Log de mudanças
| Data da alteração | Descrição |
|---|---|
| 9/10/2025 | Corrigimos a data do modo de imposição de 10 de setembro de 2025 para 9 de setembro de 2025. |
| 9/8/2025 | Adicionada uma referência à seção "Recursos Adicionais"... Implementando mapeamento forte em certificados do Intune. |
| 7/29/2025 | Adicionado um "Problema conhecido" na seção "Solução de problemas"... Um objeto de Política de Grupo pode interferir em "mapeamentos baseados em nome" |
| 10/24/2024 | Texto atualizado para maior clareza na Etapa 2 da seção "Executar ação", na descrição "Modo de Imposição Completa" da seção "Linha do Tempo para atualizações do Windows" e revisadas as informações de data dos tópicos "Chave do Registro do Centro de Distribuição de Chaves (KDC)" e "Chave do Registro com data retroativa de certificado" na seção "Informações da Chave do Registro". |
| 9/10/2024 | Alterada a descrição completa do modo de imposição na seção "Tempo para atualizações do Windows" para refletir novas datas. 11 de fevereiro de 2025, moverá os dispositivos para o modo de imposição, mas deixará o suporte para voltar ao modo de compatibilidade. O suporte completo à chave do Registro terminará agora em 9 de setembro de 2025. |
| 7/5/2024 | Adição de informações sobre a Extensão SID para a chave do Registro do Centro de Distribuição de Chaves (KDC) na seção "Informações sobre a chave do Registro". |
| 10/10/2023 | Adição de informações sobre Mapeamentos Fortes Alterações Padrão em "Linha do Tempo para Atualizações do Windows" |
| 6/30/2023 | Alteração da data do modo de Imposição Completa de 14 de novembro de 2023 para 11 de fevereiro de 2025 (essas datas foram listadas anteriormente como 19 de maio de 2023 a 14 de novembro de 2023). |
| 1/26/2023 | Alteração na remoção do modo Desabilitado de 14 de fevereiro de 2023 para 11 de abril de 2023. |
Resumo
CVE-2022-34691,CVE-2022-26931 e CVE-2022-26923 solucionam uma vulnerabilidade de elevação de privilégio que pode ocorrer quando o KDC (Centro de Distribuição de Chaves Kerberos) está atendendo a uma solicitação de autenticação baseada em certificado. Antes da atualização de segurança de 10 de maio de 2022, a autenticação baseada em certificado não contabilizava um cifrão ($) no final do nome de uma máquina. Isso permitiu que certificados relacionados fossem emulados (falsificados) de várias maneiras. Além disso, conflitos entre UPN (Nomes Principal do Usuário) e sAMAccountName introduziram outras vulnerabilidades de emulação (falsificação) que também abordamos com esta atualização de segurança.
Tome medidas
Para proteger seu ambiente, conclua as seguintes etapas para autenticação baseada em certificado:
- Atualize todos os servidores que executam os Serviços de Certificados do Active Directory e controladores de domínio do Windows que executam autenticação baseada em certificado com a atualização de 10 de maio de 202,2 (consulte Modo de compatibilidade). A atualização de 10 de maio de 2022 fornecerá eventos de auditoria que identificam certificados que não são compatíveis com o modo de Imposição Total.
- Se nenhum log de eventos de auditoria for criado nos controladores de domínio por um mês após a instalação da atualização, continue habilitando o modo de Imposição Completa em todos os controladores de domínio. Em fevereiro de 2025, se a chave do Registro StrongCertificateBindingEnforcement não estiver configurada, os controladores de domínio passarão para o modo de Imposição Completa. Caso contrário, a configuração do modo de compatibilidade das chaves do Registro continuará a ser honrada. No modo de Imposição Total, se um certificado falhar nos critérios de mapeamento forte (seguro) (consulte Mapeamentos de certificados), a autenticação será negada. No entanto, a opção de voltar para o Modo de compatibilidade permanecerá até que a atualização de segurança do Windows de 9 de setembro de 2025 seja instalada.
Eventos de auditoria
A atualização do Windows de 10 de maio de 2022 adiciona os logs de eventos a seguir.
Nenhum mapeamento forte
Nenhum mapeamento de certificado forte foi encontrado e o certificado não tinha a nova extensão SID (identificador de segurança) que o KDC poderia validar.
| Log de eventos | Sistema |
|---|---|
| Tipo de Evento | Aviso se o KDC estiver no modo de Compatibilidade Erro se o KDC estiver no modo de Imposição |
| Origem do evento | Kdcsvc |
| ID de Evento | 39 41 (para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) |
| Texto do Evento | O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas não pôde ser mapeado para um usuário de maneira forte (por exemplo, por meio de mapeamento explícito, mapeamento de confiança de chave ou SID). Esses certificados devem ser substituídos ou mapeados diretamente para o usuário por meio de mapeamento explícito. Consulte https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Usuário: <nome da entidade> Assunto do Certificado: <Nome da Entidade no Certificado> Certificado Emissor: <FQDN (Nome de Domínio Totalmente Qualificado) do Emissor> Número de série do certificado: <Número de série do certificado> Impressão digital do certificado: <impressão digital do certificado> |
O certificado é anterior à conta
O certificado foi emitido para o usuário antes que o usuário existisse no Active Directory e nenhum mapeamento forte foi encontrado. Esse evento só é registrado quando o KDC está no modo de compatibilidade.
| Log de eventos | Sistema |
|---|---|
| Tipo de Evento | Erro |
| Origem do evento | Kdcsvc |
| ID de Evento | 40 48 (para o Windows Server 2008 R2 SP1 e o Windows Server 2008 SP2 |
| Texto do Evento | O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas não pôde ser mapeado para um usuário de maneira forte (por exemplo, por meio de mapeamento explícito, mapeamento de confiança de chave ou SID). O certificado também é anterior ao usuário para o qual foi mapeado, por isso foi rejeitado. Consulte https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Usuário: <nome da entidade> Assunto do Certificado: <Nome da Entidade no Certificado> Emissor do certificado: <FQDN do emissor> Número de série do certificado: <Número de série do certificado> Impressão digital do certificado: <impressão digital do certificado> Hora de emissão do certificado: <FILETIME do certificado> Hora de criação da conta: <FILETIME do objeto principal no AD> |
O SID dos usuários não corresponde ao SID do certificado
O SID contido na nova extensão do certificado de usuários não corresponde ao SID do usuário, o que implica que o certificado foi emitido para outro usuário.
| Log de eventos | Sistema |
|---|---|
| Tipo de Evento | Erro |
| Origem do evento | Kdcsvc |
| ID de Evento | 41 49 (para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2) |
| Texto do Evento | O KDC (Centro de Distribuição de Chaves) encontrou um certificado de usuário válido, mas continha um SID diferente do usuário para o qual foi mapeado. Como resultado, a solicitação envolvendo o certificado falhou. Consulte https://go.microsoft.cm/fwlink/?linkid=2189925 para saber mais. Usuário: <nome da entidade> SID do usuário: <SID da entidade de segurança de autenticação> Assunto do Certificado: <Nome da Entidade no Certificado> Emissor do certificado: <FQDN do emissor> Número de série do certificado: <Número de série do certificado> Impressão digital do certificado: <impressão digital do certificado> SID do certificado: <SID encontrado na nova extensão de certificado> |
Mapeamentos de certificado
Os administradores de domínio podem mapear manualmente certificados para um usuário no Active Directory usando o atributo altSecurityIdentities do objeto users. Há seis valores com suporte para esse atributo, sendo três mapeamentos considerados fracos (inseguros) e os outros três considerados fortes. Em geral, os tipos de mapeamento são considerados fortes se forem baseados em identificadores que você não pode reutilizar. Portanto, todos os tipos de mapeamento baseados em nomes de usuário e endereços de email são considerados fracos.
| Mapeamento | Exemplo | Tipo | Comentários |
|---|---|---|---|
| X509IssuerSubject | "X509:<I>IssuerName<S>SubjectName" | Fraco | |
| X509SubjectOnly | "X509:<S>SubjectName" | Fraco | |
| X509RFC822 | "X509:<RFC822>user@contoso.com" | Fraco | Endereço de email |
| X509IssuerSerialNumber | "X509:<I>IssuerName<SR>1234567890" | Forte | Recomendado |
| X509SKI | "X509:<SKI>123456789abcdef" | Forte | |
| X509SHA1PublicKey | "X509:<SHA1-PUKEY>123456789abcdef" | Forte |
Se os clientes não puderem reemitir certificados com a nova extensão SID, recomendamos que você crie um mapeamento manual usando um dos mapeamentos fortes descritos acima. Você pode fazer isso adicionando a cadeia de caracteres de mapeamento apropriada a um atributo altSecurityIdentities de usuários no Active Directory.
Mapear certificados manualmente
Observação Determinados campos, como Emissor, Assunto e Número de Série, são relatados em um formato "encaminhar". Você deve reverter esse formato ao adicionar a cadeia de caracteres de mapeamento ao atributo altSecurityIdentities . Por exemplo, para adicionar o mapeamento X509IssuerSerialNumber a um usuário, pesquise os campos "Emissor" e "Número de Série" do certificado que você deseja mapear para o usuário. Veja o exemplo de saída abaixo.
- Emissor: CN=CONTOSO-DC-CA, DC=contoso, DC=com
- Número de série: 2B0000000011AC0000000012
Em seguida, atualize o atributo altSecurityIdentities do usuário no Active Directory com a seguinte cadeia de caracteres:
- "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"
Para atualizar esse atributo usando o Powershell, você pode usar o comando abaixo. Lembre-se de que, por padrão, somente os administradores de domínio têm permissão para atualizar esse atributo.
- set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Observe que, ao inverter o SerialNumber, você deve manter a ordem de bytes. Isso significa que a inversão do SerialNumber "A1B2C3" deve resultar na cadeia de caracteres "C3B2A1" e não em "3C2B1A". Para obter mais informações, consulte HowTo: Mapear um usuário para um certificado por meio de todos os métodos disponíveis no atributo altSecurityIdentities.
Linha do tempo para atualizações do Windows
Importante A Fase de Habilitação começa com as atualizações de 11 de abril de 2023 para Windows, que ignorarão a configuração de chave do Registro do modo Desabilitado.
Modo de compatibilidade
Depois de instalar as atualizações do Windows de 10 de maio de 2022, os dispositivos estarão no modo de compatibilidade. Se um certificado puder ser fortemente mapeado para um usuário, a autenticação ocorrerá conforme o esperado. Se um certificado puder ser mapeado apenas fracamente para um usuário, a autenticação ocorrerá conforme o esperado. No entanto, uma mensagem de aviso será registrada, a menos que o certificado seja mais antigo que o usuário. Se o certificado for mais antigo que o usuário e a chave do Registro com data retroativa de certificado não estiver presente ou o intervalo estiver fora da compensação de data retroativa, a autenticação falhará e uma mensagem de erro será registrada. Se a chave do Registro com retrocesso de certificado estiver configurada, ela registrará uma mensagem de aviso no log de eventos se as datas estiverem dentro da compensação com retrocesso.
Depois de instalar as atualizações do Windows de 10 de maio de 2022, observe qualquer mensagem de aviso que possa aparecer após um mês ou mais. Se não houver mensagens de aviso, recomendamos expressamente que você habilite o modo de Imposição Total em todos os controladores de domínio usando autenticação baseada em certificado. Você pode usar a chave do Registro KDC para habilitar o modo de Imposição Total.
Modo de Imposição Completa
A menos que sejam atualizados para o modo de auditoria ou de imposição usando a chave do Registro StrongCertificateBindingEnforcement anteriormente, os controladores de domínio passarão para o modo de imposição total quando a atualização de segurança do Windows de fevereiro de 2025 for instalada. A autenticação será negada se um certificado não puder ser fortemente mapeado. A opção de voltar para o Modo de compatibilidade permanecerá até que a atualização de segurança do Windows de 9 de setembro de 2025 seja instalada. Após essa data, a chave do Registro StrongCertificateBindingEnforcement não terá mais suporte
Modo desabilitado
Se a autenticação baseada em certificado depender de um mapeamento fraco que você não pode mover do ambiente, você poderá colocar controladores de domínio no modo Desabilitado usando uma configuração de chave do Registro. A Microsoft não recomenda isso e removeremos o modo Desabilitado em 11 de abril de 2023.
Alterações padrão de Mapeamento Forte
Depois de instalar as atualizações do Windows de 13 de fevereiro de 2024 ou posteriores no Server 2019 e superior e dar suporte aos clientes com o recurso opcional RSAT instalado, o mapeamento de certificado em Usuários & Computadores do Active Directory usará como padrão a seleção de mapeamento forte usando X509IssuerSerialNumber em vez de mapeamento fraco usando X509IssuerSubject. A configuração ainda pode ser alterada conforme desejado.
Solução de problemas
Um objeto de Política de Grupo pode interferir em "mapeamentos baseados em nome"
Sintomas
A Microsoft recebeu relatórios de que a configuração "Processar mesmo que os objetos da Política de Grupo não tenham sido alterados" no objeto da Política de Grupo "Configuração> do Grupo,Modelos> Administrativos,Sistema>, Política de GrupoConfigurar o processamento de política do Registro>" pode interferir intermitentemente nos mapeamentos baseados em nome em controladores de domínio.
Solução alternativa
Para contornar esse problema, desabilite a configuração "Processar mesmo se os objetos da Política de Grupo não tiverem sido alterados" nos controladores de domínio. Faça isso somente se forem necessários mapeamentos baseados em nome, conforme definido na Política de Grupo "Configuração> do Computador,Modelos> Administrativos,Sistema>KDC>:Permitir mapeamentos fortes baseados em nome para certificados". Para obter mais informações, consulte Habilitar mapeamento forte baseado em nomes em cenários governamentais.
Próxima etapa
Estamos investigando esses relatórios e forneceremos mais informações quando estiverem disponíveis.
Falha ao entrar após a instalação das proteções CVE-2022-26931 e CVE-2022-26923
- Use o log operacional Kerberos no computador relevante para determinar qual controlador de domínio está falhando ao entrar. Vá para o Visualizador de EventosLogs\ de >Aplicativos e ServiçosSegurança do Microsoft \Windows\- Kerberos\Operacional.
- Procure eventos relevantes no Log de Eventos do Sistema no controlador de domínio no qual a conta está tentando se autenticar.
- Se o certificado for mais antigo que a conta, emita novamente o certificado ou adicione um mapeamento altSecurityIdentities seguro à conta (consulte Mapeamentos de certificado).
- Se o certificado contiver uma extensão SID, verifique se o SID corresponde à conta.
- Se o certificado estiver sendo usado para autenticar várias contas diferentes, cada conta precisará de um mapeamento altSecurityIdentities separado.
- Se o certificado não tiver um mapeamento seguro para a conta, adicione um ou deixe o domínio no modo de Compatibilidade até que um possa ser adicionado.
Falha ao autenticar usando o mapeamento de certificado TLS
Um exemplo de mapeamento de certificado TLS é usar um aplicativo Web da intranet do IIS.
- Depois de instalar as proteções CVE-2022-26391 e CVE-2022-26923 , esses cenários usam o protocolo S4U (Serviço de Certificado Kerberos para Usuário) para mapeamento e autenticação de certificado por padrão.
- No protocolo S4U do Certificado Kerberos, a solicitação de autenticação flui do servidor de aplicativos para o controlador de domínio, não do cliente para o controlador de domínio. Portanto, eventos relevantes estarão no servidor de aplicativos.
Informações da chave do Registro
Depois de instalar as proteções CVE-2022-26931 e CVE-2022-26923 nas atualizações do Windows lançadas entre 10 de maio de 2022 e 9 de setembro de 2025 ou posterior, as seguintes chaves do registro estarão disponíveis.
Chave do Registro do KDC (Centro de Distribuição de Chaves)
Essa chave do Registro não terá suporte após a instalação de atualizações para Windows lançadas em ou após setembro de 2025.
Observação
Importante
O uso dessa chave do Registro é uma solução temporária para ambientes que a exigem e deve ser feito com cautela. Usar essa chave do Registro significa o seguinte para seu ambiente:
Essa chave do Registro só funciona no Modo de compatibilidade a partir das atualizações lançadas em 10 de maio de 2022.
Essa chave do Registro não terá suporte após a instalação de atualizações para Windows lançadas em 9 de setembro de 2025.
A detecção e validação da Extensão SID usadas pela Aplicação de Associação de Certificado Forte tem uma dependência do valor UseSubjectAltName da chave do Registro KDC. A extensão SID será usada se o valor do Registro não existir ou se estiver definido como um valor de 0x1. A extensão SID não será usada se UseSubjectAltName existir e o valor estiver definido como 0x0.
| Subchave do Registro | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Valor | StrongCertificateBindingEnforcement |
| Tipo de Dados | REG_DWORD |
| Dados | 1 – verifica se há um mapeamento de certificado forte. Se sim, a autenticação é permitida. Caso contrário, o KDC irá marcar se o certificado tem a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será permitida se a conta de usuário for anterior ao certificado. 2 – verifica se há um mapeamento de certificado forte. Se sim, a autenticação é permitida. Caso contrário, o KDC irá marcar se o certificado tem a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será negada. 0 – desabilita a marca de mapeamento de certificado forte. Não recomendado porque isso desabilitará todos os aprimoramentos de segurança. Se você definir isso como 0, também deverá definir CertificateMappingMethods para 0x1F conforme descrito na seção chave de registro Schannel abaixo para que a autenticação baseada em certificado de computador seja bem-sucedida. |
| Reinicialização necessária? | Não |
Chave de registro SChannel
Quando um aplicativo de servidor requer autenticação de cliente, o Schannel tenta mapear automaticamente o certificado que o cliente TLS fornece para uma conta de usuário. Você pode autenticar usuários que entram com um certificado de cliente criando mapeamentos que relacionam as informações do certificado a uma conta de usuário do Windows. Depois de criar e habilitar um mapeamento de certificado, sempre que um cliente apresentar um certificado de cliente, o aplicativo de servidor associará automaticamente esse usuário à conta de usuário do Windows apropriada.
O Schannel tentará mapear cada método de mapeamento de certificado habilitado até que um seja bem-sucedido. O Schannel tenta mapear os mapeamentos Service-For-User-To-Self (S4U2Self) primeiro. Os mapeamentos de certificado Entidade/Emissor, Emissor e UPN agora são considerados fracos e foram desabilitados por padrão. A soma bitmasked das opções selecionadas determina a lista de métodos de mapeamento de certificados disponíveis.
O padrão de chave de registro SChannel era 0x1F e agora está 0x18. Se você tiver falhas de autenticação com aplicativos de servidor baseados em Schannel, sugerimos que execute um teste. Adicione ou modifique o valor da chave do Registro CertificateMappingMethods no controlador de domínio e defina-o como 0x1F para ver se isso resolve o problema. Procure nos logs de eventos do sistema no controlador de domínio por quaisquer erros listados neste artigo para obter mais informações. Lembre-se de que alterar o valor da chave do Registro SChannel de volta para o padrão anterior (0x1F) reverter ao uso de métodos de mapeamento de certificados fracos.
| Subchave do Registro | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
|---|---|
| Valor | CertificateMappingMethods |
| Tipo de Dados | DWORD |
| Dados | 0x0001 - Mapeamento de certificado de entidade/emissor (fraco – desabilitado por padrão) 0x0002 - Mapeamento de certificado do emissor (fraco - Desativado por padrão) 0x0004 - Mapeamento de certificado UPN (fraco – Desabilitado por padrão) 0x0008 - Mapeamento de certificado S4U2Self (forte) 0x0010 - Mapeamento de certificado explícito S4U2Self (forte) |
| Reinicialização necessária? | Não |
Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".
Chave do Registro de retrocesso de certificado
Depois de instalar as atualizações que solucionam a CVE-2022-26931 e a CVE-2022-26923, a autenticação poderá falhar nos casos em que os certificados de usuário forem anteriores à hora de criação dos usuários. Essa chave do Registro permite uma autenticação bem-sucedida quando você está usando mapeamentos de certificado fracos em seu ambiente e a hora do certificado é anterior à hora de criação do usuário dentro de um intervalo definido. Essa chave do Registro não afeta usuários ou computadores com mapeamentos de certificado fortes, pois a hora do certificado e a hora de criação do usuário não são verificadas com mapeamentos de certificado fortes. Essa chave do Registro não tem efeito quando StrongCertificateBindingEnforcement é definido como 2.
O uso dessa chave do Registro é uma solução temporária para ambientes que a exigem e deve ser feito com cautela. Usar essa chave do Registro significa o seguinte para seu ambiente:
- Essa chave do Registro só funciona no Modo de compatibilidade a partir das atualizações lançadas em 10 de maio de 2022. A autenticação será permitida dentro da compensação de retroativação, mas um aviso de log de eventos será registrado para a associação fraca.
- A habilitação dessa chave do Registro permite a autenticação do usuário quando a hora do certificado é anterior à hora de criação do usuário dentro de um intervalo definido como um mapeamento fraco. Mapeamentos fracos não terão suporte após a instalação de atualizações para Windows lançadas em ou após setembro de 2025.
| Subchave do Registro | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Valor | CertificateBackdatingCompensation |
| Tipo de Dados | REG_DWORD |
| Dados | Valores para solução alternativa em anos aproximados:
Essa chave define a diferença de tempo, em segundos, que o KDC (Centro de Distribuição de Chaves) ignorará entre a hora de emissão do certificado de autenticação e a hora de criação da conta para contas de usuário/computador. Importante Defina essa chave do Registro somente se o seu ambiente exigir. O uso dessa chave do Registro está desabilitando uma verificação de marca. |
| Reinicialização necessária? | Não |
Autoridades de Certificação Corporativas
As ACs (Autoridades de Certificação) corporativas começarão a adicionar uma nova extensão não crítica com o OID (Identificador de Objeto) (1.3.6.1.4.1.311.25.2) por padrão em todos os certificados emitidos em modelos online após a instalação da atualização do Windows de 10 de maio de 2022. Você pode interromper a adição dessa extensão definindo o bit de 0x00080000 no valor msPKI-Enrollment-Flag do modelo correspondente.
Exemplo
Você executa o seguinte comando certutil para excluir certificados do modelo de usuário de obter a nova extensão.
- Entre em um servidor de Autoridade de Certificação ou em um cliente do Windows 10 ingressado no domínio com credenciais de administrador corporativo ou equivalentes.
- Abra um prompt de comando e escolha Executar como administrador.
- Execute certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Desabilitar a adição dessa extensão removerá a proteção fornecida pela nova extensão. Considere fazer isso somente após uma das seguintes opções:
- Você confirma que os certificados correspondentes não são aceitáveis para PKINIT (Criptografia de Chave Pública para Autenticação Inicial) em autenticações de Protocolo Kerberos no KDC
- Os certificados correspondentes têm outros mapeamentos de certificados fortes configurados
Ambientes com implantações de autoridades de certificação não pertencentes à Microsoft não serão protegidos usando a nova extensão SID após a instalação da atualização do Windows de 10 de maio de 2022. Os clientes afetados devem trabalhar com os fornecedores de CA correspondentes para resolver isso ou devem considerar a utilização de outros mapeamentos de certificados fortes descritos acima.
Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".
Perguntas frequentes
Depois que a autoridade de certificação for atualizada, todos os certificados de autenticação do cliente deverão ser renovados?
Não, a renovação não é necessária. A CA será fornecida no modo de compatibilidade. Se você quiser um mapeamento forte usando a extensão ObjectSID, precisará de um novo certificado.
Como o modo de Imposição Completa afetará meu ambiente?
Na atualização do Windows de 11 de fevereiro de 2025, os dispositivos que ainda não estão em Aplicação (o valor do Registro StrongCertificateBindingEnforcement é definido como 2) serão movidos para a Imposição. Se a autenticação for negada, você verá a ID do Evento 39 (ou a ID do Evento 41 para o Windows Server 2008 R2 SP1 e o Windows Server 2008 SP2). Você terá a opção de definir o valor da chave do Registro de volta como 1 (Modo de compatibilidade) nesta fase.
Na atualização do Windows de 9 de setembro de 2025, o valor do Registro StrongCertificateBindingEnforcement não terá mais suporte.
Recursos adicionais
Para obter mais informações sobre o mapeamento de certificado do cliente TLS, consulte os seguintes artigos:
- Implementando um mapeamento forte em certificados do Intune
- Configurações do registro TLS (Transport Layer Security)
- Autenticação <de mapeamento de certificado de cliente IIS iisClientCertificateMappingAuthentication>
- Configurando mapeamentos de certificado de cliente um-para-um
- Mapeamentos de muitos para um manyToOneMappings <>
- Proteção da PKI (Infraestrutura de Chave Pública)
- Serviços de Certificado do Active Directory: Arquitetura de Autoridade de Certificação Corporativa