KB5014754 – Tanúsítványalapú hitelesítés változásai Windows-tartományvezérlőkön

Nem található erős tanúsítványleképezés, és a tanúsítvány nem rendelkezik a KDC által érvényesíthető új biztonsági azonosító (SID) kiterjesztéssel.

Eseménynapló	Rendszer
Esemény típusa	Figyelmeztetés, ha a KDC kompatibilis módban van Hiba, ha a KDC kényszerítési módban van
Eseményforrás	Kdcsvc
Eseményazonosító	39 41 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)
Esemény szövege	A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). Ezeket a tanúsítványokat vagy le kell cserélni, vagy közvetlenül a felhasználóhoz kell leképezni explicit leképezéssel. További információ: https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartományneve (FQDN)> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata

A tanúsítványt azelőtt adták ki a felhasználónak, hogy a felhasználó létezett volna az Active Directoryban, és nem található erős leképezés. Ezt az eseményt csak akkor naplózza a rendszer, ha a KDC kompatibilis módban van.

Eseménynapló	Rendszer
Esemény típusa	Hiba
Eseményforrás	Kdcsvc
Eseményazonosító	40 48 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén
Esemény szövege	A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). A tanúsítvány azt a felhasználót is előre beállította, akire leképezték, ezért a rendszer elutasította. További információ: https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartománynevét> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata Tanúsítvány kiállításának ideje: <tanúsítványfájl-idő> Fióklétrehozási idő: <egyszerű objektum FILETIME-azonosítója az AD>

A felhasználói tanúsítvány új bővítményében található SID nem egyezik meg a felhasználók SID-ével, ami azt jelenti, hogy a tanúsítványt egy másik felhasználónak adták ki.

Eseménynapló	Rendszer
Esemény típusa	Hiba
Eseményforrás	Kdcsvc
Eseményazonosító	41 49 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)
Esemény szövege	A kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de más SID-t tartalmazott, mint a felhasználó, amelyre leképezték. Ennek eredményeképpen a tanúsítványt érintő kérelem sikertelen volt. További információ: https://go.microsoft.cm/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Felhasználói biztonsági azonosító: a hitelesítő rendszerbiztonsági tag biztonsági azonosítója <> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartománynevét> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata Tanúsítvány biztonsági azonosítója: <biztonsági azonosító található az új tanúsítványbővítmény->

Megjegyzés Bizonyos mezők, például a Kiállító, a Tárgy és a Sorozatszám továbbítási formátumban vannak jelentve. Ezt a formátumot vissza kell fordítania, amikor hozzáadja a leképezési sztringet az altSecurityIdentities attribútumhoz. Ha például hozzá szeretné adni az X509IssuerSerialNumber leképezést egy felhasználóhoz, keresse meg a felhasználóhoz leképezendő tanúsítvány Kiállító és Sorozatszám mezőjét. Tekintse meg az alábbi mintakimenetet.

• Kiállító: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Ezután frissítse a felhasználó altSecurityIdentities attribútumát az Active Directoryban a következő sztringgel:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Az attribútum PowerShell-lel való frissítéséhez használhatja az alábbi parancsot. Ne feledje, hogy alapértelmezés szerint csak a tartományi rendszergazdák jogosultak frissíteni ezt az attribútumot.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Vegye figyelembe, hogy a SerialNumber megfordításakor meg kell őriznie a bájtsorrendet. Ez azt jelenti, hogy az "A1B2C3" SerialNumber visszafejtése a "C3B2A1" sztringet eredményezi, nem pedig a "3C2B1A" sztringet. További információ : Útmutató: Felhasználó hozzárendelése tanúsítványhoz az altSecurityIdentities attribútumban elérhető összes módszerrel.

