KB5014754: Alterações na autenticação baseada em certificado nos controladores de domínio do Windows

Aplica-se a
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Log de mudanças
Data da alteração Descrição
9/10/2025 Corrigimos a data do modo de imposição de 10 de setembro de 2025 para 9 de setembro de 2025.
9/8/2025 Adicionada uma referência à seção "Recursos Adicionais"... Implementando mapeamento forte em certificados do Intune.
7/29/2025 Adicionado um "Problema conhecido" na seção "Solução de problemas"... Um objeto de Política de Grupo pode interferir em "mapeamentos baseados em nome"
10/24/2024 Texto atualizado para maior clareza na Etapa 2 da seção "Executar ação", na descrição "Modo de Imposição Completa" da seção "Linha do Tempo para atualizações do Windows" e revisadas as informações de data dos tópicos "Chave do Registro do Centro de Distribuição de Chaves (KDC)" e "Chave do Registro com data retroativa de certificado" na seção "Informações da Chave do Registro".
9/10/2024 Alterada a descrição completa do modo de imposição na seção "Tempo para atualizações do Windows" para refletir novas datas. 11 de fevereiro de 2025, moverá os dispositivos para o modo de imposição, mas deixará o suporte para voltar ao modo de compatibilidade. O suporte completo à chave do Registro terminará agora em 9 de setembro de 2025.
7/5/2024 Adição de informações sobre a Extensão SID para a chave do Registro do Centro de Distribuição de Chaves (KDC) na seção "Informações sobre a chave do Registro".
10/10/2023 Adição de informações sobre Mapeamentos Fortes Alterações Padrão em "Linha do Tempo para Atualizações do Windows"
6/30/2023 Alteração da data do modo de Imposição Completa de 14 de novembro de 2023 para 11 de fevereiro de 2025 (essas datas foram listadas anteriormente como 19 de maio de 2023 a 14 de novembro de 2023).
1/26/2023 Alteração na remoção do modo Desabilitado de 14 de fevereiro de 2023 para 11 de abril de 2023.

Resumo

CVE-2022-34691,CVE-2022-26931 e CVE-2022-26923 solucionam uma vulnerabilidade de elevação de privilégio que pode ocorrer quando o KDC (Centro de Distribuição de Chaves Kerberos) está atendendo a uma solicitação de autenticação baseada em certificado. Antes da atualização de segurança de 10 de maio de 2022, a autenticação baseada em certificado não contabilizava um cifrão ($) no final do nome de uma máquina. Isso permitiu que certificados relacionados fossem emulados (falsificados) de várias maneiras. Além disso, conflitos entre UPN (Nomes Principal do Usuário) e sAMAccountName introduziram outras vulnerabilidades de emulação (falsificação) que também abordamos com esta atualização de segurança.

Tome medidas

Para proteger seu ambiente, conclua as seguintes etapas para autenticação baseada em certificado:

  1. Atualize todos os servidores que executam os Serviços de Certificados do Active Directory e controladores de domínio do Windows que executam autenticação baseada em certificado com a atualização de 10 de maio de 202,2 (consulte Modo de compatibilidade). A atualização de 10 de maio de 2022 fornecerá eventos de auditoria que identificam certificados que não são compatíveis com o modo de Imposição Total.
  2. Se nenhum log de eventos de auditoria for criado nos controladores de domínio por um mês após a instalação da atualização, continue habilitando o modo de Imposição Completa em todos os controladores de domínio. Em fevereiro de 2025, se a chave do Registro StrongCertificateBindingEnforcement não estiver configurada, os controladores de domínio passarão para o modo de Imposição Completa. Caso contrário, a configuração do modo de compatibilidade das chaves do Registro continuará a ser honrada. No modo de Imposição Total, se um certificado falhar nos critérios de mapeamento forte (seguro) (consulte Mapeamentos de certificados), a autenticação será negada. No entanto, a opção de voltar para o Modo de compatibilidade permanecerá até que a atualização de segurança do Windows de 9 de setembro de 2025 seja instalada.

Eventos de auditoria

A atualização do Windows de 10 de maio de 2022 adiciona os logs de eventos a seguir.

Nenhum mapeamento forte

Nenhum mapeamento de certificado forte foi encontrado e o certificado não tinha a nova extensão SID (identificador de segurança) que o KDC poderia validar.

Log de eventos Sistema
Tipo de Evento Aviso se o KDC estiver no modo de Compatibilidade
Erro se o KDC estiver no modo de Imposição
Origem do evento Kdcsvc
ID de Evento 39
41 (para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Texto do Evento O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas não pôde ser mapeado para um usuário de maneira forte (por exemplo, por meio de mapeamento explícito, mapeamento de confiança de chave ou SID). Esses certificados devem ser substituídos ou mapeados diretamente para o usuário por meio de mapeamento explícito. Consulte https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais.
Usuário: <nome da entidade>
Assunto do Certificado: <Nome da Entidade no Certificado>
Certificado Emissor: <FQDN (Nome de Domínio Totalmente Qualificado) do Emissor>
Número de série do certificado: <Número de série do certificado>
Impressão digital do certificado: <impressão digital do certificado>
O certificado é anterior à conta

O certificado foi emitido para o usuário antes que o usuário existisse no Active Directory e nenhum mapeamento forte foi encontrado. Esse evento só é registrado quando o KDC está no modo de compatibilidade.

Log de eventos Sistema
Tipo de Evento Erro
Origem do evento Kdcsvc
ID de Evento 40
48 (para o Windows Server 2008 R2 SP1 e o Windows Server 2008 SP2
Texto do Evento O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas não pôde ser mapeado para um usuário de maneira forte (por exemplo, por meio de mapeamento explícito, mapeamento de confiança de chave ou SID). O certificado também é anterior ao usuário para o qual foi mapeado, por isso foi rejeitado. Consulte https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais.
Usuário: <nome da entidade>
Assunto do Certificado: <Nome da Entidade no Certificado>
Emissor do certificado: <FQDN do emissor>
Número de série do certificado: <Número de série do certificado>
Impressão digital do certificado: <impressão digital do certificado>
Hora de emissão do certificado: <FILETIME do certificado>
Hora de criação da conta: <FILETIME do objeto principal no AD>
O SID dos usuários não corresponde ao SID do certificado

O SID contido na nova extensão do certificado de usuários não corresponde ao SID do usuário, o que implica que o certificado foi emitido para outro usuário.

Log de eventos Sistema
Tipo de Evento Erro
Origem do evento Kdcsvc
ID de Evento 41
49 (para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Texto do Evento O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas continha um SID diferente do usuário para o qual foi mapeado. Como resultado, a solicitação envolvendo o certificado falhou. Consulte https://go.microsoft.cm/fwlink/?linkid=2189925 para saber mais.
Usuário: <nome da entidade>
SID do usuário: <SID da entidade de segurança de autenticação>
Assunto do Certificado: <Nome da Entidade no Certificado>
Emissor do certificado: <FQDN do emissor>
Número de série do certificado: <Número de série do certificado>
Impressão digital do certificado: <impressão digital do certificado>
SID do certificado: <SID encontrado na nova extensão de certificado>

Mapeamentos de certificado

Os administradores de domínio podem mapear manualmente certificados para um usuário no Active Directory usando o atributo altSecurityIdentities do objeto users. Há seis valores com suporte para esse atributo, sendo três mapeamentos considerados fracos (inseguros) e os outros três considerados fortes. Em geral, os tipos de mapeamento são considerados fortes se forem baseados em identificadores que você não pode reutilizar. Portanto, todos os tipos de mapeamento baseados em nomes de usuário e endereços de email são considerados fracos.

Mapeamento Exemplo Tipo Comentários
X509IssuerSubject "X509:<I>IssuerName<S>SubjectName" Fraco
X509SubjectOnly "X509:<S>SubjectName" Fraco
X509RFC822 "X509:<RFC822>user@contoso.com" Fraco Endereço de email
X509IssuerSerialNumber "X509:<I>IssuerName<SR>1234567890" Forte Recomendado
X509SKI "X509:<SKI>123456789abcdef" Forte
X509SHA1PublicKey "X509:<SHA1-PUKEY>123456789abcdef" Forte

Se os clientes não puderem reemitir certificados com a nova extensão SID, recomendamos que você crie um mapeamento manual usando um dos mapeamentos fortes descritos acima. Você pode fazer isso adicionando a cadeia de caracteres de mapeamento apropriada a um atributo altSecurityIdentities de usuários no Active Directory.

Mapear certificados manualmente

Observação Determinados campos, como Emissor, Assunto e Número de Série, são relatados em um formato "encaminhar". Você deve reverter esse formato ao adicionar a cadeia de caracteres de mapeamento ao atributo altSecurityIdentities . Por exemplo, para adicionar o mapeamento X509IssuerSerialNumber a um usuário, pesquise os campos "Emissor" e "Número de Série" do certificado que você deseja mapear para o usuário. Veja o exemplo de saída abaixo.

  • Emissor: CN=CONTOSO-DC-CA, DC=contoso, DC=com
  • Número de série: 2B0000000011AC0000000012

Em seguida, atualize o atributo altSecurityIdentities do usuário no Active Directory com a seguinte cadeia de caracteres:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Para atualizar esse atributo usando o Powershell, você pode usar o comando abaixo. Lembre-se de que, por padrão, somente os administradores de domínio têm permissão para atualizar esse atributo.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Observe que, ao inverter o SerialNumber, você deve manter a ordem de bytes. Isso significa que a inversão do SerialNumber "A1B2C3" deve resultar na cadeia de caracteres "C3B2A1" e não em "3C2B1A". Para obter mais informações, consulte HowTo: Mapear um usuário para um certificado por meio de todos os métodos disponíveis no atributo altSecurityIdentities.

Linha do tempo para atualizações do Windows

Importante A Fase de Habilitação começa com as atualizações de 11 de abril de 2023 para Windows, que ignorarão a configuração de chave do Registro do modo Desabilitado.

Modo de compatibilidade

Depois de instalar as atualizações do Windows de 10 de maio de 2022, os dispositivos estarão no modo de compatibilidade. Se um certificado puder ser fortemente mapeado para um usuário, a autenticação ocorrerá conforme o esperado. Se um certificado puder ser mapeado apenas fracamente para um usuário, a autenticação ocorrerá conforme o esperado. No entanto, uma mensagem de aviso será registrada, a menos que o certificado seja mais antigo que o usuário. Se o certificado for mais antigo que o usuário e a chave do Registro com data retroativa de certificado não estiver presente ou o intervalo estiver fora da compensação de data retroativa, a autenticação falhará e uma mensagem de erro será registrada.  Se a chave do Registro com retrocesso de certificado estiver configurada, ela registrará uma mensagem de aviso no log de eventos se as datas estiverem dentro da compensação com retrocesso.

Depois de instalar as atualizações do Windows de 10 de maio de 2022, observe qualquer mensagem de aviso que possa aparecer após um mês ou mais. Se não houver mensagens de aviso, recomendamos expressamente que você habilite o modo de Imposição Total em todos os controladores de domínio usando autenticação baseada em certificado. Você pode usar a chave do Registro KDC para habilitar o modo de Imposição Total.

Modo de Imposição Completa

A menos que sejam atualizados para o modo de auditoria ou de imposição usando a chave do Registro StrongCertificateBindingEnforcement anteriormente, os controladores de domínio passarão para o modo de imposição total quando a atualização de segurança do Windows de fevereiro de 2025 for instalada. A autenticação será negada se um certificado não puder ser fortemente mapeado. A opção de voltar para o Modo de compatibilidade permanecerá até que a atualização de segurança do Windows de 9 de setembro de 2025 seja instalada. Após essa data, a chave do Registro StrongCertificateBindingEnforcement não terá mais suporte

Modo desabilitado

Se a autenticação baseada em certificado depender de um mapeamento fraco que você não pode mover do ambiente, você poderá colocar controladores de domínio no modo Desabilitado usando uma configuração de chave do Registro. A Microsoft não recomenda isso e removeremos o modo Desabilitado em 11 de abril de 2023.

Alterações padrão de Mapeamento Forte

Depois de instalar as atualizações do Windows de 13 de fevereiro de 2024 ou posteriores no Server 2019 e superior e dar suporte aos clientes com o recurso opcional RSAT instalado, o mapeamento de certificado em Usuários & Computadores do Active Directory usará como padrão a seleção de mapeamento forte usando X509IssuerSerialNumber em vez de mapeamento fraco usando X509IssuerSubject. A configuração ainda pode ser alterada conforme desejado.

Solução de problemas

Um objeto de Política de Grupo pode interferir em "mapeamentos baseados em nome"

Sintomas

A Microsoft recebeu relatórios de que a configuração "Processar mesmo que os objetos da Política de Grupo não tenham sido alterados" no objeto da Política de Grupo "Configuração> do Grupo,Modelos> Administrativos,Sistema>, Política de GrupoConfigurar o processamento de política do Registro>" pode interferir intermitentemente nos mapeamentos baseados em nome em controladores de domínio.

Solução alternativa

Para contornar esse problema, desabilite a configuração "Processar mesmo se os objetos da Política de Grupo não tiverem sido alterados" nos controladores de domínio. Faça isso somente se forem necessários mapeamentos baseados em nome, conforme definido na Política de Grupo "Configuração> do Computador,Modelos> Administrativos,Sistema>KDC>:Permitir mapeamentos fortes baseados em nome para certificados". Para obter mais informações, consulte Habilitar mapeamento forte baseado em nomes em cenários governamentais.

Próxima etapa

Estamos investigando esses relatórios e forneceremos mais informações quando estiverem disponíveis.

Falha ao entrar após a instalação das proteções CVE-2022-26931 e CVE-2022-26923
  • Use o log operacional Kerberos no computador relevante para determinar qual controlador de domínio está falhando ao entrar. Vá para o Visualizador de EventosLogs\ de >Aplicativos e ServiçosSegurança do Microsoft \Windows\- Kerberos\Operacional.
  • Procure eventos relevantes no Log de Eventos do Sistema no controlador de domínio no qual a conta está tentando se autenticar.
  • Se o certificado for mais antigo que a conta, emita novamente o certificado ou adicione um mapeamento altSecurityIdentities seguro à conta (consulte Mapeamentos de certificado).
  • Se o certificado contiver uma extensão SID, verifique se o SID corresponde à conta.
  • Se o certificado estiver sendo usado para autenticar várias contas diferentes, cada conta precisará de um mapeamento altSecurityIdentities separado.
  • Se o certificado não tiver um mapeamento seguro para a conta, adicione um ou deixe o domínio no modo de Compatibilidade até que um possa ser adicionado.
Falha ao autenticar usando o mapeamento de certificado TLS

Um exemplo de mapeamento de certificado TLS é usar um aplicativo Web da intranet do IIS.

  • Depois de instalar as proteções CVE-2022-26391 e CVE-2022-26923 , esses cenários usam o protocolo S4U (Serviço de Certificado Kerberos para Usuário) para mapeamento e autenticação de certificado por padrão.
  • No protocolo S4U do Certificado Kerberos, a solicitação de autenticação flui do servidor de aplicativos para o controlador de domínio, não do cliente para o controlador de domínio. Portanto, eventos relevantes estarão no servidor de aplicativos.

Informações da chave do Registro

Depois de instalar as proteções CVE-2022-26931 e CVE-2022-26923 nas atualizações do Windows lançadas entre 10 de maio de 2022 e 9 de setembro de 2025 ou posterior, as seguintes chaves do registro estarão disponíveis.

Chave do Registro do KDC (Centro de Distribuição de Chaves)

Essa chave do Registro não terá suporte após a instalação de atualizações para Windows lançadas em ou após setembro de 2025.

Observação

  • Importante

  • O uso dessa chave do Registro é uma solução temporária para ambientes que a exigem e deve ser feito com cautela. Usar essa chave do Registro significa o seguinte para seu ambiente:

  • Essa chave do Registro só funciona no Modo de compatibilidade a partir das atualizações lançadas em 10 de maio de 2022.

  • Essa chave do Registro não terá suporte após a instalação de atualizações para Windows lançadas em 9 de setembro de 2025.

  • A detecção e validação da Extensão SID usadas pela Aplicação de Associação de Certificado Forte tem uma dependência do valor UseSubjectAltName da chave do Registro KDC. A extensão SID será usada se o valor do Registro não existir ou se estiver definido como um valor de 0x1. A extensão SID não será usada se UseSubjectAltName existir e o valor estiver definido como 0x0.

Subchave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valor StrongCertificateBindingEnforcement
Tipo de Dados REG_DWORD
Dados 1 – verifica se há um mapeamento de certificado forte. Se sim, a autenticação é permitida. Caso contrário, o KDC irá marcar se o certificado tem a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será permitida se a conta de usuário for anterior ao certificado.
2 – verifica se há um mapeamento de certificado forte. Se sim, a autenticação é permitida. Caso contrário, o KDC irá marcar se o certificado tem a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será negada.
0 – desabilita a marca de mapeamento de certificado forte. Não recomendado porque isso desabilitará todos os aprimoramentos de segurança.
Se você definir isso como 0, também deverá definir CertificateMappingMethods para 0x1F conforme descrito na seção chave de registro Schannel abaixo para que a autenticação baseada em certificado de computador seja bem-sucedida.
Reinicialização necessária? Não
Chave de registro SChannel

Quando um aplicativo de servidor requer autenticação de cliente, o Schannel tenta mapear automaticamente o certificado que o cliente TLS fornece para uma conta de usuário. Você pode autenticar usuários que entram com um certificado de cliente criando mapeamentos que relacionam as informações do certificado a uma conta de usuário do Windows. Depois de criar e habilitar um mapeamento de certificado, sempre que um cliente apresentar um certificado de cliente, o aplicativo de servidor associará automaticamente esse usuário à conta de usuário do Windows apropriada.

O Schannel tentará mapear cada método de mapeamento de certificado habilitado até que um seja bem-sucedido. O Schannel tenta mapear os mapeamentos Service-For-User-To-Self (S4U2Self) primeiro. Os mapeamentos de certificado Entidade/Emissor, Emissor e UPN agora são considerados fracos e foram desabilitados por padrão. A soma bitmasked das opções selecionadas determina a lista de métodos de mapeamento de certificados disponíveis.

O padrão de chave de registro SChannel era 0x1F e agora está 0x18. Se você tiver falhas de autenticação com aplicativos de servidor baseados em Schannel, sugerimos que execute um teste. Adicione ou modifique o valor da chave do Registro CertificateMappingMethods no controlador de domínio e defina-o como 0x1F para ver se isso resolve o problema. Procure nos logs de eventos do sistema no controlador de domínio por quaisquer erros listados neste artigo para obter mais informações. Lembre-se de que alterar o valor da chave do Registro SChannel de volta para o padrão anterior (0x1F) reverter ao uso de métodos de mapeamento de certificados fracos.

Subchave do Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Valor CertificateMappingMethods
Tipo de Dados DWORD
Dados 0x0001 - Mapeamento de certificado de entidade/emissor (fraco – desabilitado por padrão)
0x0002 - Mapeamento de certificado do emissor (fraco - Desativado por padrão)
0x0004 - Mapeamento de certificado UPN (fraco – Desabilitado por padrão)
0x0008 - Mapeamento de certificado S4U2Self (forte)
0x0010 - Mapeamento de certificado explícito S4U2Self (forte)
Reinicialização necessária? Não

Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".

Chave do Registro de retrocesso de certificado

Depois de instalar as atualizações que solucionam a CVE-2022-26931 e a CVE-2022-26923, a autenticação poderá falhar nos casos em que os certificados de usuário forem anteriores à hora de criação dos usuários. Essa chave do Registro permite uma autenticação bem-sucedida quando você está usando mapeamentos de certificado fracos em seu ambiente e a hora do certificado é anterior à hora de criação do usuário dentro de um intervalo definido. Essa chave do Registro não afeta usuários ou computadores com mapeamentos de certificado fortes, pois a hora do certificado e a hora de criação do usuário não são verificadas com mapeamentos de certificado fortes. Essa chave do Registro não tem efeito quando StrongCertificateBindingEnforcement é definido como 2.

O uso dessa chave do Registro é uma solução temporária para ambientes que a exigem e deve ser feito com cautela. Usar essa chave do Registro significa o seguinte para seu ambiente:

  • Essa chave do Registro só funciona no Modo de compatibilidade a partir das atualizações lançadas em 10 de maio de 2022. A autenticação será permitida dentro da compensação de retroativação, mas um aviso de log de eventos será registrado para a associação fraca.
  • A habilitação dessa chave do Registro permite a autenticação do usuário quando a hora do certificado é anterior à hora de criação do usuário dentro de um intervalo definido como um mapeamento fraco. Mapeamentos fracos não terão suporte após a instalação de atualizações para Windows lançadas em ou após setembro de 2025.
Subchave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valor CertificateBackdatingCompensation
Tipo de Dados REG_DWORD
Dados Valores para solução alternativa em anos aproximados:

  • 50 anos: 0x5E0C89C0
  • 25 anos: 0x2EFE0780
  • 10 anos: 0x12CC0300
  • 5 anos: 0x9660180
  • 3 anos: 0x5A39A80
  • 1 ano: 0x1E13380
Observação Se você souber o tempo de vida dos certificados em seu ambiente, defina essa chave do Registro como um pouco maior do que o tempo de vida do certificado. Se você não souber a vida útil do certificado para seu ambiente, defina essa chave do Registro como 50 anos. O padrão é 10 minutos quando essa chave não está presente, o que corresponde aos Serviços de Certificado do Active Directory (ADCS). O valor máximo é de 50 anos (0x5E0C89C0).

Essa chave define a diferença de tempo, em segundos, que o KDC (Centro de Distribuição de Chaves) ignorará entre a hora de emissão do certificado de autenticação e a hora de criação da conta para contas de usuário/computador.

Importante Defina essa chave do Registro somente se o seu ambiente exigir. O uso dessa chave do Registro está desabilitando uma verificação de marca.
Reinicialização necessária? Não

Autoridades de Certificação Corporativas

As ACs (Autoridades de Certificação) corporativas começarão a adicionar uma nova extensão não crítica com o OID (Identificador de Objeto) (1.3.6.1.4.1.311.25.2) por padrão em todos os certificados emitidos em modelos online após a instalação da atualização do Windows de 10 de maio de 2022. Você pode interromper a adição dessa extensão definindo o bit de 0x00080000 no valor msPKI-Enrollment-Flag do modelo correspondente.

Exemplo

Você executa o seguinte comando certutil para excluir certificados do modelo de usuário de obter a nova extensão.

  1. Entre em um servidor de Autoridade de Certificação ou em um cliente do Windows 10 ingressado no domínio com credenciais de administrador corporativo ou equivalentes.
  2. Abra um prompt de comando e escolha Executar como administrador.
  3. Execute certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.

Desabilitar a adição dessa extensão removerá a proteção fornecida pela nova extensão. Considere fazer isso somente após uma das seguintes opções:

  1. Você confirma que os certificados correspondentes não são aceitáveis para PKINIT (Criptografia de Chave Pública para Autenticação Inicial) em autenticações de Protocolo Kerberos no KDC
  2. Os certificados correspondentes têm outros mapeamentos de certificados fortes configurados

Ambientes com implantações de autoridades de certificação não pertencentes à Microsoft não serão protegidos usando a nova extensão SID após a instalação da atualização do Windows de 10 de maio de 2022. Os clientes afetados devem trabalhar com os fornecedores de CA correspondentes para resolver isso ou devem considerar a utilização de outros mapeamentos de certificados fortes descritos acima.

Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".

Perguntas frequentes

Depois que a autoridade de certificação for atualizada, todos os certificados de autenticação do cliente deverão ser renovados?

Não, a renovação não é necessária. A CA será fornecida no modo de compatibilidade. Se você quiser um mapeamento forte usando a extensão ObjectSID, precisará de um novo certificado.

Como o modo de Imposição Completa afetará meu ambiente?

Na atualização do Windows de 11 de fevereiro de 2025, os dispositivos que ainda não estão em Aplicação (o valor do Registro StrongCertificateBindingEnforcement é definido como 2) serão movidos para a Imposição. Se a autenticação for negada, você verá a ID do Evento 39 (ou a ID do Evento 41 para o Windows Server 2008 R2 SP1 e o Windows Server 2008 SP2). Você terá a opção de definir o valor da chave do Registro de volta como 1 (Modo de compatibilidade) nesta fase.

Na atualização do Windows de 9 de setembro de 2025, o valor do Registro StrongCertificateBindingEnforcement não terá mais suporte.

Recursos adicionais

Para obter mais informações sobre o mapeamento de certificado do cliente TLS, consulte os seguintes artigos: