KB5014754 — sertifikāta autentifikācijas izmaiņas Windows domēna kontrolleros

Nevar atrast nevienu stipru sertifikātu kartējumu, un sertifikātam nav jaunā drošības identifikatora (SID) paplašinājuma, ko KDC varētu validēt.

Notikumu žurnāls	Sistēma
Notikuma tips	Brīdinājums, ja KDC ir saderības režīmā Kļūda, ja KDC ir ieviešanas režīmā
Notikuma avots	Kdcsvc
Notikuma ID	39 41 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)
Notikuma teksts	Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Šādi sertifikāti ir vai nu jānomaina vai jākartē tieši lietotājam, veicot tiešu kartēšanu. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <pilnā domēna nosaukuma (FQDN)> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana>

Sertifikāts tika izsniegts lietotājam, pirms lietotājs pastāvēja pakalpojumā Active Directory, un nevarēja atrast stipru kartēšanu. Šis notikums tiek reģistrēts tikai tad, ja KDC ir saderības režīmā.

Notikumu žurnāls	Sistēma
Notikuma tips	Kļūda
Notikuma avots	Kdcsvc
Notikuma ID	40 48 (sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)
Notikuma teksts	Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Sertifikāts bija arī pirms lietotāja, ar kuru tas tika kartēts, tāpēc tas tika noraidīts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <izsniedzējs FQDN> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana> Sertifikāta izsniegšanas laiks: <sertifikāta izsniegšanas laiks FILETIME> Konta izveides laiks: <AD> FILETIME

SID, kas iekļauts lietotāju sertifikāta jaunajā paplašinājumā, neatbilst lietotāja SID failam, tas norāda, ka sertifikāts ir izsniegts citam lietotājam.

Notikumu žurnāls	Sistēma
Notikuma tips	Kļūda
Notikuma avots	Kdcsvc
Notikuma ID	41 49 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)
Notikuma teksts	Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, taču saturēja citu SID numuru, nevis lietotāju, kuram tas tika kartēts. Rezultātā pieprasījums, kas saistīti ar sertifikātu, neizdevās. Papildinformāciju https://go.microsoft.cm/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Lietotāja SID: <autentificēšanas pamatsummas> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <izsniedzējs FQDN> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana> Sertifikāts SID: <SID ir atrodams jaunajā sertifikāta paplašinājuma>

Piezīme Par noteiktiem laukiem, piemēram, Izdevējs, Tēma un Sērijas numurs, tiek ziņots "pārsūtīšanas" formātā. Šis formāts ir jāatgriež, kad pievienojat kartējuma virkni atribūtam altSecurityIdentities . Piemēram, lai lietotājam pievienotu X509IssuerSerialNumber kartējumu, meklējiet tā sertifikāta laukus "Izdevējs" un "Sērijas numurs", ko vēlaties kartēt lietotājam. Skatiet tālāko paraugu izvadi.

• Izdevējs: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Sērijas numurs: 2B0000000011AC0000000012

Pēc tam atjauniniet lietotāja atribūtu altSecurityIdentities pakalpojumā Active Directory ar šādu virkni:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Lai atjauninātu šo atribūtu, izmantojot Powershell, varat izmantot tālāk norādīto komandu. Ņemiet vērā, ka pēc noklusējuma tikai domēnu administratoriem ir atļauja atjaunināt šo atribūtu.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Ievērojiet, ka, apvērsot SerialNumber, baitu secība ir jāsaglabā. Tas nozīmē, ka, ja seriālais_skaitlis ir "A1B2C3", tiek izraisīta virkne "C3B2A1", nevis " 3C2B1A". Papildinformāciju skatiet rakstā HowTo: lietotāja kartēšana uz sertifikātu, izmantojot visas metodēm, kas pieejamas atribūtā altSecurityIdentities.

Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas ierīces būs saderības režīmā. Ja sertifikātu var stingri kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Ja sertifikātu var tikai vājš kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Tomēr tiek reģistrēts brīdinājuma ziņojums, ja vien sertifikāts nav vecāks par lietotāju. Ja sertifikāts ir vecāks par lietotāju, bet sertifikāta atpakaļ sūtīšanas reģistra atslēga nav pieejama vai diapazons atrodas ārpus neveiksmju kompensāciju, autentifikācija neizdosies un tiks reģistrēts kļūdas ziņojums.  Ja ir konfigurēta reģistra atslēga Sertifikāts backdating, tas notikumu žurnālā reģistrēs brīdinājuma ziņojumu, ja datumi atbilst atpakaļešanas kompensācijas ziņojumam.

Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas skatieties, vai nav brīdinājuma ziņojumu, kas var tikt parādīts pēc mēneša vai ilgāka atjauninājuma. Ja nav brīdinājuma ziņojumu, iesakām iespējot pilnekrāna režīmu visiem domēna kontrolleriem, izmantojot sertifikāta autentifikāciju. Lai iespējotu pilnekrāna režīmu, varat izmantot KDC reģistra atslēgu.

Ja vien šis režīms netiks atjaunināts iepriekš, mēs atjaunināsim visas ierīces uz pilnekrāna režīmu līdz 2025. gada 11. februārim vai jaunākai versijai. Ja sertifikātu nevar stingri kartēt, autentifikācija tiks liegta.

Ja autentifikācija, kuras pamatā ir sertifikāts, izmanto vājš kartējumu, ko nevar pārvietot no vides, varat novietot domēnu kontrollerus atspējotā režīmā, izmantojot reģistra atslēgas iestatījumu. Microsoft to neiesaka , un 2023. gada 11. aprīlī mēs noņemiet atspējoto režīmu.

Pēc 2024. gada 13. februāra vai jaunākas versijas Windows atjauninājumu instalēšanas serverī 2019 un jaunākās versijās un atbalstītajiem klientiem, kuros instalēts RSAT neobligātais līdzeklis, sertifikātu kartēšanas pakalpojumā Active Directory lietotāji & Datori noklusējuma izvēlēsies stipru kartēšanu, izmantojot X509IssuerSerialNumber, nevis vāju kartēšanu, izmantojot X509IssuerSubject. Iestatījumu joprojām var mainīt pēc vajadzības.

• Izmantojiet Kerberos darbības žurnālu attiecīgajā datorā, lai noteiktu, kurā domēna kontrollerī neizdodas pierakstīties. Dodieties uz notikumu skatītāju > Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

• Meklējiet atbilstošus notikumus domēna kontrollera sistēmas notikumu žurnālā, pret kuru konts mēģina autentificēties.

• Ja sertifikāts ir vecāks par kontu, atkārtoti izsniedziet sertifikātu vai kontam pievienojiet drošu altSecurityIdentities kartējumu (skatiet rakstu Sertifikātu kartējumi).

• Ja sertifikātā ir SID paplašinājums, pārliecinieties, vai SID atbilst kontam.

• Ja sertifikāts tiek izmantots, lai autentificētu vairākus atšķirīgus kontus, katram kontam ir nepieciešama atsevišķa altSecurityIdentities kartēšana .

• Ja sertifikātam nav drošas kartēšanas uz kontu, pievienojiet to vai atstājiet domēnu saderības režīmā, līdz to var pievienot.

TLS sertifikāta kartēšanas piemērs izmanto IIS iekštīkla tīmekļa lietojumprogrammu.

• Pēc CVE-2022-26391 un CVE-2022-26923 aizsardzības instalēšanas šajos scenārijos tiek izmantots Kerberos sertifikātu pakalpojuma lietotājam (S4U) protokols sertifikātu kartēšanai un autentifikācijai pēc noklusējuma.

• Kerberos sertifikāta S4U protokols autentifikācijas pieprasījums plūst no lietojumprogrammas servera uz domēna kontrolleri, nevis no klienta uz domēna kontrolleri. Tāpēc lietojumprogrammu serverī būs atbilstoši notikumi.

Šī reģistra atslēga maina KDC ieviešanas režīmu uz atspējoto režīmu, saderības režīmu vai pilnekrāna režīmu.

Reģistra apakšatslēga	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vērtība	StrongCertificateBindingEnforcement
Datu tips	REG_DWORD
Dati	1. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir atļauta, ja lietotāja konts ir pirms sertifikāta. 2. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir liegta. 0. Atspējo stipru sertifikātu kartēšanas pārbaudi. Nav ieteicams, jo tiks atspējoti visi drošības uzlabojumi. Ja šī vērtība ir iestatīta kā 0, ir jāiestata arī iestatījums CertificateMappingMethods uz 0x1F kā aprakstīts tālāk sadaļā Schannel reģistra atslēga, lai autentifikācija, kuras pamatā ir dators, būtu veiksmīga.
Vai restartēt obligāti?	Nē

Ja servera lietojumprogrammai ir nepieciešama klienta autentifikācija, Schannel automātiski mēģina kartēt sertifikātu, ko TLS klienta krājumi ir kartēti lietotāja kontam. Lietotājus, kuri pierakstās ar klienta sertifikātu, var autentificēt, izveidojot kartējumus, kas saista sertifikāta informāciju ar Windows lietotāja kontu. Kad esat izveidojis un iespējojis sertifikāta kartēšanu, ikreiz, kad klients prezentē klienta sertifikātu, servera lietojumprogramma automātiski saista lietotāju ar atbilstošo Windows lietotāja kontu.

Schannel mēģinās kartēt katru iespējoto sertifikāta kartēšanas metodi līdz brīdim, kad būs veiksmīga. Schannel vispirms mēģina kartēt kartējumus Service-For-User-To-Self (S4U2Self). Tēmas/izdevēja, izdevēja un UPN sertifikātu kartējumi tagad tiek uzskatīti par vāju un pēc noklusējuma ir atspējoti. Atlasīto opciju bitmasked summa nosaka pieejamo sertifikātu kartēšanas metožu sarakstu.

Reģistra atslēga SChannel tika pēc noklusējuma 0x1F ir 0x18. Ja autentifikācijas kļūmes rodas ar Schannel servera lietojumprogrammām, ieteicams veikt pārbaudi. Pievienojiet vai modificējiet certificateMappingMethods reģistra atslēgas vērtību domēna kontrollerī un iestatiet to kā 0x1F kā arī pārbaudiet, vai problēma tiek novērsta. Papildinformāciju skatiet domēna kontrollera sistēmas notikumu žurnālos, lai uzzinātu par visām šajā rakstā uzskaitītajām kļūdām. Ņemiet vērā, ka, mainot SChannel reģistra atslēgas vērtību atpakaļ uz iepriekšējo noklusējuma (0x1F) versiju, tiks atjaunota pāreja uz vājām sertifikātu kartēšanas metodēm.

Reģistra apakšatslēga	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Vērtība	CertificateMappingMethods
Datu tips	DWORD
Dati	0x0001 — tēmas/izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma) 0x0002 - izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma) 0x0004 - UPN sertifikāta kartēšana (vāja — atspējota pēc noklusējuma) 0x0008 - S4U2Self sertifikāta kartēšana (stipra) 0x0010 - S4U2Self tieša sertifikāta kartēšana (stipra)
Vai restartēt obligāti?	Nē

Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".

Kad esat instalējis atjauninājumus, kas adresē CVE-2022-26931 un CVE-2022-26923, autentifikācija var neizdoties gadījumos, kad lietotāju sertifikāti ir vecāki par lietotāju izveides laiku. Šī reģistra atslēga ļauj veikt veiksmīgu autentifikāciju, ja vidē izmantojat vājus sertifikātu kartējumus un sertifikāta laiks ir pirms lietotāja izveides laika noteiktā diapazonā. Šī reģistra atslēga neietekmē lietotājus vai datorus ar stipriem sertifikātu kartējumiem, jo sertifikāta laiks un lietotāju izveides laiks netiek pārbaudīts ar stipru sertifikātu kartējumu. Šī reģistra atslēga nedarbojas, ja StrongCertificateBindingEnforcement ir iestatīts uz 2.

Šīs reģistra atslēgas izmantošana ir pagaidu risinājums vidēm, kurām tas ir nepieciešams, un tas ir jāveic piesardzīgi. Izmantojot šo reģistra atslēgu, jūsu videi ir šādi līdzekļi:

• Šī reģistra atslēga darbojas tikai saderības režīmā, sākot ar 2022. gada 10. maijā izlaistajiem atjauninājumiem. Autentifikācija tiks atļauta atpakaļnoteikšanās kompensācijas nobīdē, bet par vājo saistījumu tiks reģistrēts notikumu žurnāla brīdinājums.

• Iespējojot šo reģistra atslēgu, var autentificēt lietotāju, kad sertifikāta laiks ir pirms lietotāja izveides laika iestatītā diapazonā kā vāja kartēšana. Pēc 2025. gada 11. februārī izlaisto Windows atjauninājumu instalēšanas 2025. gada 11. februārī vājš kartējums netiks atbalstīts, līdz ar to tiks iespējots pilnīgas ieviešanas režīms.

Reģistra apakšatslēga	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Vērtība	CertificateBackdatingCompensation
Datu tips	REG_DWORD
Dati	Risinājuma vērtības aptuvenos gados: 50 gadi: 0x5E0C89C0 25 gadi: 0x2EFE0780 10 gadi: 0x12CC0300 5 gadi: 0x9660180 3 gadi: 0x5A39A80 1 gads: 0x1E13380 Piezīme Ja zināt, ka sertifikātu darbības laiks jūsu vidē ir ilgāks par sertifikāta darbības laiku, iestatiet šo reģistra atslēgu.  Ja nezināt, cik sertifikātu ilgums ir jūsu vidē, iestatiet šo reģistra atslēgu uz 50 gadiem. Noklusējums ir 10 minūtes, ja šī atslēga nav pieejama, kas atbilst Active Directory sertifikātu pakalpojumiem (ADCS). Maksimālā vērtība ir 50 gadi (0x5E0C89C0). Šī atslēga iestata laika atšķirību sekundēs, ko atslēgu adresātu centrs (KDC) ignorēs starp autentifikācijas sertifikāta problēmas laiku un konta izveides laiku lietotāja/datora kontiem. Svarīgi Iestatiet šo reģistra atslēgu tikai tad, ja tā ir nepieciešama jūsu vidē. Izmantojot šo reģistra atslēgu, tiek atspējota drošības pārbaude.
Vai restartēt obligāti?	Nē

Izpildiet šo komandu certutil , lai izslēgtu sertifikātus lietotāja veidnē no jauna paplašinājuma iegūšanas.

1. Pierakstieties sertificēšanas iestādes serverī vai domēnam savienotā klienta ar Windows 10 administratoram vai līdzvērtīgiem akreditācijas datiem.

2. Atveriet komandu uzvedni un izvēlieties Palaist kā administratoram.

3. Run certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Atspējojot šī paplašinājuma papildinājumu, tiek noņemta jaunā paplašinājuma nodrošinātā aizsardzība. Apsveriet iespēju to izdarīt tikai pēc vienas no šīm darbībām:

1. Jūs apstiprināt, ka atbilstošie sertifikāti nav pieņemami sākotnējās autentifikācijas (Public Key Cryptography – PKINIT) publiskās atslēgas šifrēšanai Kerberos protokola autentifikācijā KDC

2. Attiecīgajiem sertifikātiem ir konfigurēti citi stipru sertifikātu kartējumi

Vides, kurās ir izvietojumi ārpus Microsoft CA, pēc 2022. gada 10. maija Windows atjauninājuma instalēšanas netiks aizsargātas, izmantojot jauno SID paplašinājumu. Ietekmētajiem klientiem ir jādarbojas ar atbilstošajiem CA piegādātājiem, lai to novērstu, vai arī ir jāapsver iespēja izmantot citus iepriekš aprakstītos stipros sertifikātu kartējumus.

Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".

Nē, atjaunošana nav nepieciešama. CA tiks piegādāta saderības režīmā. Ja vēlaties stipru kartēšanu, izmantojot paplašinājumu ObjectSID, būs nepieciešams jauns sertifikāts.