A 2022. május 10-i Windows-frissítések telepítése után az eszközök kompatibilis módban lesznek. Ha egy tanúsítvány erősen leképezhető egy felhasználóra, a hitelesítés a várt módon történik. Ha egy tanúsítványt csak gyengén lehet leképezni egy felhasználóra, a hitelesítés a várt módon történik. A rendszer azonban egy figyelmeztető üzenetet naplóz, kivéve, ha a tanúsítvány régebbi a felhasználónál. Ha a tanúsítvány régebbi, mint a felhasználó, és a tanúsítvány-visszaküldés beállításkulcsa nem található, vagy a tartomány kívül esik a backdating kompenzáción, a hitelesítés sikertelen lesz, és a rendszer egy hibaüzenetet naplóz.  Ha a tanúsítvány-visszatitkozás beállításkulcsa konfigurálva van, figyelmeztető üzenetet fog naplózni az eseménynaplóban, ha a dátumok a backdating kompenzációba tartoznak.

A 2022. május 10-i Windows-frissítések telepítése után watch minden olyan figyelmeztető üzenetre, amely egy hónap vagy több hónap elteltével jelenhet meg. Ha nincsenek figyelmeztető üzenetek, határozottan javasoljuk, hogy minden tartományvezérlőn engedélyezze a teljes kényszerítési módot tanúsítványalapú hitelesítéssel. A KDC beállításkulcsával engedélyezheti a teljes kényszerítési módot.

Ha korábban nem frissítettük erre a módra, 2025. február 11-ig vagy újabbra frissítjük az összes eszközt Teljes kényszerítési módra. Ha egy tanúsítványt nem lehet erősen leképezni, a rendszer megtagadja a hitelesítést.

Ha a tanúsítványalapú hitelesítés gyenge leképezésre támaszkodik, amelyet nem tud áthelyezni a környezetből, a tartományvezérlőket letiltott módban helyezheti el beállításkulcs-beállítás használatával. A Microsoft nem javasolja ezt, és 2023. április 11-én eltávolítjuk a Letiltva módot.

Miután telepítette a 2024. február 13-i vagy újabb Windows-frissítéseket a Server 2019-en és annál újabb rendszereken, és telepítette az RSAT választható funkcióval rendelkező támogatott ügyfeleket, az Active Directory – felhasználók & számítógépek tanúsítványleképezése alapértelmezés szerint az X509IssuerSerialNumber használatával, az X509IssuerSubject használatával történő gyenge leképezés helyett az erős leképezést választja. A beállítás továbbra is módosítható igény szerint.

• Használja a Kerberos operatív naplót a megfelelő számítógépen annak megállapításához, hogy melyik tartományvezérlőn hiúsul meg a bejelentkezés. Nyissa meg Eseménynapló> Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational lapot.

• Keresse meg a megfelelő eseményeket a rendszer eseménynaplójában azon a tartományvezérlőn, amelyen a fiók hitelesítést kísérel meg.

• Ha a tanúsítvány régebbi a fióknál, adja ki újra a tanúsítványt, vagy adjon hozzá egy biztonságos altSecurityIdentities leképezést a fiókhoz (lásd : Tanúsítványleképezések).

• Ha a tanúsítvány tartalmaz SID-bővítményt, ellenőrizze, hogy az SID megegyezik-e a fiókkal.

• Ha a tanúsítványt több különböző fiók hitelesítésére használják, minden fiókhoz külön altSecurityIdentities leképezésre lesz szükség.

• Ha a tanúsítvány nem rendelkezik biztonságos leképezéssel a fiókhoz, adjon hozzá egyet, vagy hagyja meg a tartományt kompatibilitási módban, amíg hozzá nem adhatók.

A TLS-tanúsítványleképezésre példa egy IIS intranetes webalkalmazás használata.

• A CVE-2022-26391 és a CVE-2022-26923 védelmi rendszerek telepítése után ezek a forgatókönyvek alapértelmezés szerint a Kerberos Tanúsítványszolgáltatás felhasználó számára (S4U) protokollt használják a tanúsítványleképezéshez és a hitelesítéshez.

• A Kerberos Certificate S4U protokollban a hitelesítési kérés az alkalmazáskiszolgálóról a tartományvezérlőre áramlik, nem pedig az ügyfélről a tartományvezérlőre. Ezért a releváns események az alkalmazáskiszolgálón lesznek.

Ez a beállításkulcs letiltott, kompatibilis vagy teljes kényszerítési módra módosítja a KDC kényszerítési módját.

Beállításjegyzék alkulcsa	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Érték	StrongCertificateBindingEnforcement
Adattípus	REG_DWORD
Adat	1 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a hitelesítés akkor engedélyezett, ha a felhasználói fiók megelőzi a tanúsítványt. 2 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a rendszer megtagadja a hitelesítést. 0 – Letiltja az erős tanúsítványleképezés ellenőrzését. Nem ajánlott, mert ezzel letiltja az összes biztonsági fejlesztést. Ha ezt a beállítást 0-ra állítja, a tanúsítványalapú hitelesítés sikerességéhez a CertificateMappingMethods paramétert is 0x1F értékre kell állítania az alábbi Schannel beállításkulcs szakaszban leírtak szerint.
Újraindítás szükséges?	Nem

Ha egy kiszolgálóalkalmazás ügyfél-hitelesítést igényel, az Schannel automatikusan megkísérli leképezni a TLS-ügyfél által biztosított tanúsítványt egy felhasználói fiókra. Az ügyféltanúsítvánnyal bejelentkező felhasználók hitelesítéséhez olyan leképezéseket hozhat létre, amelyek a tanúsítványadatokat egy Windows-felhasználói fiókhoz kapcsolják. Miután létrehozta és engedélyezte a tanúsítványleképezést, minden alkalommal, amikor egy ügyfél ügyféltanúsítványt mutat be, a kiszolgálóalkalmazás automatikusan társítja a felhasználót a megfelelő Windows-felhasználói fiókkal.

Az Schannel megpróbálja leképezni az összes engedélyezett tanúsítványleképezési módszert, amíg az egyik sikeres nem lesz. Az Schannel először a szolgáltatásfelhasználók közötti (S4U2Self) leképezéseket próbálja leképezni. A Tulajdonos/Kiállító, Kiállító és UPN tanúsítványleképezések most már gyengenak minősülnek, és alapértelmezés szerint le vannak tiltva. A kiválasztott beállítások bitmaszkolt összege határozza meg az elérhető tanúsítványleképezési módszerek listáját.

Az SChannel beállításkulcs alapértelmezett értéke 0x1F, és most már 0x18. Ha hitelesítési hibákat tapasztal az Schannel-alapú kiszolgálóalkalmazásokban, javasoljuk, hogy végezzen el egy tesztet. Adja hozzá vagy módosítsa a CertificateMappingMethods beállításkulcs értékét a tartományvezérlőn, majd állítsa be 0x1F, és ellenőrizze, hogy ez megoldotta-e a problémát. További információért tekintse meg az ebben a cikkben felsorolt hibákat a tartományvezérlő rendszeresemény-naplóiban. Ne feledje, hogy az SChannel beállításkulcs értékének az előző alapértelmezettre (0x1F) való visszaállítása gyenge tanúsítványleképezési módszerek használatára fog visszaállni.

Beállításjegyzék alkulcsa	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Érték	CertificateMappingMethods
Adattípus	DWORD
Adat	0x0001 – Tulajdonos/kiállító tanúsítványleképezése (gyenge – Alapértelmezés szerint letiltva) 0x0002 – Kiállítói tanúsítvány leképezése (gyenge – Alapértelmezés szerint letiltva) 0x0004 – UPN-tanúsítványleképezés (gyenge – Alapértelmezés szerint letiltva) 0x0008 – S4U2Self tanúsítványleképezés (erős) 0x0010 – S4U2Kijelölés explicit tanúsítványleképezés (erős)
Újraindítás szükséges?	Nem

További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.

Miután telepítette a CVE-2022-26931 és a CVE-2022-26923 címmel rendelkező frissítéseket, a hitelesítés meghiúsulhat olyan esetekben, amikor a felhasználói tanúsítványok régebbiek a felhasználók létrehozási idejénél. Ez a beállításkulcs lehetővé teszi a sikeres hitelesítést, ha gyenge tanúsítványleképezéseket használ a környezetben, és a tanúsítványidő a felhasználó megadott tartományon belüli létrehozási ideje előtt van. Ez a beállításkulcs nincs hatással az erős tanúsítványleképezéssel rendelkező felhasználókra vagy gépekre, mivel a tanúsítványidőt és a felhasználólétrehozási időt a rendszer nem ellenőrzi erős tanúsítványleképezésekkel. Ennek a beállításkulcsnak nincs hatása, ha a StrongCertificateBindingEnforcement értéke 2.

