KB5014754: Op certificaten gebaseerde verificatiewijzigingen op Windows-domeincontrollers

Van toepassing op
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Wijzigingenlogboek
Datum wijzigen Beschrijving
9/10/2025 De datum van de handhavingsmodus is gecorrigeerd van 10 september 2025 tot 9 september 2025.
9/8/2025 Een verwijzing toegevoegd naar de sectie "Aanvullende bronnen"... Implementatie van sterke toewijzing in Intune-certificaten.
7/29/2025 Een "Bekend probleem" toegevoegd onder de sectie "Probleemoplossing" ... Een groepsbeleid-object kan de 'op naam gebaseerde toewijzingen' verstoren
10/24/2024 Tekst bijgewerkt voor de duidelijkheid in stap 2 van de sectie 'Actie ondernemen' in de beschrijving 'Volledige afdwingingsmodus' van de sectie 'Tijdlijn voor Windows-updates', en de datuminformatie van de onderwerpen 'Registersleutel Key Distribution Center (KDC) ' en 'Registersleutel met voorafgaande certificaat' in de sectie 'Registersleutelinformatie' bijgewerkt.
9/10/2024 De beschrijving van de modus voor volledige afdwinging in de sectie 'Timing voor Windows-updates' is gewijzigd om nieuwe datums weer te geven. Op 11 februari 2025 worden apparaten verplaatst naar de afdwingingsmodus, maar blijft ondersteuning over om terug te gaan naar de compatibiliteitsmodus. Volledige registersleutelondersteuning eindigt nu op 9 september 2025.
7/5/2024 Informatie over SID-extensie toegevoegd aan de KDC-registersleutel (Key Distribution Center) in de sectie 'Registersleutelinformatie'.
10-10-2023 Informatie toegevoegd over standaardwijzigingen voor sterke toewijzingen onder "Tijdlijn voor Windows Updates"
6/30/2023 De datum van de modus Volledige handhaving is gewijzigd van 14 november 2023 in 11 februari 2025 (deze datums werden eerder vermeld als 19 mei 2023 tot 14 november 2023).
1/26/2023 De verwijdering van de modus Uitgeschakeld is gewijzigd van 14 februari 2023 in 11 april 2023.

Samenvatting

CVE-2022-34691,CVE-2022-26931 en CVE-2022-26923 verhelpen een beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden dat kan optreden wanneer het Kerberos Key Distribution Center (KDC) een op certificaten gebaseerde verificatieaanvraag verwerkt. Vóór de beveiligingsupdate van 10 mei 2022 werd bij verificatie op basis van certificaten geen rekening gehouden met een dollarteken ($) aan het einde van een machinenaam. Hierdoor konden gerelateerde certificaten op verschillende manieren worden geëmuleerd (vervalst). Bovendien hebben conflicten tussen UPN (User Principal Names) en sAMAccountName andere beveiligingslekken in verband met emulatie (spoofing) geïntroduceerd. Deze problemen lossen we ook op met deze beveiligingsupdate.

Actie ondernemen

Voer ter bescherming van uw omgeving de volgende stappen uit voor verificatie op basis van certificaten:

  1. Werk alle servers met Active Directory Certificate Services en Windows-domeincontrollers die verificatie op basis van certificaten ondersteunen bij met de update van 10 mei 202,2 (zie Compatibiliteitsmodus). De update van 10 mei 2022 biedt controlegebeurtenissen die certificaten identificeren die niet compatibel zijn met de modus Volledige afdwinging.
  2. Als er gedurende één maand na de installatie van de update geen auditgebeurtenislogboeken zijn gemaakt op domeincontrollers, schakelt u de modus Volledige afdwinging in op alle domeincontrollers. Als de registersleutel StrongCertificateBindingEnforcement niet is geconfigureerd, worden domeincontrollers in februari 2025 overgeschakeld naar de modus Volledige afdwinging. Anders wordt de instelling compatibiliteitsmodus voor registersleutels nog steeds toegepast. Als een certificaat in de modus Volledige afdwinging niet aan de sterke (veilige) toewijzingscriteria voldoet (zie Certificaattoewijzingen), wordt verificatie geweigerd. De optie om terug te gaan naar de compatibiliteitsmodus blijft echter bestaan totdat de Windows-beveiligingsupdate van 9 september 2025 is geïnstalleerd.

