Conectați-vă cu Microsoft
Conectați-vă sau creați un cont.
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

ACTUALIZAT

  • 8.12.22: A modificat data modului de impunere completă de la 9 mai 2023 la 14 noiembrie 2023 sau mai recentă

  • 26.01.23: A fost modificată eliminarea modului dezactivat din 14 februarie 2023 până la 11 aprilie 2023

Rezumat

CVE-2022-34691,CVE-2022-26931 și CVE-2022-26923 tratează o vulnerabilitate de sporire a privilegiilor care poate apărea atunci când Centrul de distribuire Kerberos (KDC) asigură service pentru o solicitare de autentificare bazată pe certificat. Înainte de actualizarea de securitate din 10 mai 2022, autentificarea bazată pe certificate nu ar fi cont pentru semnul dolar ($) la sfârșitul numelui computerului. Acest lucru permitea emularea (falsificarea) certificatelor asociate în diverse moduri. În plus, conflictele dintre Numele principale de utilizator (UPN) și sAMAccountName au introdus alte vulnerabilități de emulare (falsificare) pe care le rezolvăm și cu această actualizare de securitate.

Luați măsuri

Pentru a vă proteja mediul, parcurgeți următorii pași pentru autentificarea bazată pe certificat:

  1. Actualizați toate serverele care rulează Active Directory Certificate Services și controlerele de domeniu Windows pentru autentificarea bazată pe certificate de serviciu cu actualizarea din 10 mai 2022 (consultați Modul compatibilitate). Actualizarea din 10 mai 2022 va furniza evenimente de audit care identifică certificatele care nu sunt compatibile cu modul Impunere completă.

  2. Dacă nu sunt create jurnale de evenimente de auditare pe controlerele de domeniu timp de o lună după instalarea actualizării, continuați cu activarea modului Impunere completă pe toate controlerele de domeniu. Până la 14 noiembrie 2023 sau o versiune mai recentă, toate dispozitivele vor fi actualizate la modul Impunere completă. În acest mod, dacă un certificat nu reușește criteriile de mapare puternice (securizate) (consultați Mapările certificatelor), autentificarea va fi refuzată.

Evenimente de audit

Actualizarea Windows din 10 mai 2022 adaugă următoarele jurnale de evenimente.

Nu s-au găsit mapări puternice ale certificatelor și certificatul nu a avut extensia identificatorului de securitate nou (SID) pe care KDC o poate valida.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment dacă KDC este în modul Compatibilitate

Eroare dacă KDC este în modul Impunere

Sursa de eveniment

Kdcsvc

ID eveniment

39

41 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2)

Text eveniment

Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Astfel de certificate ar trebui fie înlocuite, fie mapate direct la utilizator prin mapare explicită. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe.

Utilizator: <nume principal>

Subiectul certificatului: <numele subiectului în> certificatului

Emitent certificat: <emitent cu nume de domeniu complet calificat (FQDN)>

Număr de serie certificat: <numărul de serie al> certificatului

Amprenta certificatului: <amprenta certificatului>

Certificatul a fost emis pentru utilizator înainte ca utilizatorul să existe în Active Directory și nu s-a găsit nicio mapare puternică. Acest eveniment este înregistrat în jurnal doar atunci când KDC este în modul Compatibilitate.

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa de eveniment

Kdcsvc

ID eveniment

40

48 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2

Text eveniment

Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Certificatul a precedat și utilizatorul la care a mapat, așa că a fost respins. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe.

Utilizator: <nume principal>

Subiectul certificatului: <numele subiectului în> certificatului

Emitent certificat:> FQDN al emitentului <

Număr de serie certificat: <numărul de serie al> certificatului

Amprenta certificatului: <amprenta certificatului>

Ora emiterii certificatului: <FILETIME al certificatului>

Ora creării contului: <FILETIME al obiectului principal din> AD

SID-ul conținut în noua extensie a certificatului utilizatorilor nu corespunde SID-ului utilizatorilor, ceea ce implică faptul că certificatul a fost emis pentru un alt utilizator.

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa de eveniment

Kdcsvc

ID eveniment

41

49 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2)

Text eveniment

Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator care era valid, dar conținea un SID diferit de utilizatorul la care a mapat. Prin urmare, solicitarea care implică certificatul nu a reușit. Consultați https://go.microsoft.cm/fwlink/?linkid=2189925 pentru a afla mai multe.

Utilizator: <nume principal>

SID utilizator: <SID al> principal de autentificare

Subiectul certificatului: <numele subiectului în> certificatului

Emitent certificat:> FQDN al emitentului <

Număr de serie certificat: <numărul de serie al> certificatului

Amprenta certificatului: <amprenta certificatului>

SID certificat: <SID găsit în noul> de extensie de certificat

Mapări de certificate

Administratorii de domeniu pot mapa manual certificatele la un utilizator din Active Directory utilizând atributul altSecurityIdentities al obiectului utilizatorilor. Există șase valori acceptate pentru acest atribut, trei mapări fiind considerate slabe (nesigure) și celelalte trei considerate puternice. În general, tipurile de mapare sunt considerate puternice dacă se bazează pe identificatori pe care nu îi puteți reutiliza. Prin urmare, toate tipurile de mapare bazate pe nume de utilizator și adrese de e-mail sunt considerate slabe.

Cartografiere

Exemplu

Tip

Observaţii

X509IssuerSubject

"X509:<am>IssuerName<S>SubjectName"

Slab

X509SubjectOnly

"X509:<S>SubjectName"

Slab

X509RFC822

"X509:<RFC822>user@contoso.com"

Slab

Adresă de e-mail

Număr X509IssuerSerialNumber

"X509:<am>IssuerName<>1234567890 SR"

Puternic

Recomandate

X509SKI

"X509:<ski>123456789abcdef"

Puternic

Cheie X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Puternic

Dacă clienții nu pot reissue certificate cu noua extensie SID, vă recomandăm să creați o mapare manuală utilizând una dintre mapările puternice descrise mai sus. Puteți face acest lucru adăugând șirul de mapare corespunzător la un atribut de utilizatori altSecurityIdentities din Active Directory.

Notă Anumite câmpuri, cum ar fi Emitent, Subiect și Număr serial, sunt raportate într-un format "redirecționare". Trebuie să inversați acest format atunci când adăugați șirul de mapare la atributul altSecurityIdentities . De exemplu, pentru a adăuga maparea X509IssuerSerialNumber la un utilizator, căutați în câmpurile "Emitent" și "Număr de serie" ale certificatului pe care doriți să-l mapați la utilizator. Vedeți rezultatul eșantionului de mai jos.

  • Emitent: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Număr Serial: 2B0000000011AC0000000012

Apoi actualizați atributul altSecurityIdentities al utilizatorului în Active Directory cu următorul șir:

  • "X509:<am>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Pentru a actualiza acest atribut utilizând Powershell, puteți utiliza comanda de mai jos. Rețineți că, în mod implicit, doar administratorii de domeniu au permisiunea de a actualiza acest atribut.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}

Rețineți că, atunci când inversați număr SerialNumber, trebuie să păstrați ordinea byților. Aceasta înseamnă că inversarea numărului serial "A1B2C3" ar trebui să aibă ca rezultat șirul "C3B2A1" și nu "3C2B1A". Pentru mai multe informații, consultați Cum să: Mapați un utilizator la un certificat prin toate metodele disponibile în atributul altSecurityIdentities.

Cronologie pentru actualizări Windows

Important Faza de activare începe cu actualizările din 11 aprilie 2023 pentru Windows, care vor ignora setarea cheii de registry pentru modul dezactivat. 

După ce ați instalat actualizările Windows din 10 mai 2022, dispozitivele vor fi în modul Compatibilitate. Dacă un certificat poate fi mapat puternic la un utilizator, autentificarea va avea loc așa cum vă așteptați. Dacă un certificat poate fi mapat slab doar la un utilizator, autentificarea va avea loc așa cum vă așteptați. Totuși, un mesaj de avertizare va fi înregistrat în jurnal dacă certificatul nu este mai vechi decât utilizatorul. Dacă certificatul este mai vechi decât utilizatorul și cheia de registry De rezervă certificat nu este prezentă sau zona se află în afara compensării de backup, autentificarea nu va reuși și se va înregistra un mesaj de eroare.  Dacă cheia de registry Certificate Backdating este configurată, aceasta va înregistra un mesaj de avertisment în jurnalul de evenimente dacă datele se încadrează în compensarea de rezervă.

După ce instalați actualizările Windows din 10 mai 2022, urmăriți dacă apar mesaje de avertizare după o lună sau mai mult. Dacă nu există mesaje de avertizare, vă recomandăm ferm să activați modul Impunere completă pe toate controlerele de domeniu care utilizează autentificarea bazată pe certificate. Puteți utiliza cheia de registry KDC pentru a activa modul Impunere completă.

Cu excepția cazului în care am actualizat la acest mod mai devreme, vom actualiza toate dispozitivele la modul Impunere completă până la 14 noiembrie 2023 sau o versiune mai recentă. Dacă un certificat nu poate fi mapat puternic, autentificarea va fi refuzată.

Dacă autentificarea bazată pe certificate se bazează pe o mapare slabă pe care nu o puteți muta din mediu, puteți plasa controlerele de domeniu în modul Dezactivat utilizând o setare de cheie de registry. Microsoft nu recomandă acest lucru și vom elimina modul Dezactivat pe 11 aprilie 2023.

Depanare

  • Utilizați jurnalul operațional Kerberos de pe computerul relevant pentru a determina ce controler de domeniu nu reușește conectarea. Accesați Vizualizator evenimente > Jurnale de aplicații și servicii\Microsoft \Windows\Security-Kerberos\Operational.

  • Căutați evenimente relevante în jurnalul de evenimente de sistem de pe controlerul de domeniu pentru care contul încearcă să se autentifice.

  • Dacă certificatul este mai vechi decât contul, reeșuați certificatul sau adăugați o mapare securizată altSecurityIdentities la cont (consultați Mapări certificate).

  • Dacă certificatul conține o extensie SID, verificați dacă SID se potrivește contului.

  • Dacă certificatul este utilizat pentru a autentifica mai multe conturi diferite, fiecare cont va avea nevoie de o mapare separată a entităților altSecurityId .

  • Dacă certificatul nu are o mapare securizată la cont, adăugați una sau lăsați domeniul în Modul compatibilitate până când se poate adăuga una.

Un exemplu de mapare a certificatelor TLS utilizează o aplicație web intranet IIS.

  • După instalarea protecțiilor CVE-2022-26391 și CVE-2022-26923 , aceste scenarii utilizează protocolul Kerberos Certificate Service for User (S4U) pentru maparea și autentificarea certificatelor în mod implicit.

  • În protocolul Kerberos Certificate S4U, solicitarea de autentificare continuă de la serverul de aplicație la controlerul de domeniu, nu de la client la controlerul de domeniu. Prin urmare, evenimentele relevante vor fi pe serverul aplicației.

Informații despre cheia de registry

După ce instalați protecțiile CVE-2022-26931 și CVE-2022-26923 în actualizările Windows lansate între 10 mai 2022 și 14 noiembrie 2023 sau mai recente, sunt disponibile următoarele chei de registry.

Această cheie de registry modifică modul de impunere al KDC la modul Dezactivat, Mod compatibilitate sau Impunere completă.

Important

Utilizarea acestei chei de registry este o soluție temporară pentru mediile care o solicită și trebuie efectuată cu atenție. Utilizarea acestei chei de registry înseamnă următoarele pentru mediul dvs.:

  • Această cheie de registry funcționează doar în modul compatibilitate, începând cu actualizările lansate pe 10 mai 2022.

  • Această cheie de registry nu va fi acceptată după instalarea actualizărilor pentru Windows lansate pe 14 noiembrie 2023 sau mai târziu, ceea ce va activa modul Impunere completă.

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valoare

StrongCertificateBindingEnforcement

Tip de date

REG_DWORD

Date

1 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este permisă dacă contul de utilizator precedă certificatul.

2 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este refuzată.

0 – Dezactivează verificarea puternică a mapării certificatelor. Nu se recomandă, deoarece acest lucru va dezactiva toate îmbunătățirile de securitate.

Dacă setați această setare la 0, trebuie, de asemenea, să setați CertificateMappingMethods la 0x1F așa cum este descris în secțiunea cheie de registry Schannel de mai jos pentru ca autentificarea bazată pe certificat de computer să reușească.

Repornire necesară?

Nu

Atunci când o aplicație server necesită autentificarea clientului, Schannel încearcă automat să mapeze certificatul pe care clientul TLS îl furnizează unui cont de utilizator. Puteți autentifica utilizatorii care se conectează cu un certificat de client prin crearea de mapări care asociaează informațiile despre certificat cu un cont de utilizator Windows. După ce creați și activați maparea unui certificat, de fiecare dată când un client prezintă un certificat de client, aplicația server asociază automat acel utilizator cu contul de utilizator Windows corespunzător.

Schannel va încerca să mapeze fiecare metodă de mapare a certificatului pe care ați activat-o până când reușește una. Schannel încearcă să mapeze mai întâi mapările Service-For-User-To-Self (S4U2Self). Mapările de certificate Subiect/Emitent, Emitent și UPN sunt considerate slabe și au fost dezactivate în mod implicit. Suma cu mască de biți a opțiunilor selectate determină lista de metode de mapare a certificatelor disponibile.

Cheia de registry SChannel implicită a fost 0x1F și este acum 0x18. Dacă întâmpinați erori de autentificare cu aplicațiile server bazate pe Schannel, vă sugerăm să efectuați un test. Adăugați sau modificați valoarea cheii de registry CertificateMappingMethods de pe controlerul de domeniu și setați-o la 0x1F și vedeți dacă aceasta tratează problema. Căutați erorile listate în acest articol în jurnalele de evenimente de sistem de pe controlerul de domeniu pentru mai multe informații. Rețineți că modificarea valorii cheii de registry SChannel înapoi la valoarea implicită anterioară (0x1F) va reveni la utilizarea metodelor slabe de mapare a certificatelor.

Subcheie de registry

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Valoare

CertificateMappingMethods

Tip de date

DWORD

Date

0x0001 - maparea certificatului subiect/emitent (slabă - dezactivată în mod implicit)

0x0002 - maparea certificatului emitentului (slabă - dezactivată în mod implicit)

0x0004 - maparea certificatelor UPN (slabă - dezactivată în mod implicit)

0x0008 - S4U2Self certificate mapping (strong)

0x0010 - S4U2Self maparea explicită a certificatului (strong)

Repornire necesară?

Nu

Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".

După ce instalați actualizările care adresă CVE-2022-26931 și CVE-2022-26923, autentificarea poate să nu reușească în cazurile în care certificatele de utilizator sunt mai vechi decât timpul de creare a utilizatorilor. Această cheie de registry permite autentificarea reușită atunci când utilizați mapări slabe ale certificatelor în mediul dvs., iar timpul certificatului este înainte de ora creării utilizatorului într-un interval setat. Această cheie de registry nu afectează utilizatorii sau mașinile cu mapări puternice de certificate, deoarece ora certificatului și ora creării utilizatorului nu sunt verificate cu mapări puternice de certificate. Această cheie de registry nu are niciun efect atunci când StrongCertificateBindingEnforcement este setat la 2.

Utilizarea acestei chei de registry este o soluție temporară pentru mediile care o solicită și trebuie efectuată cu atenție. Utilizarea acestei chei de registry înseamnă următoarele pentru mediul dvs.:

  • Această cheie de registry funcționează doar în modul compatibilitate , începând cu actualizările lansate pe 10 mai 2022. Autentificarea va fi permisă în compensarea cu backdating, dar un avertisment de jurnal de evenimente va fi înregistrat în jurnal pentru legarea slabă.

  • Activarea acestei chei de registry permite autentificarea utilizatorului atunci când timpul certificatului este înainte de ora creării utilizatorului într-un interval setat, ca o mapare slabă. Mapările slabe nu vor fi acceptate după instalarea actualizărilor pentru Windows lansate pe 14 noiembrie 2023 sau mai târziu, ceea ce va activa modul Impunere completă.

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Valoare

CertificateBackdatingCompensation

Tip de date

REG_DWORD

Date

Valori pentru soluție de evitare în aproximativ ani:

  • 50 de ani: 0x5E0C89C0

  • 25 de ani: 0x2EFE0780

  • 10 ani: 0x12CC0300

  • 5 ani: 0x9660180

  • 3 ani: 0x5A39A80

  • 1 an: 0x1E13380

Notă Dacă știți durata de viață a certificatelor în mediul dvs., setați această cheie de registry la puțin mai lungă decât durata de viață a certificatului.  Dacă nu cunoașteți duratele de viață ale certificatelor pentru mediul dvs., setați această cheie de registry la 50 de ani. Implicit la 10 minute atunci când această cheie nu este prezentă, care se potrivește cu Active Directory Certificate Services (ADCS). Valoarea maximă este de 50 de ani (0x5E0C89C0).

Această cheie setează diferența de timp, în secunde, pe care Centrul de distribuire a cheilor (KDC) o va ignora între ora emiterii unui certificat de autentificare și timpul de creare a contului pentru conturile de utilizator/computer.

Important Setați această cheie de registry doar dacă mediul dvs. necesită acest lucru. Utilizarea acestei chei de registry dezactivează o verificare de securitate.

Repornire necesară?

Nu

Autorități de certificare de întreprindere

Autoritățile de certificare de întreprindere (CA) vor începe să adauge o nouă extensie non-critică cu Object Identifier (OID) (1.3.6.1.4.1.311.25.2) în mod implicit în toate certificatele emise pentru șabloanele online după ce instalați actualizarea Windows din 10 mai 2022. Puteți opri adăugarea acestei extensii setând 0x00080000 bit în valoarea msPKI-Enrollment-Flag a șablonului corespunzător.

Rulați următoarea comandă certutil pentru a exclude certificatele șablonului de utilizator de la obținerea noii extensii.

  1. Conectați-vă la un server de autoritate de certificare sau la un client Windows 10 asociat la domeniu cu administratorul de întreprindere sau cu acreditările echivalente.

  2. Deschideți o linie de comandă și alegeți Rulare ca administrator.

  3. Rulați certutil -dstemplate utilizator msPKI-Enrollment-Flag +0x00080000. 

Dezactivarea adăugării acestei extensii va elimina protecția oferită de noua extensie. Luați în considerare acest lucru doar după una dintre următoarele:

  1. Confirmați că certificatele corespunzătoare nu sunt acceptate pentru Criptografia cheilor publice pentru autentificarea inițială (PKINIT) în autentificările protocolului Kerberos la KDC

  2. Certificatele corespunzătoare au configurate alte mapări puternice ale certificatelor

Mediile care au implementări non-Microsoft CA nu vor fi protejate utilizând noua extensie SID după instalarea actualizării Windows din 10 mai 2022. Clienții afectați ar trebui să lucreze cu distribuitorii ca corespunzători pentru a rezolva această problemă sau ar trebui să ia în considerare utilizarea altor mapări puternice de certificate descrise mai sus.

Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".

Întrebări frecvente

Nu, reînnoirea nu este necesară. Ca va fi livrată în modul Compatibilitate. Dacă doriți o mapare puternică utilizând extensia ObjectSID, veți avea nevoie de un certificat nou.

Resurse suplimentare

Pentru mai multe informații despre maparea certificatelor de client TLS, consultați următoarele articole:

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele

Explorați instruirea >

Fiți primul care obține noile caracteristici

Alăturați-vă la Microsoft Insider >

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?

Vă mulțumim pentru feedback!

×