A beállításkulcs használata ideiglenes áthidaló megoldás az olyan környezetek esetében, amelyek megkövetelik, és körültekintően kell eljárni. A beállításkulcs használata a következőket jelenti a környezethez:

• Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve. A hitelesítés engedélyezve lesz a backdating kompenzációs eltoláson belül, de a gyenge kötésre vonatkozó eseménynapló-figyelmeztetés lesz naplózva.

• Ennek a beállításkulcsnak az engedélyezése lehetővé teszi a felhasználó hitelesítését, ha a tanúsítvány ideje a megadott tartományon belüli felhasználólétrehozási idő előtt van, gyenge leképezésként. A gyenge leképezések nem lesznek támogatottak a Windows 2025. február 11-én kiadott frissítéseinek telepítése után, amely lehetővé teszi a teljes kényszerítési módot.

Beállításjegyzék alkulcsa	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Érték	CertificateBackdatingCompensation
Adattípus	REG_DWORD
Adat	Megkerülő megoldás értékei körülbelül években: 50 év: 0x5E0C89C0 25 év: 0x2EFE0780 10 év: 0x12CC0300 5 év: 0x9660180 3 év: 0x5A39A80 1 év: 0x1E13380 Megjegyzés Ha ismeri a környezetben lévő tanúsítványok élettartamát, állítsa ezt a beállításkulcsot valamivel hosszabbra, mint a tanúsítvány élettartama.  Ha nem ismeri a környezet tanúsítványainak élettartamát, állítsa ezt a beállításkulcsot 50 évre. Alapértelmezés szerint 10 perc, ha ez a kulcs nincs jelen, amely megfelel az Active Directory Tanúsítványszolgáltatásoknak (ADCS). A maximális érték 50 év (0x5E0C89C0). Ez a kulcs másodpercben beállítja azt az időkülönbséget, amelyet a kulcsterjesztési központ (KDC) figyelmen kívül hagy a hitelesítési tanúsítvány kiállítási ideje és a felhasználói/gépi fiókok fióklétrehozásának ideje között. Fontos Csak akkor állítsa be ezt a beállításkulcsot, ha a környezet megköveteli. A beállításkulcs használata letiltja a biztonsági ellenőrzést.
Újraindítás szükséges?	Nem

A következő certutil parancs futtatásával kizárhatja a felhasználói sablon tanúsítványait az új bővítmény beszerzéséből.

1. Jelentkezzen be egy hitelesítésszolgáltató kiszolgálóra vagy egy tartományhoz csatlakoztatott Windows 10-ügyfélre vállalati rendszergazdával vagy azzal egyenértékű hitelesítő adatokkal.

2. Nyisson meg egy parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.

3. Futtassa a certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 parancsot. 

A bővítmény hozzáadásának letiltása eltávolítja az új bővítmény által biztosított védelmet. Ezt csak az alábbiak valamelyike után érdemes megfontolni:

1. Győződjön meg arról, hogy a megfelelő tanúsítványok nem fogadják el a nyilvános kulcsú titkosítást a kezdeti hitelesítéshez (PKINIT) a Kerberos Protocol-hitelesítésekben a KDC-nél

2. A megfelelő tanúsítványokhoz más erős tanúsítványleképezések is konfigurálva vannak

A nem Microsoft hitelesítésszolgáltatói környezetekkel rendelkező környezetek nem lesznek védve az új SID-bővítménnyel a 2022. május 10-i Windows-frissítés telepítése után. Az érintett ügyfeleknek a megfelelő hitelesítésszolgáltatóval kell együttműködve kezelniük ezt a probléma megoldását, vagy érdemes megfontolni a fent leírt erős tanúsítványleképezések használatát.

További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.

Nem, a megújítás nem szükséges. A hitelesítésszolgáltató kompatibilitási módban lesz elküldve. Ha az ObjectSID bővítménnyel erős leképezést szeretne, új tanúsítványra lesz szüksége.