Audit gebeurtenissen

De Windows-update van 10 mei 2022 voegt de volgende gebeurtenislogboeken toe.

Geen sterke mapping

Er konden geen sterke certificaattoewijzingen worden gevonden en het certificaat had niet de nieuwe SID-extensie (Security Identifier) die de KDC kon valideren.

Gebeurtenislogboek Systeem
Gebeurtenistype Waarschuwing als de KDC zich in de compatibiliteitsmodus bevindt
Fout als de KDC zich in de afdwingingsmodus bevindt
Bron van gebeurtenis Kdcsvc
Gebeurtenis-id 39
41 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)
Tekst van gebeurtenis Het Key Distribution Center (KDC) heeft een gebruikerscertificaat aangetroffen dat geldig was, maar dat niet sterk aan een gebruiker kon worden toegewezen (zoals via expliciete toewijzing, sleutelvertrouwenstoewijzing of een SID). Dergelijke certificaten moeten worden vervangen of rechtstreeks aan de gebruiker worden toegewezen door middel van expliciete toewijzing. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie.
Gebruiker: <principal-naam>
Certificaatonderwerp: <Naam van onderwerp in certificaat>
Certificaatverlener: <Uitgever Fully Qualified Domain Name (FQDN)>
Serienummer certificaat: <Serienummer van certificaat>
Vingerafdruk certificaat: <vingerafdruk van certificaat>
Certificaat dateert van vóór account

Het certificaat is aan de gebruiker verleend voordat de gebruiker in Active Directory aanwezig was en er kon geen sterke toewijzing worden gevonden. Deze gebeurtenis wordt alleen geregistreerd wanneer de KDC zich in de compatibiliteitsmodus bevindt.

Gebeurtenislogboek Systeem
Gebeurtenistype Fout
Bron van gebeurtenis Kdcsvc
Gebeurtenis-id 40
48 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)
Tekst van gebeurtenis Het Key Distribution Center (KDC) heeft een gebruikerscertificaat aangetroffen dat geldig was, maar dat niet sterk aan een gebruiker kon worden toegewezen (zoals via expliciete toewijzing, sleutelvertrouwenstoewijzing of een SID). Het certificaat dateert ook van vóór de gebruiker waaraan het is toegewezen, dus het is geweigerd. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie.
Gebruiker: <principal-naam>
Certificaatonderwerp: <Naam van onderwerp in certificaat>
Certificaatverlener: <Issuer FQDN>
Serienummer certificaat: <Serienummer van certificaat>
Vingerafdruk certificaat: <vingerafdruk van certificaat>
Tijd van certificaatuitgifte: <FILETIME van certificaat>
Aanmaaktijd account: <BESTANDSTIJD van hoofdobject in AD>
Gebruikers-SID komt niet overeen met certificaat-SID

De SID in de nieuwe uitbreiding van het gebruikerscertificaat komt niet overeen met de SID van de gebruiker, wat betekent dat het certificaat is uitgegeven aan een andere gebruiker.

Gebeurtenislogboek Systeem
Gebeurtenistype Fout
Bron van gebeurtenis Kdcsvc
Gebeurtenis-id 41
49 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)
Tekst van gebeurtenis Het Key Distribution Center (KDC) heeft een gebruikerscertificaat aangetroffen dat geldig was, maar dat een andere SID bevatte dan de gebruiker waaraan het was toegewezen. Als gevolg hiervan is de aanvraag met betrekking tot het certificaat mislukt. Zie https://go.microsoft.cm/fwlink/?linkid=2189925 voor meer informatie.
Gebruiker: <principal-naam>
Gebruikers-SID: <SID van de verifiërende principal>
Certificaatonderwerp: <Naam van onderwerp in certificaat>
Certificaatverlener: <Issuer FQDN>
Serienummer certificaat: <Serienummer van certificaat>
Vingerafdruk certificaat: <vingerafdruk van certificaat>
Certificaat-SID: <SID gevonden in de nieuwe certificaatextensie>

Certificaattoewijzingen

Domeinbeheerders kunnen certificaten handmatig toewijzen aan een gebruiker in Active Directory met behulp van het kenmerk altSecurityIdentities van het gebruikersobject. Er zijn zes ondersteunde waarden voor dit kenmerk, waarbij drie toewijzingen als zwak (onzeker) worden beschouwd en de andere drie als sterk. In het algemeen worden toewijzingstypen als sterk beschouwd als ze zijn gebaseerd op id's die u niet opnieuw kunt gebruiken. Daarom worden alle toewijzingstypen op basis van gebruikersnamen en e-mailadressen als zwak beschouwd.

Toewijzing Voorbeeld type_getal Opmerkingen
X509IssuerSubject "X509:<I>IssuerName<S>SubjectName" Zwak
X509SubjectOnly "X509:<S>SubjectName" Zwak
X509RFC822 "X509:< RFC822>user@contoso.com" Zwak E-mailadres
X509IssuerSerialNumber "X509:<I>IssuerName<SR>1234567890" Sterk Aanbevolen
X509SKI "X509:<SKI>123456789abcdef" Sterk
X509SHA1PublicKey "X509:<SHA1-PUKEY>123456789abcdef" Sterk

Als klanten certificaten niet opnieuw kunnen uitgeven met de nieuwe SID-extensie, raden we u aan handmatig een toewijzing te maken met behulp van een van de bovenstaande beschrijvingen met een van de krachtige toewijzingen. U kunt dit doen door de juiste toewijzingstekenreeks toe te voegen aan het kenmerk altSecurityIdentities van een gebruiker in Active Directory.

Certificaten handmatig toewijzen

Notitie Bepaalde velden, zoals Verlener, Onderwerp en Serienummer, worden gerapporteerd in een 'forward'-indeling. U moet deze notatie omkeren wanneer u de toewijzingstekenreeks toevoegt aan het kenmerk altSecurityIdentities . Als u bijvoorbeeld de toewijzing X509IssuerSerialNumber aan een gebruiker wilt toevoegen, zoekt u in de velden 'Issuer' en 'Serial Number' van het certificaat dat u wilt toewijzen aan de gebruiker. Bekijk de voorbeelduitvoer hieronder.

  • Uitgever: CN=CONTOSO-DC-CA, DC=contoso, DC=com
  • Serienummer: 2B0000000011AC0000000012

Werk vervolgens het kenmerk altSecurityIdentities van de gebruiker in Active Directory bij met de volgende tekenreeks:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Gebruik de onderstaande opdracht om dit kenmerk bij te werken met PowerShell. Houd er rekening mee dat standaard alleen domeinbeheerders gemachtigd zijn om dit kenmerk bij te werken.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC110000000002B"}

Als u het serienummer omkeert, moet u de bytevolgorde aanhouden. Dit betekent dat het omkeren van het serienummer 'A1B2C3' moet resulteren in de tekenreeks 'C3B2A1' en niet in '3C2B1A'. Zie voor meer informatie HowTo: Een gebruiker toewijzen aan een certificaat via alle methoden die beschikbaar zijn in het kenmerk altSecurityIdentities.

Tijdlijn voor Windows-updates

Belangrijk De activeringsfase begint met de updates van 11 april 2023 voor Windows, die de registersleutelinstelling voor de modus Uitgeschakeld negeren.

Compatibiliteitsmodus

Nadat u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, bevinden apparaten zich in de compatibiliteitsmodus. Als een certificaat sterk kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Als een certificaat slechts zwak kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Er wordt echter een waarschuwingsbericht geregistreerd tenzij het certificaat ouder is dan de gebruiker. Als het certificaat ouder is dan de gebruiker en de registersleutel voor certificaatantedatering niet aanwezig is of als het bereik buiten de compensatie voor antedateren valt, mislukt de verificatie en wordt er een foutbericht geregistreerd.  Als de registersleutel voor certificaatantedatering is geconfigureerd, wordt er een waarschuwingsbericht in het gebeurtenislogboek geregistreerd als de datums binnen de compensatie voor antedateren vallen.

Nadat u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, moet u letten op eventuele waarschuwingsberichten die na een maand of langer kunnen worden weergegeven. Als er geen waarschuwingsberichten zijn, raden we u ten zeerste aan de modus Volledige afdwinging in te schakelen op alle domeincontrollers die gebruikmaken van verificatie op basis van certificaten. U kunt de KDC-registersleutel gebruiken om de modus Volledige afdwinging in te schakelen.

Volledige afdwingingsmodus

Tenzij eerder de registersleutel StrongCertificateBindingEnforcement is bijgewerkt naar de controlemodus of afdwingingsmodus, gaan domeincontrollers over naar de modus Volledig afdwingen wanneer de Windows-beveiligingsupdate van februari 2025 wordt geïnstalleerd. Verificatie wordt geweigerd als een certificaat niet sterk kan worden toegewezen. De optie om terug te gaan naar de compatibiliteitsmodus blijft bestaan totdat de Windows-beveiligingsupdate van 9 september 2025 is geïnstalleerd. Na deze datum wordt de registersleutel StrongCertificateBindingEnforcement niet meer ondersteund

Modus Uitgeschakeld

Als verificatie op basis van certificaten afhankelijk is van een zwakke toewijzing die u niet uit de omgeving kunt verplaatsen, kunt u domeincontrollers in de modus Uitgeschakeld plaatsen met behulp van een registersleutelinstelling. Microsoft raadt dit niet aan en de modus Uitgeschakeld wordt op 11 april 2023 verwijderd.

Standaardwijzigingen voor sterke toewijzing

Zodra u de Windows-updates van 13 februari 2024 of later op Server 2019 en hoger hebt geïnstalleerd en clients hebt ondersteund waarop de optionele RSAT-functie is geïnstalleerd, wordt de certificaattoewijzing in Active Directory Users & Computers standaard ingesteld op het selecteren van sterke toewijzing met behulp van het X509IssuerSerialNumber in plaats van een zwakke toewijzing met behulp van de X509IssuerSubject. De instelling kan nog steeds naar wens worden gewijzigd.

Probleemoplossing

Een groepsbeleid-object kan de 'op naam gebaseerde toewijzingen' verstoren

Symptomen

Microsoft heeft rapporten ontvangen over de instelling 'Proces, ook als de groepsbeleidsobjecten niet zijn gewijzigd' onder het groepsbeleid-object 'Computerconfiguratie>, beheerjablonen>, SystemgroepsbeleidVerwerking>>van registerbeleid configureren" kan af en toe de op naam gebaseerde toewijzingen op domeincontrollers verstoren.

Tijdelijke oplossing

U kunt dit probleem omzeilen door de instelling 'Proces, zelfs als de groepsbeleidsobjecten niet zijn gewijzigd' op domeincontrollers uit te schakelen. Doe dit alleen als toewijzingen op basis van namen, zoals gedefinieerd in het groepsbeleid "Computer Configuration>Administrative Templates>System>KDC>Allow name-based strong mappings for certificates" nodig zijn. Zie Sterke toewijzing op basis van namen inschakelen in overheidsscenario's voor meer informatie.

Volgende stap

We onderzoeken deze rapporten en geven meer informatie wanneer deze beschikbaar is.

Niet aanmelden na installatie van CVE-2022-26931 en CVE-2022-26923 beveiligingen
  • Gebruik het operationele Kerberos-logboek op de relevante computer om te bepalen bij welke domeincontroller de aanmelding mislukt. Ga naar Logboeken> Logboeken \ voor toepassingen en servicesMicrosoft \Windows-beveiliging\- Kerberos\Operational.
  • Zoek naar relevante gebeurtenissen in het systeemgebeurtenislogboek op de domeincontroller waartegen het account probeert te verifiëren.
  • Als het certificaat ouder is dan het account, geef je het certificaat opnieuw uit of voeg je een veilige altSecurityIdentities-toewijzing toe aan het account (zie Certificaattoewijzingen).
  • Als het certificaat een SID-extensie bevat, controleert u of de SID overeenkomt met het account.
  • Als het certificaat wordt gebruikt voor de verificatie van meerdere verschillende accounts, moet voor elk account een afzonderlijke toewijzing AltSecurityIdentities worden toegepast.
  • Als het certificaat geen beveiligde toewijzing aan het account heeft, voegt u er een toe of laat u het domein in de compatibiliteitsmodus staan totdat er een kan worden toegevoegd.
Verificatie via TLS-certificaattoewijzing (Transport Layer Security) is mislukt

Een voorbeeld van TLS-certificaattoewijzing is het gebruik van een IIS-intranetwebtoepassing.

  • Na de installatie van de beveiligingen CVE-2022-26391 en CVE-2022-26923 wordt in deze scenario's standaard het S4U-protocol (Kerberos Certificate Service For User) gebruikt voor certificaattoewijzing en verificatie.
  • In het Kerberos-certificaat S4U-protocol stroomt de verificatieaanvraag van de toepassingsserver naar de domeincontroller, niet van de client naar de domeincontroller. Daarom bevinden relevante gebeurtenissen zich op de toepassingsserver.

Informatie over registersleutel

Nadat u de beveiligingen CVE-2022-26931 en CVE-2022-26923 hebt geïnstalleerd in de Windows-updates die zijn uitgebracht tussen 10 mei 2022 en 9 september 2025 of later, zijn de volgende registersleutels beschikbaar.

KDC-registersleutel (Key Distribution Center)

Deze registersleutel wordt niet ondersteund na de installatie van updates voor Windows die zijn uitgebracht op of na september 2025.

Opmerking

  • Belangrijk

  • Het gebruik van deze registersleutel is een tijdelijke oplossing voor omgevingen waarin dit vereist is en moet met de nodige voorzichtigheid worden uitgevoerd. Het gebruik van deze registersleutel heeft het volgende gevolgen voor uw omgeving:

  • Deze registersleutel werkt alleen in de compatibiliteitsmodus vanaf updates die zijn uitgebracht op 10 mei 2022.

  • Deze registersleutel wordt niet ondersteund na de installatie van updates voor Windows die zijn uitgebracht op 9 september 2025.

  • De detectie en validatie van de SID-extensie die wordt gebruikt door de Strong Certificate Binding Enforcement is afhankelijk van de KDC-registersleutelwaarde UseSubjectAltName . De SID-extensie wordt gebruikt als de registerwaarde niet bestaat of als de waarde is ingesteld op de waarde 0x1. De SID-extensie wordt niet gebruikt als UseSubjectAltName bestaat en de waarde is ingesteld op 0x0.

Registersubsleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Waarde StrongCertificateBindingEnforcement
Gegevenstype REG_DWORD
Gegevens 1 – Hiermee wordt gecontroleerd of er sprake is van een sterke certificaattoewijzing. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze uitbreiding niet aanwezig is, is verificatie toegestaan als het gebruikersaccount ouder is dan het certificaat.
2 – Hiermee wordt gecontroleerd of er sprake is van een sterke certificaattoewijzing. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze uitbreiding niet aanwezig is, wordt verificatie geweigerd.
0 – Schakelt sterke controle van certificaattoewijzing uit. Dit wordt niet aanbevolen, omdat hiermee alle beveiligingsverbeteringen worden uitgeschakeld.
Als u dit instelt op 0, moet u ook CertificateMappingMethods instellen op 0x1F zoals beschreven in de sectie met de registersleutel Schannel hieronder om ervoor te zorgen dat verificatie op basis van computercertificaten kan slagen.
Opnieuw opstarten vereist? Nee
SChannel-registersleutel

Wanneer voor een servertoepassing clientverificatie vereist is, probeert Schannel automatisch het certificaat dat door de TLS-client aan een gebruikersaccount wordt geleverd, toe te wijzen. U kunt gebruikers die zich aanmelden met een clientcertificaat verifiëren door toewijzingen te maken die de certificaatgegevens relateren aan een Windows-gebruikersaccount. Nadat u een certificaattoewijzing hebt gemaakt en ingeschakeld, wordt deze gebruiker automatisch aan het juiste Windows-gebruikersaccount gekoppeld telkens wanneer een client een clientcertificaat presenteert.

Schannel probeert elke ingeschakelde methode voor certificaattoewijzing toe te wijzen totdat dit lukt. Schannel probeert eerst de toewijzingen Service-For-User-To-Self (S4U2Self) toe te wijzen. De certificaattoewijzingen Onderwerp/verlener, Verlener en UPN worden nu als zwak beschouwd en zijn standaard uitgeschakeld. De bitgemaskeerde som van de geselecteerde opties bepaalt de lijst met beschikbare certificaattoewijzingsmethoden.

De standaardregistersleutel SChannel werd 0x1F en is nu 0x18. Als er verificatiefouten optreden met Schannel-servertoepassingen, raden we u aan een test uit te voeren. Voeg de registersleutelwaarde CertificateMappingMethods toe aan de domeincontroller of wijzig deze en stel deze in op 0x1F en kijk of het probleem hiermee wordt opgelost. Zoek in de systeemgebeurtenislogboeken op de domeincontroller naar eventuele fouten die in dit artikel worden vermeld voor meer informatie. Houd er rekening mee dat als u de registersleutelwaarde van SChannel terugzet op de vorige standaardwaarde (0x1F), dit betekent dat er zwakke certificaattoewijzingsmethoden worden gebruikt.

Registersubsleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Waarde CertificateMappingMethods
Gegevenstype DWORD
Gegevens 0x0001 - Certificaattoewijzing van onderwerp/uitgever (zwak - standaard uitgeschakeld)
0x0002 - Toewijzing van verlenerscertificaten (zwak - standaard uitgeschakeld)
0x0004 - UPN-certificaattoewijzing (zwak - standaard uitgeschakeld)
0x0008 - S4U2Self-certificaattoewijzing (sterk)
0x0010 - S4U2Self expliciete certificaattoewijzing (sterk)
Opnieuw opstarten vereist? Nee

Zie de sectie "Aanvullende bronnen" voor aanvullende informatie en ondersteuning.

Registersleutel met backdatering van certificaat

Nadat u updates hebt geïnstalleerd die betrekking hebben op CVE-2022-26931 en CVE-2022-26923, kan verificatie mislukken in gevallen waarin de gebruikerscertificaten ouder zijn dan de aanmaaktijd van de gebruiker. Met deze registersleutel kan verificatie worden uitgevoerd als u zwakke certificaattoewijzingen gebruikt in uw omgeving en de certificaattijd binnen een bepaald bereik vóór de aanmaaktijd van de gebruiker valt. Deze registersleutel is niet van invloed op gebruikers of computers met sterke certificaattoewijzingen, omdat de certificaattijd en aanmaaktijd van gebruikers niet worden gecontroleerd met sterke certificaattoewijzingen. Deze registersleutel heeft geen effect als StrongCertificateBindingEnforcement is ingesteld op 2.

Het gebruik van deze registersleutel is een tijdelijke oplossing voor omgevingen waarin dit vereist is en moet met de nodige voorzichtigheid worden uitgevoerd. Het gebruik van deze registersleutel heeft het volgende gevolgen voor uw omgeving:

  • Deze registersleutel werkt alleen in de compatibiliteitsmodus vanaf updates die zijn uitgebracht op 10 mei 2022. Verificatie is toegestaan binnen de compenserende offset van het antedateren, maar er wordt een waarschuwing in het gebeurtenislogboek geregistreerd voor de zwakke binding.
  • Als u deze registersleutel inschakelt, kan de gebruiker als een zwakke toewijzing worden geverifieerd wanneer de certificaattijd vóór de aanmaaktijd van de gebruiker valt binnen een ingesteld bereik. Zwakke toewijzingen worden niet ondersteund na het installeren van updates voor Windows die zijn uitgebracht op of na september 2025.
Registersubsleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Waarde CertificateBackdatingCompensation
Gegevenstype REG_DWORD
Gegevens Waarden voor tijdelijke oplossing in geschatte jaren:

  • 50 jaar: 0x5E0C89C0
  • 25 jaar: 0x2EFE0780
  • 10 jaar: 0x12CC0300
  • 5 jaar: 0x9660180
  • 3 jaar: 0x5A39A80
  • 1 jaar: 0x1E13380
Notitie Als u weet wat de levensduur van de certificaten in uw omgeving is, stelt u deze registersleutel in op iets langer dan de levensduur van het certificaat. Als u de levensduur van certificaten voor uw omgeving niet kent, stelt u deze registersleutel in op 50 jaar. De standaardinstelling is 10 minuten wanneer deze sleutel niet aanwezig is, wat overeenkomt met Active Directory Certificate Services (ADCS). De maximumwaarde is 50 jaar (0x5E0C89C0).

Met deze sleutel stelt u het tijdsverschil in, in seconden, dat door het Key Distribution Center (KDC) wordt genegeerd tussen het tijdstip van afgifte van een verificatiecertificaat en de tijd waarop het account is gemaakt voor gebruikers-/computeraccounts.

Belangrijk Stel deze registersleutel alleen in als uw omgeving dit vereist. Als u deze registersleutel gebruikt, schakelt u een beveiligingscontrole uit.
Opnieuw opstarten vereist? Nee

Certificeringsinstanties voor ondernemingen

Certificeringsinstanties voor ondernemingen (CA) beginnen standaard met het toevoegen van een nieuwe niet-kritieke uitbreiding met object-id (OID) (1.3.6.1.4.1.311.25.2) in alle certificaten die zijn uitgegeven op basis van onlinesjablonen nadat u de Windows-update van 10 mei 2022 hebt geïnstalleerd. U kunt het toevoegen van deze extensie stoppen door de 0x00080000 bit in te stellen in de waarde msPKI-Enrollment-Flag van de bijbehorende sjabloon.

Voorbeeld

U voert de volgende certutil-opdracht uit om certificaten van de gebruikerssjabloon uit te sluiten van het ophalen van de nieuwe extensie.

  1. Meld u aan bij een certificeringsinstantieserver of een Windows 10-client die lid is van een domein met ondernemingsadministrator of vergelijkbare referenties.
  2. Open een opdrachtprompt en kies Uitvoeren als beheerder.
  3. Voer certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 uit.

Als je de toevoeging van deze extensie uitschakelt, wordt de beveiliging van de nieuwe extensie verwijderd. Overweeg dit pas te doen na een van de volgende stappen:

  1. U bevestigt dat de bijbehorende certificaten niet geschikt zijn voor Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos-protocolverificaties bij KDC
  2. Voor de bijbehorende certificaten zijn andere sterke certificaattoewijzingen geconfigureerd

Omgevingen met niet-Microsoft CA-implementaties worden niet beveiligd met de nieuwe SID-extensie na de installatie van de Windows-update van 10 mei 2022. Betrokken klanten moeten samenwerken met de bijbehorende CA-leveranciers om dit probleem op te lossen of moeten overwegen om andere sterke certificaattoewijzingen te gebruiken die hierboven zijn beschreven.

Zie de sectie "Aanvullende bronnen" voor aanvullende informatie en ondersteuning.

Veelgestelde vragen

Moeten alle certificaten voor clientverificatie worden vernieuwd nadat de certificeringsinstantie is bijgewerkt?

Nee, vernieuwen is niet vereist. De certificeringsinstantie wordt geleverd in de compatibiliteitsmodus. Voor een sterke toewijzing met de extensie ObjectSID hebt u een nieuw certificaat nodig.

Wat is de invloed van de modus Volledige afdwinging op mijn omgeving?

In de Windows-update van 11 februari 2025 worden apparaten die nog niet in Afdwinging zijn (de registerwaarde StrongCertificateBindingEnforcement is ingesteld op 2), verplaatst naar Afdwinging. Als verificatie is geweigerd, ziet u gebeurtenis-id 39 (of gebeurtenis-id 41 voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2). In deze fase hebt u de mogelijkheid om de registersleutelwaarde weer op 1 in te stellen (compatibiliteitsmodus).

In de Windows-update van 9 september 2025 wordt de registerwaarde StrongCertificateBindingEnforcement niet meer ondersteund.

Aanvullende bronnen

Zie de volgende artikelen voor meer informatie over TLS-clientcertificaattoewijzing: