KB5014754: verificatiewijzigingen op basis van certificaten op Windows-domeincontrollers

Er zijn geen sterke certificaattoewijzingen gevonden en het certificaat had niet de nieuwe SID-extensie (Security Identifier) die de KDC kon valideren.

Gebeurtenislogboek	Systeem
Gebeurtenistype	Waarschuwing als de KDC zich in de compatibiliteitsmodus bevindt Fout als de KDC zich in de afdwingingsmodus bevindt
Bron van gebeurtenis	Kdcsvc
Gebeurtenis-id	39 41 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)
Gebeurtenistekst	In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar niet op een sterke manier aan een gebruiker kon worden toegewezen (bijvoorbeeld via expliciete toewijzing, toewijzing van sleutelvertrouwen of een SID). Dergelijke certificaten moeten worden vervangen of rechtstreeks aan de gebruiker worden toegewezen via expliciete toewijzing. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie. Gebruiker: <principal name> Certificaatonderwerp: <onderwerpnaam in Certificaat> Certificaatverlener: <FQDN (Fully Qualified Domain Name) > Serienummer van certificaat: <serienummer van certificaat> Certificaatvingerafdruk: <vingerafdruk van certificaat>

Het certificaat is uitgegeven aan de gebruiker voordat de gebruiker in Active Directory bestond en er geen sterke toewijzing kon worden gevonden. Deze gebeurtenis wordt alleen geregistreerd wanneer de KDC zich in de compatibiliteitsmodus bevindt.

Gebeurtenislogboek	Systeem
Gebeurtenistype	Fout
Bron van gebeurtenis	Kdcsvc
Gebeurtenis-id	40 48 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2
Gebeurtenistekst	In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar niet op een sterke manier aan een gebruiker kon worden toegewezen (bijvoorbeeld via expliciete toewijzing, toewijzing van sleutelvertrouwen of een SID). Het certificaat is ook vóór de gebruiker waaraan het is toegewezen, dus is het geweigerd. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie. Gebruiker: <principal name> Certificaatonderwerp: <onderwerpnaam in Certificaat> Certificaatverlener: <FQDN-> Serienummer van certificaat: <serienummer van certificaat> Certificaatvingerafdruk: <vingerafdruk van certificaat> Certificaatuitgiftetijd: <FILETIME van certificaat> Aanmaaktijd van account: <FILETIME van het principal-object in AD>

De SID in de nieuwe extensie van het gebruikerscertificaat komt niet overeen met de GEBRUIKERS-SID, wat betekent dat het certificaat is uitgegeven aan een andere gebruiker.

Gebeurtenislogboek	Systeem
Gebeurtenistype	Fout
Bron van gebeurtenis	Kdcsvc
Gebeurtenis-id	41 49 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)
Gebeurtenistekst	In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar een andere SID bevatte dan de gebruiker waaraan het is toegewezen. Als gevolg hiervan is de aanvraag met betrekking tot het certificaat mislukt. Zie https://go.microsoft.cm/fwlink/?linkid=2189925 voor meer informatie. Gebruiker: <principal name> Gebruikers-SID: <SID van de verifiërende principal> Certificaatonderwerp: <onderwerpnaam in Certificaat> Certificaatverlener: <FQDN-> Serienummer van certificaat: <serienummer van certificaat> Certificaatvingerafdruk: <vingerafdruk van certificaat> Certificaat-SID: <SID gevonden in de nieuwe> voor certificaatextensie

Opmerking Bepaalde velden, zoals Verlener, Onderwerp en Serienummer, worden gerapporteerd in een 'doorstuur'-indeling. U moet deze indeling omkeren wanneer u de toewijzingstekenreeks toevoegt aan het kenmerk altSecurityId-entiteiten . Als u bijvoorbeeld de toewijzing X509IssuerSerialNumber wilt toevoegen aan een gebruiker, zoekt u in de velden 'Issuer' en 'Serial Number' van het certificaat dat u aan de gebruiker wilt toewijzen. Zie de voorbeelduitvoer hieronder.

• Verlener: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Serienummer: 2B0000000011AC0000000012

Werk vervolgens het kenmerk altSecurityId-entiteiten van de gebruiker in Active Directory bij met de volgende tekenreeks:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Als u dit kenmerk wilt bijwerken met powershell, kunt u de onderstaande opdracht gebruiken. Houd er rekening mee dat standaard alleen domeinbeheerders gemachtigd zijn om dit kenmerk bij te werken.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Houd er rekening mee dat wanneer u het serialnumber omkeert, u de bytevolgorde moet behouden. Dit betekent dat het omkeren van het serienummer "A1B2C3" moet resulteren in de tekenreeks "C3B2A1" en niet "3C2B1A". Zie HowTo: Een gebruiker toewijzen aan een certificaat via alle methoden die beschikbaar zijn in het kenmerk altSecurityIdentities voor meer informatie.

Zodra u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, worden apparaten in de compatibiliteitsmodus geplaatst. Als een certificaat sterk kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Als een certificaat slechts zwak kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Er wordt echter een waarschuwingsbericht geregistreerd, tenzij het certificaat ouder is dan de gebruiker. Als het certificaat ouder is dan de gebruiker en de registersleutel Certificaat backdating niet aanwezig is of als het bereik buiten de backdatingcompensatie valt, mislukt de verificatie en wordt er een foutbericht geregistreerd.  Als de registersleutel Certificaat backdating is geconfigureerd, wordt er een waarschuwingsbericht in het gebeurtenislogboek geregistreerd als de datums binnen de compensatie voor backdating vallen.

Nadat u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, watch voor een waarschuwingsbericht dat na een maand of langer wordt weergegeven. Als er geen waarschuwingsberichten zijn, raden we u ten zeerste aan de modus Volledig afdwingen in te schakelen op alle domeincontrollers met behulp van verificatie op basis van certificaten. U kunt de KDC-registersleutel gebruiken om de modus Volledig afdwingen in te schakelen.

Tenzij deze modus eerder is bijgewerkt, werken we alle apparaten op 11 februari 2025 of later bij naar de modus Volledig afdwingen. Als een certificaat niet sterk kan worden toegewezen, wordt verificatie geweigerd.

Als verificatie op basis van certificaten afhankelijk is van een zwakke toewijzing die u niet vanuit de omgeving kunt verplaatsen, kunt u domeincontrollers in de uitgeschakelde modus plaatsen met behulp van een registersleutelinstelling. Microsoft raadt dit niet aan en we verwijderen de uitgeschakelde modus op 11 april 2023.

Zodra u de Windows-updates van 13 februari 2024 of hoger hebt geïnstalleerd op Server 2019 en hoger en ondersteunde clients waarop de optionele RSAT-functie is geïnstalleerd, wordt de certificaattoewijzing in Active Directory-gebruikers & computers standaard ingesteld op het selecteren van sterke toewijzing met behulp van de X509IssuerSerialNumber in plaats van zwakke toewijzing met behulp van het X509IssuerSubject. De instelling kan nog steeds naar wens worden gewijzigd.

• Gebruik het operationele kerberos-logboek op de relevante computer om te bepalen op welke domeincontroller de aanmelding mislukt. Ga naar Logboeken > Application and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

• Zoek naar relevante gebeurtenissen in het systeemgebeurtenislogboek op de domeincontroller waarvoor het account probeert te verifiëren.

• Als het certificaat ouder is dan het account, geeft u het certificaat opnieuw uit of voegt u een beveiligde altSecurityId-entiteitstoewijzing toe aan het account (zie Certificaattoewijzingen).

• Als het certificaat een SID-extensie bevat, controleert u of de SID overeenkomt met het account.

• Als het certificaat wordt gebruikt om verschillende accounts te verifiëren, heeft elk account een afzonderlijke toewijzing van altSecurityId-entiteiten nodig.

• Als het certificaat geen beveiligde toewijzing aan het account heeft, voegt u er een toe of laat u het domein in de compatibiliteitsmodus staan totdat er een kan worden toegevoegd.

Een voorbeeld van TLS-certificaattoewijzing is het gebruik van een IIS-intranetwebtoepassing.

• Na de installatie van CVE-2022-26391 - en CVE-2022-26923-beveiligingen , wordt in deze scenario's standaard het S4U-protocol (Kerberos Certificate Service for User) gebruikt voor certificaattoewijzing en verificatie.

• In het Kerberos Certificate S4U-protocol loopt de verificatieaanvraag van de toepassingsserver naar de domeincontroller, niet van de client naar de domeincontroller. Daarom worden relevante gebeurtenissen op de toepassingsserver weergegeven.

Met deze registersleutel wordt de afdwingingsmodus van de KDC gewijzigd in uitgeschakelde modus, compatibiliteitsmodus of volledige afdwingingsmodus.

Registersubsleutel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Waarde	StrongCertificateBindingEnforcement
Gegevenstype	REG_DWORD
Gegevens	1: controleert of er een sterke certificaattoewijzing is. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze extensie niet aanwezig is, is verificatie toegestaan als het gebruikersaccount vóór het certificaat dateert. 2: controleert of er een sterke certificaattoewijzing is. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze extensie niet aanwezig is, wordt verificatie geweigerd. 0: hiermee schakelt u de controle van sterke certificaattoewijzing uit. Niet aanbevolen omdat hiermee alle beveiligingsverbeteringen worden uitgeschakeld. Als u dit instelt op 0, moet u ook CertificateMappingMethods instellen op 0x1F zoals beschreven in de sectie Schannel-registersleutel hieronder om verificatie op basis van een computercertificaat te laten slagen..
Opnieuw opstarten vereist?	Nee

Wanneer een servertoepassing clientverificatie vereist, probeert Schannel automatisch het certificaat toe te wijzen dat de TLS-client aan een gebruikersaccount levert. U kunt gebruikers die zich aanmelden met een clientcertificaat verifiëren door toewijzingen te maken die de certificaatgegevens aan een Windows-gebruikersaccount koppelen. Nadat u een certificaattoewijzing hebt gemaakt en ingeschakeld, koppelt uw servertoepassing die gebruiker automatisch aan het juiste Windows-gebruikersaccount wanneer een client een clientcertificaat presenteert.

Schannel probeert elke methode voor certificaattoewijzing toe te wijzen die u hebt ingeschakeld totdat een methode slaagt. Schannel probeert eerst de toewijzingen service-for-user-to-self (S4U2Self) toe te wijzen. De toewijzingen onderwerp/verlener, verlener en UPN-certificaat worden nu als zwak beschouwd en zijn standaard uitgeschakeld. De bitmasked som van de geselecteerde opties bepaalt de lijst met beschikbare certificaattoewijzingsmethoden.

De standaardwaarde van de SChannel-registersleutel is 0x1F en is nu 0x18. Als u verificatiefouten ondervindt met op Schannel gebaseerde servertoepassingen, raden we u aan een test uit te voeren. Voeg de registersleutelwaarde CertificateMappingMethods toe of wijzig deze op de domeincontroller en stel deze in op 0x1F en kijk of het probleem hiermee wordt opgelost. Kijk in de systeem gebeurtenislogboeken op de domeincontroller op eventuele fouten die in dit artikel worden vermeld voor meer informatie. Houd er rekening mee dat als u de waarde van de registersleutel SChannel weer wijzigt in de vorige standaardwaarde (0x1F), wordt hersteld naar het gebruik van zwakke methoden voor certificaattoewijzing.

Registersubsleutel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Waarde	CertificateMappingMethods
Gegevenstype	DWORD
Gegevens	0x0001 - Certificaattoewijzing onderwerp/uitgever (zwak – standaard uitgeschakeld) 0x0002 - Certificaattoewijzing van uitgever (zwak– standaard uitgeschakeld) 0x0004 - UPN-certificaattoewijzing (zwak– standaard uitgeschakeld) 0x0008 - S4U2Self-certificaattoewijzing (sterk) 0x0010 - S4U2Self expliciete certificaattoewijzing (sterk)
Opnieuw opstarten vereist?	Nee

Zie de sectie 'Aanvullende resources' voor aanvullende resources en ondersteuning.

Nadat u updates hebt geïnstalleerd die betrekking hebben op CVE-2022-26931 en CVE-2022-26923, kan verificatie mislukken in gevallen waarin de gebruikerscertificaten ouder zijn dan de aanmaaktijd van de gebruiker. Deze registersleutel maakt een geslaagde verificatie mogelijk wanneer u zwakke certificaattoewijzingen in uw omgeving gebruikt en de tijd voor het maken van het certificaat binnen een ingesteld bereik valt voordat de gebruiker het maakt. Deze registersleutel is niet van invloed op gebruikers of machines met sterke certificaattoewijzingen, omdat de tijd van het certificaat en de aanmaaktijd van de gebruiker niet worden gecontroleerd met sterke certificaattoewijzingen. Deze registersleutel heeft geen effect wanneer StrongCertificateBindingEnforcement is ingesteld op 2.

Het gebruik van deze registersleutel is een tijdelijke tijdelijke oplossing voor omgevingen waarvoor dit is vereist en moet voorzichtig worden uitgevoerd. Het gebruik van deze registersleutel betekent het volgende voor uw omgeving:

• Deze registersleutel werkt alleen in de compatibiliteitsmodus vanaf updates die zijn uitgebracht op 10 mei 2022. Verificatie is toegestaan binnen de compensatiecompensatie voor backdating, maar er wordt een waarschuwing voor het gebeurtenislogboek vastgelegd voor de zwakke binding.

• Als u deze registersleutel inschakelt, wordt de verificatie van de gebruiker mogelijk wanneer de certificaattijd zich vóór de aanmaaktijd van de gebruiker bevindt binnen een ingesteld bereik als een zwakke toewijzing. Zwakke toewijzingen worden niet ondersteund na het installeren van updates voor Windows die zijn uitgebracht op 11 februari 2025, waardoor de modus Volledig afdwingen wordt ingeschakeld.

Registersubsleutel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Waarde	CertificateBackdatingCompensation
Gegevenstype	REG_DWORD
Gegevens	Waarden voor tijdelijke oplossing in geschatte jaren: 50 jaar: 0x5E0C89C0 25 jaar: 0x2EFE0780 10 jaar: 0x12CC0300 5 jaar: 0x9660180 3 jaar: 0x5A39A80 1 jaar: 0x1E13380 Opmerking Als u de levensduur van de certificaten in uw omgeving kent, stelt u deze registersleutel in op iets langer dan de levensduur van het certificaat.  Als u de levensduur van het certificaat voor uw omgeving niet weet, stelt u deze registersleutel in op 50 jaar. De standaardwaarde is 10 minuten wanneer deze sleutel niet aanwezig is, wat overeenkomt met Active Directory Certificate Services (ADCS). De maximumwaarde is 50 jaar (0x5E0C89C0). Met deze sleutel stelt u het tijdsverschil in seconden in dat het Key Distribution Center (KDC) negeert tussen de uitgiftetijd van een verificatiecertificaat en de aanmaaktijd van het account voor gebruikers-/machineaccounts. Belangrijk Stel deze registersleutel alleen in als uw omgeving dit vereist. Als u deze registersleutel gebruikt, wordt een beveiligingscontrole uitgeschakeld.
Opnieuw opstarten vereist?	Nee

U voert de volgende certutil-opdracht uit om certificaten van de gebruikerssjabloon uit te sluiten van het ophalen van de nieuwe extensie.

1. Meld u aan bij een certificeringsinstantieserver of een domein-gekoppelde Windows 10-client met ondernemingsbeheerder of de equivalente referenties.

2. Open een opdrachtprompt en kies Als administrator uitvoeren.

3. Voer certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 uit. 

Als u de toevoeging van deze extensie uitschakelt, wordt de beveiliging van de nieuwe extensie verwijderd. U kunt dit pas doen na een van de volgende handelingen:

1. U bevestigt dat de bijbehorende certificaten niet acceptabel zijn voor Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos Protocol-verificaties bij KDC

2. Voor de bijbehorende certificaten zijn andere sterke certificaattoewijzingen geconfigureerd

Omgevingen met niet-Microsoft CA-implementaties worden niet beveiligd met de nieuwe SID-extensie na de installatie van de Windows-update van 10 mei 2022. Betrokken klanten moeten samenwerken met de bijbehorende CA-leveranciers om dit aan te pakken of moeten overwegen om andere sterke certificaattoewijzingen te gebruiken die hierboven worden beschreven.

Zie de sectie 'Aanvullende resources' voor aanvullende resources en ondersteuning.

Nee, verlenging is niet vereist. De CA wordt verzonden in de compatibiliteitsmodus. Als u een sterke toewijzing wilt met behulp van de ObjectSID-extensie, hebt u een nieuw certificaat nodig.