vagy újabb Windows-frissítéseket a Server 2019-es és újabb kiszolgálókon, és támogatta az RSAT választható funkcióval rendelkező ügyfeleket, az Active Directory felhasználói & számítógépek tanúsítványleképezése alapértelmezés szerint az X509IssuerSerialNumber használatával történő erős leképezést választja az X509IssuerSubject szerinti gyenge leképezés helyett. A beállítás ennek ellenére tetszés szerint módosítható.

Hibaelhárítás

Egy Csoportházirend-objektum zavarhatja a "névalapú leképezéseket"

Tünetek

A Microsoft jelentéseket kapott arról, hogy a "Számítógép konfigurációja>,felügyeleti sablonjai>, rendszer-Csoportházirend>konfigurálása, beállításjegyzék-házirend feldolgozásának konfigurálása a Csoportházirend objektum alatt található "Folyamat, még akkor is, ha a Csoportházirend objektumai nem változtak" beállítás>" időnként zavarhatja a tartományvezérlők névalapú leképezéseit.

Kerülő megoldás

A probléma kerülő megoldásához tiltsa le a "Folyamat, még akkor is, ha a Csoportházirend objektumai nem változtak" beállítást a tartományvezérlőkön. Csak akkor tegye ezt meg, ha a "Számítógép konfigurációja>, felügyeleti sablonjai>,rendszer,>KDC,>névalapú erős hozzárendelések engedélyezése tanúsítványokhoz" Csoportházirend szerinti névalapú leképezésekre van szükség. További információ: Erős névalapú leképezés engedélyezése kormányzati forgatókönyvekben.

Következő lépés

Vizsgáljuk ezeket a jelentéseket, és további információval szolgálunk, amint elérhetővé válnak.

Nem sikerült bejelentkezni a CVE-2022-26931 és CVE-2022-26923 védelmek telepítése után
  • A Kerberos operatív naplója segítségével állapítsa meg az adott számítógépen, hogy melyik tartományvezérlő nem képes bejelentkezni. Nyissa meg az eseménymegtekintőAlkalmazás>- és szolgáltatásnaplók\Microsoft \Windows\biztonság-Kerberos\működőképes.
  • Keresse meg a vonatkozó eseményeket annak a tartományvezérlőnek a rendszereseménynaplójában, amelyet a fiók hitelesíteni próbál.
  • Ha a tanúsítvány régebbi a fióknál, adja ki újból azt, vagy adjon hozzá egy biztonságos altSecurityIdentities-megfeleltetést a fiókhoz (lásd: Tanúsítványleképezések).
  • Ha a tanúsítvány SID-kiterjesztést tartalmaz, ellenőrizze, hogy a biztonsági azonosító megegyezik-e a fiókéval.
  • Ha a tanúsítványt több különböző fiók hitelesítésére használja, minden fiókhoz külön altSecurityIdentities leképezésre van szükség.
  • Ha a tanúsítvány nem rendelkezik biztonságos hozzárendeléssel a fiókhoz, vegyen fel egyet, vagy hagyja a tartományt kompatibilitási módban, amíg nem tud ilyet hozzáadni.
Nem sikerült hitelesíteni Transport Layer Security (TLS) tanúsítványleképezéssel

A TLS-tanúsítvány hozzárendelésére példa egy IIS intranetes webalkalmazás használata.

  • A CVE-2022-26391 és CVE-2022-26923 védelem telepítése után ezek a forgatókönyvek alapértelmezés szerint a Kerberos Certificate Service For User (S4U) protokollt használják a tanúsítványleképezéshez és a hitelesítéshez.
  • A Kerberos Certificate S4U protokollban a hitelesítési kérelem az alkalmazáskiszolgálóról a tartományvezérlőre érkezik, nem pedig az ügyfélről a tartományvezérlőre. Ezért a releváns események az alkalmazáskiszolgálón lesznek.

Beállításkulcsokkal kapcsolatos információk

Miután telepítette a CVE-2022-26931 és CVE-2022-26923 védelmet a 2022. május 10. és 2025. szeptember 9. között vagy később kiadott Windows-frissítésekben, a következő beállításkulcsok érhetők el.

Kulcsszolgáltató (KDC) beállításkulcs

Ez a beállításkulcs nem lesz támogatott a 2025 szeptemberében vagy azt követően kiadott Windows-frissítések telepítése után.

Megjegyzés

  • Fontos

  • Ennek a beállításkulcsnak a használata egy ideiglenes kerülő megoldás olyan környezetekben, ahol szükség van rá, és körültekintően kell eljárni. A beállításkulcs használata az alábbiakat jelenti a környezetben:

  • Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve.

  • Ez a beállításkulcs nem lesz támogatott a 2025. szeptember 9-én kiadott Windows-frissítések telepítése után.

  • Az erős tanúsítványkötés-kényszerítés által használt SID-bővítményészlelés és -érvényesítés a KDC UseSubjectAltName beállításkulcsának értékétől függ. A biztonsági azonosító akkor lesz használatos, ha a beállításazonosító nem létezik vagy az érték 0x1 értékre van állítva. A rendszer nem használja a biztonsági azonosító kiterjesztést, ha létezik a UseSubjectAltName érték, és az érték 0x0.

Beállításjegyzékbeli alkulcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Érték StrongCertificateBindingEnforcement
Adattípus: REG_DWORD
Adatok 1 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezett. Ellenkező esetben a kulcsszolgáltató ellenőrzi, hogy a tanúsítvány rendelkezik-e az új biztonsági azonosító kiterjesztéssel, és érvényesíti azt. Ha ez a kiterjesztés nem található meg, a hitelesítés akkor engedélyezett, ha a felhasználói fiók a tanúsítványnál régebbi.
2 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezett. Ellenkező esetben a kulcsszolgáltató ellenőrzi, hogy a tanúsítvány rendelkezik-e az új biztonsági azonosító kiterjesztéssel, és érvényesíti azt. Ha ez a kiterjesztés nem található, a rendszer megtagadja a hitelesítést.
0 – Letiltja az erős tanúsítványleképezés ellenőrzését. Nem javasolt, mert ezzel letiltja az összes biztonsági fejlesztést.
Ha ezt 0-ra állítja, a számítógép tanúsítványalapú hitelesítésének sikerességéhez a CertificateMappingMethods tulajdonságot is 0x1F-ra kell állítania a Schannel beállításkulcsait ismertető alábbi szakaszban leírtak szerint.
Újra kell indítani? Nem
SChannel beállításkulcs

Amikor egy kiszolgálói alkalmazás ügyfél-hitelesítést követel meg, a Schannel automatikusan megkísérli a TLS-ügyfél által biztosított tanúsítvány hozzárendelését egy felhasználói fiókhoz. Az ügyféltanúsítvánnyal bejelentkező felhasználók hitelesítéséhez olyan megfeleltetéseket hozhat létre, amelyek a tanúsítványadatokat egy Windows felhasználói fiókhoz kapcsolják. A tanúsítványleképezés létrehozása és engedélyezése után minden alkalommal, amikor egy ügyfél bemutat egy ügyféltanúsítványt, a kiszolgálóalkalmazás automatikusan társítja az adott felhasználót a megfelelő Windows-felhasználói fiókkal.

A Schannel az engedélyezett tanúsítványleképezési módszereket addig próbálja megfeleltetni, amíg az egyik sikeres nem lesz. A Schannel először megpróbálja megfeleltetni a Service-for-User-to-Self (S4U2Self) leképezéseket. A Subject/Issuer, a Issuer és az UPN tanúsítványmegfeleltetések mostantól gyengének minősülnek, és alapértelmezés szerint le vannak tiltva. A kijelölt beállítások bitmaszkolt összege határozza meg az elérhető tanúsítványleképezési módszerek listáját.

Az alapértelmezett SChannel beállításkulcs 0x1F volt, és most 0x18. Ha hitelesítési hibát tapasztal a Schannel-alapú kiszolgálói alkalmazásokban, javasoljuk, hogy végezzen egy tesztet. Adja hozzá vagy módosítsa a CertificateMappingMethods beállításkulcs értékét a tartományvezérlőn, és állítsa 0x1F értékre, és ellenőrizze, hogy ez megoldja-e a problémát. További információt a cikkben felsorolt hibákért ellenőrizze a tartományvezérlő rendszereseménynaplóiban. Ne feledje, hogy ha visszaállítja a SChannel beállításkulcs értékét a korábbi alapértelmezett értékre (0x1F), azzal visszatérhet a gyenge tanúsítványleképezési módszerek használatához.

Beállításjegyzékbeli alkulcs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Érték CertificateMappingMethods
Adattípus: DWORD
Adatok 0x0001 – Tulajdonos/kiállító tanúsítvány megfeleltetése (gyenge – Alapértelmezés szerint le van tiltva)
0x0002 – Kiállítói tanúsítvány hozzárendelése (gyenge – Alapértelmezés szerint le van tiltva)
0x0004 – UPN-tanúsítványleképezés (gyenge – Alapértelmezés szerint le van tiltva)
0x0008 – S4U2Self tanúsítványleképezés (erős)
0x0010 – S4U2Self explicit tanúsítványleképezés (erős)
Újra kell indítani? Nem

További erőforrásokért és támogatásért tekintse át a "További erőforrások" című részt.

A tanúsítványok visszamenőleges dátumozású beállításkulcsa

A CVE-2022-26931 és CVE-2022-26923 címkével ellátott frissítések telepítése után a hitelesítés sikertelen lehet olyan esetekben, amikor a felhasználói tanúsítványok régebbiek, mint a felhasználó létrehozási ideje. Ez a beállításkulcs lehetővé teszi a sikeres hitelesítést, ha gyenge tanúsítványleképezéseket használ a környezetben, és a tanúsítvány ideje a felhasználó létrehozási ideje előtti egy meghatározott tartományon belüli. Ez a beállításkulcs nincs hatással az erős tanúsítványleképezéssel rendelkező felhasználókra vagy gépekre, mivel a rendszer nem ellenőrzi a tanúsítvány idejét és a felhasználók létrehozásának idejét erős tanúsítványleképezésekkel. Ennek a beállításkulcsnak nincs hatása, ha a StrongCertificateBindingEnforcement értéke 2.

Ennek a beállításkulcsnak a használata egy ideiglenes kerülő megoldás olyan környezetekben, ahol szükség van rá, és körültekintően kell eljárni. A beállításkulcs használata az alábbiakat jelenti a környezetben:

  • Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve. A hitelesítés a visszamenőleges dátumkompenzáció eltolásán belül engedélyezett, de a gyenge kötés miatt naplózzunk egy eseménynapló-figyelmeztetést.
  • Ennek a beállításkulcsnak az engedélyezése lehetővé teszi a felhasználó hitelesítését, ha a tanúsítvány ideje a felhasználó létrehozási ideje előtt van egy meghatározott tartományon belül. Ez gyenge megfeleltetés. A gyenge megfeleltetések nem lesznek támogatottak a 2025 szeptemberében vagy azt követően kiadott Windows-frissítések telepítése után.
Beállításjegyzékbeli alkulcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Érték CertificateBackdatingCompensation
Adattípus: REG_DWORD
Adatok A megkerülő megoldás értékei hozzávetőleges években:

  • 50 év: 0x5E0C89C0
  • 25 év: 0x2EFE0780
  • 10 év: 0x12CC0300
  • 5 év: 0x9660180
  • 3 év: 0x5A39A80
  • 1 év: 0x1E13380
Megjegyzés Ha ismeri a tanúsítványok élettartamát a környezetben, állítsa ezt a beállításkulcsot valamivel hosszabbra, mint a tanúsítvány élettartama. Ha nem ismeri a környezete tanúsítványainak élettartamát, állítsa a beállításkulcsot 50 évre. Az alapértelmezett érték 10 perc, ha ez a kulcs nem található, ami megfelel az Active Directory tanúsítványszolgáltatásoknak (ADCS). A maximális érték 50 év (0x5E0C89C0).

Ez a kulcs állítja be azt az időkülönbséget (másodpercben), amelyet a kulcsszolgáltató (KDC) figyelmen kívül hagy a hitelesítési tanúsítvány kibocsátása és a felhasználói/számítógépfiókok fiók létrehozásának időpontja között.

Fontos Csak akkor állítsa be ezt a beállításkulcsot, ha a környezete megköveteli. Ennek a beállításkulcsnak a használata letiltja a biztonsági ellenőrzést.
Újra kell indítani? Nem

Vállalati hitelesítésszolgáltatók

A 2022. május 10-i Windows-frissítés telepítése után a vállalati hitelesítésszolgáltatók (CA) alapértelmezés szerint új, nem kritikus kiterjesztéseket adnak hozzá objektumazonosítóval (OID) (1.3.6.1.4.1.311.25.2) rendelkező összes tanúsítványhoz. A kiterjesztés hozzáadását úgy állíthatja le, hogy beállítja a 0x00080000 bitet a megfelelő sablon msPKI-Enrollment-Flag értékében.

Példa

A következő certutil paranccsal kizárhatja, hogy a felhasználói sablon tanúsítványai megkapják az új bővítményt.

  1. Jelentkezzen be egy hitelesítésszolgáltatói kiszolgálóra vagy egy tartományhoz csatlakoztatott Windows 10-ügyfélre a vállalati rendszergazdai vagy azzal egyenértékű hitelesítő adatokkal.
  2. Nyisson meg egy parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.
  3. Futtassa a certutil -dstemplate user msPKI-Enrollment-Flag + 0x00080000 parancsot.

A bővítmény hozzáadásának letiltásával eltávolítja az új bővítmény által nyújtott védelmet. Ezt csak az alábbi műveletek egyike után végezze el:

  1. Megerősíti, hogy a megfelelő tanúsítványok nem fogadhatók el a nyilvános kulcsú titkosításhoz a kezdeti hitelesítéshez (PKINIT) a Kerberos protokoll hitelesítésében a KDC-nél
  2. A megfelelő tanúsítványokhoz más erős tanúsítványleképezések is konfigurálva vannak

A nem Microsoft által üzembe helyezett központi telepítéssel rendelkező környezetek nem lesznek védve az új SID bővítménnyel a 2022. május 10-i Windows-frissítés telepítése után. Az érintett ügyfeleknek a megfelelő hitelesítésszolgáltatói szolgáltatókkal együttműködve kell megoldaniuk ezt a problémát, vagy fontolóra kell venniük más, fent ismertetett erős tanúsítványleképezések használatát.

További erőforrásokért és támogatásért tekintse át a "További erőforrások" című részt.

Gyakori kérdések

A hitelesítésszolgáltató frissítése után meg kell újítani az összes ügyfél-hitelesítési tanúsítványt?

Nem, a megújítás nem kötelező. A hitelesítésszolgáltató kompatibilitási módban lesz elérhető. Ha az ObjectSID kiterjesztéssel szeretne erős megfeleltetést alkalmazni, új tanúsítványra lesz szüksége.

Milyen hatással lesz a teljes érvényesítési mód a környezetemre?

A 2025. február 11-i Windows-frissítésben azok az eszközök, amelyek még nincsenek kényszerítés alatt (a StrongCertificateBindingEnforcement beállításazonosító 2-re van állítva), kényszerítés alá kerülnek. A hitelesítés megtagadása esetén a 39-es eseményazonosító jelenik meg (vagy 41-es eseményazonosító a Windows Server 2008 R2 SP1 és a Windows Server 2008 SP2 rendszer esetében). Ebben a fázisban lehetősége lesz visszaállítani a beállításkulcs értékét 1-re (Kompatibilitási mód).

A 2025. szeptember 9-i Windows-frissítésben a StrongCertificateBindingEnforcement beállításazonosító támogatása megszűnik.

További erőforrások

A TLS ügyféltanúsítvány-hozzárendeléssel kapcsolatos további információkért lásd az alábbi cikkeket: