KB5014754: Alterações de autenticação baseada em certificado nos controladores de domínio do Windows

Não foi possível localizar mapeamentos de certificados fortes e o certificado não tinha a nova extensão de identificador de segurança (SID) que o KDC poderia validar.

Log de Eventos	Sistema
Tipo de Evento	Aviso se o KDC estiver no modo de Compatibilidade Erro se o KDC estiver no modo de Imposição
Origem do evento	Kdcsvc
ID de Evento	39 41 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). Esses certificados devem ser substituídos ou mapeados diretamente para o utilizador através do mapeamento explícito. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados: <Nome de Domínio Completamente Qualificado (FQDN) > Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado>

O certificado foi emitido para o utilizador antes de o utilizador existir no Active Directory e não foi possível encontrar um mapeamento forte. Este evento só é registado quando o KDC está no modo de Compatibilidade.

Log de Eventos	Sistema
Tipo de Evento	Erro
Origem do evento	Kdcsvc
ID de Evento	40 48 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas que não podia ser mapeado a um utilizador de forma segura (por exemplo, através de mapeamento explícito, mapeamento de fidedignidade de chave ou um SID). O certificado também antecedeu o utilizador ao qual mapeou, pelo que foi rejeitado. Veja https://go.microsoft.com/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados:> do FQDN do Emissor de < Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado> Hora de Emissão de Certificados: <FILETIME do certificado> Hora de Criação da Conta: <FILETIME do objeto principal no AD>

O SID contido na nova extensão do certificado de utilizadores não corresponde ao SID dos utilizadores, o que implica que o certificado foi emitido para outro utilizador.

Log de Eventos	Sistema
Tipo de Evento	Erro
Origem do evento	Kdcsvc
ID de Evento	41 49 (Para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um certificado de utilizador que era válido, mas continha um SID diferente do utilizador para o qual mapeou. Como resultado, o pedido que envolve o certificado falhou. Veja https://go.microsoft.cm/fwlink/?linkid=2189925 para saber mais. Utilizador: <nome principal> SID do Utilizador: <SID do principal de autenticação> Requerente do Certificado: <nome do Requerente no> de Certificado Emissor de Certificados:> do FQDN do Emissor de < Número de Série do Certificado: <Número de Série de> de Certificado Thumbprint do Certificado: <Thumbprint do Certificado> SID do Certificado: <SID encontrado na nova Extensão de Certificado>

Observação Determinados campos, como Emissor, Assunto e Número de Série, são comunicados num formato "reencaminhar". Tem de inverter este formato quando adicionar a cadeia de mapeamento ao atributo altSecurityIdentities . Por exemplo, para adicionar o mapeamento X509IssuerSerialNumber a um utilizador, pesquise os campos "Emissor" e "Número de Série" do certificado que pretende mapear para o utilizador. Veja o resultado de exemplo abaixo.

• Emissor: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC0000000012

Em seguida, atualize o atributo altSecurityIdentities do utilizador no Active Directory com a seguinte cadeia:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Para atualizar este atributo com o PowerShell, poderá utilizar o comando abaixo. Tenha em atenção que, por predefinição, apenas os administradores de domínio têm permissão para atualizar este atributo.

• set-aduser 'DomainUser' -substitua @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Tenha em atenção que, quando inverter o SerialNumber, tem de manter a ordem de bytes. Isto significa que reverter o SerialNumber "A1B2C3" deve resultar na cadeia "C3B2A1" e não "3C2B1A". Para obter mais informações, veja HowTo: Mapear um utilizador para um certificado através de todos os métodos disponíveis no atributo altSecurityIdentities.

Depois de instalar as atualizações de 10 de maio de 2022 do Windows, os dispositivos estarão no modo de Compatibilidade. Se um certificado puder ser fortemente mapeado para um utilizador, a autenticação ocorrerá conforme esperado. Se um certificado só puder ser mapeado de forma fraca para um utilizador, a autenticação ocorrerá conforme esperado. No entanto, será registada uma mensagem de aviso, a menos que o certificado seja mais antigo do que o utilizador. Se o certificado for mais antigo do que o utilizador e a chave de registo de Backdating de Certificados não estiver presente ou se o intervalo estiver fora da compensação de backdating, a autenticação falhará e será registada uma mensagem de erro.  Se a chave de registo de Backdating do Certificado estiver configurada, registará uma mensagem de aviso no registo de eventos se as datas se enquadrarem na compensação de backdating.

Depois de instalar a atualização de 10 de maio de 2022 do Windows, procure qualquer mensagem de aviso que possa aparecer após um mês ou mais. Se não existirem mensagens de aviso, recomendamos vivamente que ative o modo de Imposição Total em todos os controladores de domínio através da autenticação baseada em certificados. Pode utilizar a chave de registo KDC para ativar o modo de Imposição Total.

A menos que seja atualizado para o Modo de auditoria ou modo de imposição com a chave de registo StrongCertificateBindingEnforcement anteriormente, os controladores de domínio serão movidos para o modo de Imposição Completa quando a atualização de segurança do Windows de fevereiro de 2025 estiver instalada. A autenticação será negada se não for possível mapear fortemente um certificado. A opção para voltar ao modo de Compatibilidade permanecerá até à instalação da atualização de segurança do Windows de 9 de setembro de 2025. Após esta data, a chave de registo StrongCertificateBindingEnforcement deixará de ser suportada

Se a autenticação baseada em certificado depender de um mapeamento fraco que não pode mover do ambiente, pode colocar controladores de domínio no modo Desativado através de uma definição de chave de registo. A Microsoft não o recomenda e iremos remover o modo Desativado a 11 de abril de 2023.

Depois de instalar as atualizações do Windows de 13 de fevereiro de 2024 ou posteriores no Server 2019 e superior e os clientes suportados com a funcionalidade opcional RSAT instalada, o mapeamento de certificados em Utilizadores do Active Directory & Computadores irá, por predefinição, selecionar o mapeamento forte utilizando o X509IssuerSerialNumber em vez de um mapeamento fraco utilizando o X509IssuerSubject. A definição ainda pode ser alterada conforme pretendido.

Sintomas

A Microsoft recebeu relatórios de que a definição "Processar mesmo que os objetos Política de Grupo não tenham sido alterados" no objeto de Política de Grupo "Configuração do Computador > Modelos Administrativos > Sistema > Política de Grupo > Configurar o processamento de políticas de registo" pode interferir intermitentemente com os mapeamentos baseados em nomes em controladores de domínio.

Solução alternativa

Para contornar este problema, desative a definição "Processar mesmo que os objetos Política de Grupo não tenham sido alterados" nos controladores de domínio. Faça-o apenas se forem necessários mapeamentos baseados em nomes, conforme definido no Política de Grupo "Configuração do Computador > Modelos Administrativos > Sistema > KDC > Permitir mapeamentos fortes baseados em nomes para certificados". Para obter mais informações, veja Ativar o mapeamento baseado em nomes forte em cenários governamentais.

Próxima etapa

Estamos a investigar estes relatórios e forneceremos mais informações quando estiverem disponíveis.

• Utilize o registo Operacional kerberos no computador relevante para determinar que controlador de domínio está a falhar o início de sessão. Aceda a Visualizador de Eventos > Registos de Aplicações e Serviços\Microsoft \Windows\Security-Kerberos\Operational.

• Procure eventos relevantes no Registo de Eventos do Sistema no controlador de domínio no qual a conta está a tentar autenticar-se.

• Se o certificado for mais antigo do que a conta, reedita o certificado ou adicione um mapeamento altSecurityIdentities seguro à conta (veja Mapeamentos de certificados).

• Se o certificado contiver uma extensão sid, verifique se o SID corresponde à conta.

• Se o certificado estiver a ser utilizado para autenticar várias contas diferentes, cada conta precisará de um mapeamento altSecurityIdentities separado.

• Se o certificado não tiver um mapeamento seguro para a conta, adicione um ou deixe o domínio no modo de Compatibilidade até que um possa ser adicionado.

Um exemplo de mapeamento de certificados TLS é a utilização de uma aplicação Web da intranet do IIS.

• Depois de instalar as proteções CVE-2022-26391 e CVE-2022-26923 , estes cenários utilizam o protocolo Kerberos Certificate Service for User (S4U) para mapeamento e autenticação de certificados por predefinição.

• No protocolo Kerberos Certificate S4U, o pedido de autenticação flui do servidor da aplicação para o controlador de domínio e não do cliente para o controlador de domínio. Por conseguinte, os eventos relevantes estarão no servidor da aplicação.

Essa chave do registro não terá suporte após a instalação de atualizações para o Windows lançadas em ou após setembro de 2025.

Subchave do Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valor	StrongCertificateBindingEnforcement
Tipo de Dados	REG_DWORD
Dados	1 – Verifica se há um forte mapeamento de certificado. Se sim, a autenticação será permitida. Caso contrário, o KDC marcar se o certificado tiver a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será permitida se a conta de usuário anteceder o certificado. 2 – Verifica se há um forte mapeamento de certificado. Se sim, a autenticação será permitida. Caso contrário, o KDC marcar se o certificado tiver a nova extensão SID e validá-lo. Se essa extensão não estiver presente, a autenticação será negada. 0 – Desabilita marcar de mapeamento de certificado forte. Não recomendado porque isso desabilitará todos os aprimoramentos de segurança. Se você definir isso como 0, também deverá definir CertificateMappingMethods como 0x1F conforme descrito na seção Chave do Registro do Schannel abaixo para que a autenticação baseada em certificado de computador tenha êxito..
Reiniciar obrigatório?	Não

Quando um aplicativo de servidor requer autenticação do cliente, o Schannel tenta mapear automaticamente o certificado que o cliente TLS fornece para uma conta de usuário. Você pode autenticar usuários que entrem com um certificado de cliente criando mapeamentos que relacionam as informações de certificado a uma conta de usuário do Windows. Depois de criar e habilitar um mapeamento de certificado, sempre que um cliente apresenta um certificado de cliente, seu aplicativo de servidor associa automaticamente esse usuário à conta de usuário apropriada do Windows.

O Schannel tentará mapear cada método de mapeamento de certificado habilitado até que um seja bem-sucedido. O Schannel tenta mapear primeiro os mapeamentos do Service-For-User-To-Self (S4U2Self). Os mapeamentos de certificados Subject/Issuer, Issuer e UPN agora são considerados fracos e foram desabilitados por padrão. A soma bitmasked das opções selecionadas determina a lista de métodos de mapeamento de certificado que estão disponíveis.

O padrão da chave de registro do SChannel foi 0x1F e agora está 0x18. Se você tiver falhas de autenticação com aplicativos de servidor baseados em Schannel, sugerimos que você realize um teste. Adicione ou modifique o valor da chave do registro CertificateMappingMethods no controlador de domínio e defina-o como 0x1F e veja se isso resolve o problema. Procure nos logs de eventos do Sistema no controlador de domínio para obter mais informações sobre os erros listados neste artigo. Lembre-se de que alterar o valor da chave do registro do SChannel de volta para o padrão anterior (0x1F) reverter usar métodos fracos de mapeamento de certificado.

Subchave do Registro	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Valor	CertificateMappingMethods
Tipo de Dados	DWORD
Dados	0x0001 – Mapeamento de certificado do sujeito/emissor (fraco – desabilitado por padrão) 0x0002 – Mapeamento de certificado do emissor (fraco – desabilitado por padrão) 0x0004 – mapeamento de certificado UPN (fraco – desabilitado por padrão) 0x0008 – Mapeamento de certificado S4U2Self (forte) 0x0010 - Mapeamento de certificado explícito do S4U2Self (forte)
Reiniciar obrigatório?	Não

Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".

Depois de instalar atualizações que abordam cve-2022-26931 e CVE-2022-26923, a autenticação pode falhar nos casos em que os certificados de usuário são mais antigos que o tempo de criação dos usuários. Essa chave de registro permite a autenticação bem-sucedida quando você está usando mapeamentos de certificado fracos em seu ambiente e o tempo de certificado é antes do tempo de criação do usuário dentro de um intervalo definido. Essa chave de registro não afeta usuários ou computadores com mapeamentos fortes de certificado, pois a hora do certificado e a hora de criação do usuário não são verificadas com mapeamentos fortes de certificados. Essa chave de registro não tem nenhum efeito quando StrongCertificateBindingEnforcement é definido como 2.

O uso dessa chave de registro é uma solução alternativa temporária para ambientes que exigem e devem ser feitos com cuidado. Usar essa chave do registro significa o seguinte para seu ambiente:

• Essa chave de registro só funciona no modo de compatibilidade a partir das atualizações lançadas em 10 de maio de 2022. A autenticação será permitida no deslocamento de compensação de backdating, mas um aviso de log de eventos será registrado para a associação fraca.

• Habilitar essa chave de registro permite a autenticação do usuário quando a hora do certificado é antes do tempo de criação do usuário dentro de um intervalo de conjunto como um mapeamento fraco. Mapeamentos fracos não serão suportados após a instalação de atualizações para Windows lançadas em ou após setembro de 2025.

Subchave do Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Valor	CertificateBackdatingCompensation
Tipo de Dados	REG_DWORD
Dados	Valores para solução alternativa em anos aproximados: 50 anos: 0x5E0C89C0 25 anos: 0x2EFE0780 10 anos: 0x12CC0300 5 anos: 0x9660180 3 anos: 0x5A39A80 1 ano: 0x1E13380 Observação Se você souber o tempo de vida dos certificados em seu ambiente, defina essa chave de registro como um pouco mais longa do que o tempo de vida do certificado.  Se você não souber o tempo de vida do certificado para seu ambiente, defina essa chave do registro como 50 anos. O padrão é 10 minutos quando essa chave não está presente, que corresponde ao ADCS (Active Directory Certificate Services). O valor máximo é de 50 anos (0x5E0C89C0). Essa chave define a diferença de tempo, em segundos, que o Centro de Distribuição de Chaves (KDC) ignorará entre um tempo de problema de certificado de autenticação e o tempo de criação da conta para contas de usuário/computador. Importante Apenas defina essa chave de registro se o ambiente exigir. Usar essa chave de registro está desabilitando um marcar de segurança.
Reiniciar obrigatório?	Não

Você executa o seguinte comando certutil para excluir certificados do modelo de usuário de obter a nova extensão.

1. Entre em um servidor da Autoridade de Certificado ou em um cliente Windows 10 ingressado no domínio com o administrador da empresa ou as credenciais equivalentes.

2. Abra um prompt de comando e escolha Executar como administrador.

3. Execute certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Desabilitar a adição dessa extensão removerá a proteção fornecida pela nova extensão. Considere fazer isso somente após um dos seguintes procedimentos:

1. Você confirma que os certificados correspondentes não são aceitáveis para criptografia de chave pública para autenticação inicial (PKINIT) em autenticações de protocolo Kerberos no KDC

2. Os certificados correspondentes têm outros mapeamentos de certificado fortes configurados

Ambientes que não têm implantações de AC da Microsoft não serão protegidos usando a nova extensão SID depois de instalar a atualização do Windows de 10 de maio de 2022. Os clientes afetados devem trabalhar com os fornecedores de AC correspondentes para resolver isso ou devem considerar a utilização de outros mapeamentos de certificado fortes descritos acima. 

Para obter recursos e suporte adicionais, consulte a seção "Recursos adicionais".

Não, a renovação não é necessária. A AC será enviada no modo de compatibilidade. Se você quiser um mapeamento forte usando a extensão ObjectSID, precisará de um novo certificado.

No dia 11 de fevereiro de 2025, a atualização do Windows, os dispositivos que ainda não estão em Enforcement (StrongCertificateBindingEnforcement registry value está definido como 2), serão movidos para Enforcement. Se a autenticação for negada, você verá a ID do Evento 39 (ou A ID do Evento 41 para Windows Server 2008 R2 SP1 e Windows Server 2008 SP2). Você terá a opção de definir o valor da chave do registro de volta como 1 (modo de compatibilidade) nesta fase.

Na atualização do Windows de 9 de setembro de 2025, o valor do registro StrongCertificateBindingEnforcement não terá mais suporte. ​​​​​​​