KB5014754 — zmiany uwierzytelniania oparte na certyfikatach na kontrolerach domeny systemu Windows

Nie można było odnaleźć silnych mapowań certyfikatów, a certyfikat nie miał nowego rozszerzenia identyfikatora zabezpieczeń (SID), które mogłoby zostać zweryfikowane przez centrum danych biznesowych.

Dziennik zdarzeń	System
Typ zdarzenia	Ostrzeżenie, jeśli usługa łączności danych biznesowych jest w trybie zgodności Błąd, jeśli usługa KDC jest w trybie wymuszania
Źródło zdarzenia	Kdcsvc
Identyfikator zdarzenia	39 41 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2)
Tekst zdarzenia	W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Takie certyfikaty powinny zostać zastąpione lub zamapowane bezpośrednio do użytkownika za pomocą jawnego mapowania. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej. Użytkownik:> <głównej nazwy użytkownika Temat certyfikatu: <nazwę tematu w> certyfikatu Wystawca certyfikatu: <w pełni kwalifikowana nazwa domeny (FQDN) > Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate>

Certyfikat został wystawiony użytkownikowi, zanim użytkownik istniał w usłudze Active Directory i nie można było odnaleźć żadnego silnego mapowania. To zdarzenie jest rejestrowane tylko wtedy, gdy funkcja KDC jest w trybie zgodności.

Dziennik zdarzeń	System
Typ zdarzenia	Błąd
Źródło zdarzenia	Kdcsvc
Identyfikator zdarzenia	40 48 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2
Tekst zdarzenia	W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Certyfikat również wstępnie wstępnie użytkownik zamapowany na, więc został odrzucony. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej. Użytkownik:> <głównej nazwy użytkownika Temat certyfikatu: <nazwę tematu w> certyfikatu Emitent certyfikatu:> FQDN emitenta < Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate> Czas wydawania certyfikatu: <FILETIME certyfikatu> Czas tworzenia konta: <FILETIME obiektu głównego w> AD

Identyfikator SID zawarty w nowym rozszerzeniu certyfikatu użytkownika nie odpowiada identyfikatorowi SID użytkowników, co oznacza, że certyfikat został wystawiony innemu użytkownikowi.

Dziennik zdarzeń	System
Typ zdarzenia	Błąd
Źródło zdarzenia	Kdcsvc
Identyfikator zdarzenia	41 49 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2)
Tekst zdarzenia	W Centrum dystrybucji kluczy (KDC) napotkano certyfikat użytkownika, który był prawidłowy, ale zawierał inny identyfikator SID niż użytkownik, do którego został zamapowany. W wyniku tego żądanie dotyczące certyfikatu nie powiodło się. Aby dowiedzieć się więcej, zobacz https://go.microsoft.cm/fwlink/?linkid=2189925. Użytkownik:> <głównej nazwy użytkownika User SID: <SID uwierzytelniającego> głównej Temat certyfikatu: <nazwę tematu w> certyfikatu Emitent certyfikatu:> FQDN emitenta < Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate> Certyfikat SID: <SID znaleziona w nowym> rozszerzenia certyfikatu

Uwaga Niektóre pola, takie jak Emitent, Temat i Numer seryjny, są zgłaszane w formacie "do przodu". Należy cofnąć ten format, dodając ciąg mapowania do atrybutu altSecurityIdentities . Aby na przykład dodać mapowanie X509IssuerSerialNumber do użytkownika, przeszukaj pola "Wystawcy" i "Numer seryjny" certyfikatu, który chcesz zamapować na użytkownika. Zobacz przykładowe dane wyjściowe poniżej.

• Wystawca: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• Numer seryjny: 2B0000000011AC000000012

Następnie zaktualizuj atrybut altSecurityIdentities użytkownika w usłudze Active Directory za pomocą następującego ciągu:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Aby zaktualizować ten atrybut przy użyciu programu Powershell, możesz użyć poniższego polecenia. Pamiętaj, że domyślnie tylko administratorzy domeny mają uprawnienia do aktualizowania tego atrybutu.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Zwróć uwagę, że po odwróceniu numeru seryjnego należy zachować kolejność bajtów. Oznacza to, że odwrócenie numeru seryjnego "A1B2C3" powinno spowodować ciąg "C3B2A1", a nie "3C2B1A". Aby uzyskać więcej informacji, zobacz HowTo: Mapowanie użytkownika na certyfikat za pomocą wszystkich metod dostępnych w atrybucie altSecurityIdentities.

Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. urządzenia będą w trybie zgodności. Jeśli certyfikat można silnie zamapować na użytkownika, uwierzytelnianie będzie wykonywane zgodnie z oczekiwaniami. Jeśli certyfikat może być słabo zamapowany tylko na użytkownika, uwierzytelnianie odbywa się zgodnie z oczekiwaniami. Jednak komunikat ostrzegawczy zostanie zarejestrowany, chyba że certyfikat jest starszy od użytkownika. Jeśli certyfikat jest starszy niż użytkownik, a klucz rejestru Backdating certyfikatu nie jest obecny lub zakres znajduje się poza rekompensatą, uwierzytelnianie zakończy się niepowodzeniem i zostanie zarejestrowany komunikat o błędzie.  Jeśli klucz rejestru Backdating certyfikatu jest skonfigurowany, zarejestruje komunikat ostrzegawczy w dzienniku zdarzeń, jeśli daty mieszczą się w kompensacji.

Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. zobacz komunikat ostrzegawczy, który może pojawić się po upływie co najmniej miesiąca. Jeśli nie ma żadnych komunikatów ostrzegawczych, zdecydowanie zalecamy włączenie trybu pełnego wy wymuszania na wszystkich kontrolerach domeny przy użyciu uwierzytelniania opartego na certyfikatach. Aby włączyć tryb pełnego wy wymuszania, możesz użyć klucza rejestru usługi łączności danych biznesowych .

O ile nie zostaną wcześniej zaktualizowane do tego trybu, wszystkie urządzenia zostaną zaktualizowane do trybu pełnego wymuszania do 14 listopada 2023 r. lub nowszego. Jeśli nie można silnie zamapować certyfikatu, zostanie odrzucone uwierzytelnianie.

Jeśli uwierzytelnianie oparte na certyfikatach korzysta ze słabego mapowania, które nie umożliwia przenoszenia się ze środowiska, można umieścić kontrolery domeny w trybie wyłączonym przy użyciu ustawienia klucza rejestru. Firma Microsoft tego nie zaleca , a tryb wyłączony zostanie wyłączony 11 kwietnia 2023 r.

• Użyj dziennika operacyjnego Kerberos na odpowiednim komputerze, aby określić, który kontroler domeny kończy się niepowodzeniem logowania. Przejdź do Podgląd zdarzeń > Dzienniki aplikacji i usług\Microsoft \Windows\Security-Kerberos\Operational.

• Poszukaj odpowiednich zdarzeń w dzienniku zdarzeń systemowych na kontrolerze domeny, przed którą konto próbuje się uwierzytelnić.

• Jeśli certyfikat jest starszy od konta, ponownie zaimów certyfikat lub dodaj bezpieczne mapowanie wartości altSecurityIdentities na konto (zobacz Mapowania certyfikatów).

• Jeśli certyfikat zawiera rozszerzenie SID, sprawdź, czy identyfikator SID jest zgodny z kontem.

• Jeśli certyfikat jest używany do uwierzytelniania kilku różnych kont, każde konto będzie potrzebowało oddzielnego mapowania altSecurityIdentities .

• Jeśli certyfikat nie ma bezpiecznego mapowania na konto, dodaj ją lub pozostaw domenę w trybie zgodności, dopóki nie będzie można dodać tej domeny.

Przykładem mapowania certyfikatów TLS jest użycie intranetowej aplikacji sieci Web usługi IIS.

• Po zainstalowaniu zabezpieczeń CVE-2022-26391 i CVE-2022-26923 te scenariusze domyślnie używają protokołu Usługi certyfikatów Kerberos dla użytkownika (S4U) do mapowania certyfikatów i uwierzytelniania.

• W protokole S4U certyfikatu Kerberos żądanie uwierzytelniania przepływa z serwera aplikacji do kontrolera domeny, a nie z klienta do kontrolera domeny. W związku z tym odpowiednie zdarzenia będą na serwerze aplikacji.

Ten klucz rejestru zmienia tryb wymuszania usługi łączności danych biznesowych na tryb wyłączony, tryb zgodności lub tryb pełnego wymuszania.

Podklucz rejestru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Wartość	StrongCertificateBindingEnforcement
Typ danych	REG_DWORD
dane	1. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa KDC sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, uwierzytelnianie jest dozwolone, jeśli konto użytkownika poprzedza certyfikat. 2. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa KDC sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, zostanie odrzucone uwierzytelnianie. 0 — wyłącza silne sprawdzanie mapowania certyfikatów. Niezalecane, ponieważ spowoduje to wyłączenie wszystkich ulepszeń zabezpieczeń. W przypadku ustawienia wartości 0 należy również ustawić dla funkcji CertificateMappingMethods wartość 0x1F zgodnie z opisem w sekcji klucza rejestru Schannel poniżej, aby uwierzytelnianie oparte na certyfikatach komputera zakończyło się pomyślnie.
Wymagane ponowne uruchomienie?	Nie

Gdy aplikacja serwera wymaga uwierzytelniania klienta, Schannel automatycznie próbuje zamapować certyfikat dostarczony przez klienta TLS na konto użytkownika. Możesz uwierzytelnić użytkowników, którzy logują się za pomocą certyfikatu klienta, tworząc mapowania, które wiążą informacje o certyfikatach z kontem użytkownika systemu Windows. Po utworzeniu i włączeniu mapowania certyfikatów za każdym razem, gdy klient przedstawi certyfikat klienta, aplikacja serwera automatycznie skojarzy tego użytkownika z odpowiednim kontem użytkownika systemu Windows.

Narzędzie Schannel spróbuje zamapować każdą włączoną metodę mapowania certyfikatów, dopóki się nie powiedzie. Schannel próbuje najpierw zamapować mapowania usługi Service-For-User-To-Self (S4U2Self). Mapowania certyfikatów podmiotu/emitenta, emitenta i głównej nazwy użytkownika są obecnie uważane za słabe i zostały domyślnie wyłączone. Suma wybranych opcji z wyświetlonym monitem bitm określa listę dostępnych metod mapowania certyfikatów.

Klucz rejestru SChannel był domyślnie 0x1F i jest teraz 0x18. Jeśli wystąpią błędy uwierzytelniania w aplikacjach serwerowych opartych na architekturze Schannel, zalecamy wykonanie testu. Dodaj lub zmodyfikuj wartość klucza rejestru CertificateMappingMethods na kontrolerze domeny i ustaw ją jako 0x1F i sprawdź, czy rozwiązuje to problem. Aby uzyskać więcej informacji, zobacz Dzienniki zdarzeń systemowych na kontrolerze domeny pod kątem błędów wymienionych w tym artykule. Należy pamiętać, że zmiana wartości klucza rejestru SChannel z powrotem na poprzednią domyślną (0x1F) spowoduje powrót do korzystania ze słabych metod mapowania certyfikatów.

Podklucz rejestru	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Wartość	CertificateMappingMethods
Typ danych	DWORD
dane	0x0001 — mapowanie certyfikatów podmiotu/wystawców (słabe — domyślnie wyłączone) 0x0002 — mapowanie certyfikatów wystawców (słabe — domyślnie wyłączone) 0x0004 — mapowanie certyfikatów UPN (słabe — domyślnie wyłączone) 0x0008 — mapowanie certyfikatów S4U2Self (strong) 0x0010 — S4U2Self jawne mapowanie certyfikatów (silne)
Wymagane ponowne uruchomienie?	Nie

Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".

Po zainstalowaniu aktualizacji dotyczących cve-2022-26931 i CVE-2022-26923 uwierzytelnianie może zakończyć się niepowodzeniem w przypadkach, gdy certyfikaty użytkowników są starsze niż czas tworzenia użytkowników. Ten klucz rejestru umożliwia pomyślne uwierzytelnianie podczas używania słabych mapowań certyfikatów w środowisku, a czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie. Ten klucz rejestru nie ma wpływu na użytkowników ani komputery z silnymi mapowaniami certyfikatów, ponieważ czas certyfikatu i czas tworzenia użytkowników nie są sprawdzane przy użyciu silnych mapowań certyfikatów. Ten klucz rejestru nie ma żadnego wpływu, gdy wartość StrongCertificateBindingEnforcement jest ustawiona na wartość 2.

Użycie tego klucza rejestru jest tymczasowym obejściem dla środowisk, które tego wymagają i należy to zrobić z zachowaniem ostrożności. Użycie tego klucza rejestru oznacza następujące znaczenie dla twojego środowiska:

• Ten klucz rejestru działa tylko w trybie zgodności , począwszy od aktualizacji wydanych 10 maja 2022 r. Uwierzytelnianie będzie dozwolone w ramach kompensacji odwrotnej, ale zostanie zarejestrowane ostrzeżenie dziennika zdarzeń dla słabego powiązania.

• Włączenie tego klucza rejestru umożliwia uwierzytelnianie użytkownika, gdy czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie jako słabe mapowanie. Słabe mapowania nie będą obsługiwane po zainstalowaniu aktualizacji dla systemu Windows wydanych 14 listopada 2023 r. lub nowszych, co spowoduje włączenie trybu pełnego wy wymuszania.

Podklucz rejestru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Wartość	CertificateBackdatingCompensation
Typ danych	REG_DWORD
dane	Wartości obejścia w przybliżonych latach: 50 lat: 0x5E0C89C0 25 lat: 0x2EFE0780 10 lat: 0x12CC0300 5 lat: 0x9660180 3 lata: 0x5A39A80 1 rok: 0x1E13380 Uwaga Jeśli znasz okres istnienia certyfikatów w środowisku, ustaw ten klucz rejestru na nieco dłuższy niż okres istnienia certyfikatu.  Jeśli nie znasz okresów istnienia certyfikatu dla środowiska, ustaw ten klucz rejestru na 50 lat. Domyślnie wynosi 10 minut, gdy ten klucz nie jest obecny, co odpowiada usługom certyfikatów active directory (ADCS). Maksymalna wartość to 50 lat (0x5E0C89C0). Ten klucz określa w sekundach różnicę czasową ignorowaną przez Centrum dystrybucji kluczy między godziną wydania certyfikatu uwierzytelniania a czasem utworzenia konta dla kont użytkowników/komputerów. Ważne Ten klucz rejestru można ustawić tylko wtedy, gdy środowisko tego wymaga. Użycie tego klucza rejestru powoduje wyłączenie sprawdzania zabezpieczeń.
Wymagane ponowne uruchomienie?	Nie

Uruchom następujące polecenie certutil , aby wykluczyć certyfikaty szablonu użytkownika z uzyskiwania nowego rozszerzenia.

1. Zaloguj się na serwerze urząd certyfikacji lub kliencie przyłączonym do domeny Windows 10 przy użyciu administratora przedsiębiorstwa lub równoważnych poświadczeń.

2. Otwórz wiersz polecenia i wybierz polecenie Uruchom jako administrator.

3. Uruchom certutil -dstemplate użytkownika msPKI-Enrollment-Flag +0x00080000. 

Wyłączenie dodawania tego rozszerzenia spowoduje usunięcie ochrony zapewnianej przez nowe rozszerzenie. Rozważ wykonanie tej czynności tylko po jednej z następujących czynności:

1. Potwierdzasz, że odpowiadające im certyfikaty są nie do przyjęcia dla kryptografii klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT) w uwierzytelnianiu protokołu Kerberos w usłudze KDC

2. Odpowiednie certyfikaty mają skonfigurowane inne silne mapowania certyfikatów

Środowiska z wdrożeniami innych niż Microsoft CA nie będą chronione przy użyciu nowego rozszerzenia SID po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. Klienci, których dotyczy problem, powinni współpracować z odpowiednimi dostawcami urzędu certyfikacji, aby rozwiązać ten problem, lub rozważyć użycie innych silnych mapowań certyfikatów opisanych powyżej.

Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".

Nie, odnowienie nie jest wymagane. Urząd certyfikacji zostanie wyświetlony w trybie zgodności. Jeśli chcesz mieć silne mapowanie przy użyciu rozszerzenia ObjectSID, będziesz potrzebować nowego certyfikatu.