KB5014754 — изменения проверки подлинности на основе сертификата в контроллерах домена Windows

Не удалось найти надежных сопоставлений сертификатов, и у сертификата не было нового расширения идентификатора безопасности (SID), которое может проверить KDC.

Журнал событий	Система
Тип события	Предупреждение, если KDC находится в режиме совместимости Ошибка, если KDC находится в режиме принудительного применения
Источник события	Kdcsvc
Идентификатор события	39 41 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)
Текст события	Центр распространения ключей (KDC) обнаружил сертификат пользователя, который был действительным, но не мог быть сопоставлен с пользователем строго (например, с помощью явного сопоставления, сопоставления доверия ключа или идентификатора безопасности). Такие сертификаты следует заменить или сопоставить непосредственно с пользователем с помощью явного сопоставления. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2189925. Пользователь: <имя субъекта> Субъект сертификата: <имя субъекта в> сертификата Издатель сертификата: <издателя полное доменное имя (FQDN) > Серийный номер сертификата: <серийный номер> сертификата Отпечаток сертификата: <отпечаток сертификата>

Сертификат был выдан пользователю до того, как пользователь существовал в Active Directory, и не удалось найти надежное сопоставление. Это событие регистрируется только в том случае, если KDC находится в режиме совместимости.

Журнал событий	Система
Тип события	Ошибка
Источник события	Kdcsvc
Идентификатор события	40 48 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)
Текст события	Центр распространения ключей (KDC) обнаружил сертификат пользователя, который был действительным, но не мог быть сопоставлен с пользователем строго (например, с помощью явного сопоставления, сопоставления доверия ключа или идентификатора безопасности). Сертификат также предшествовал пользователю, с который он сопоставлен, поэтому он был отклонен. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2189925. Пользователь: <имя субъекта> Субъект сертификата: <имя субъекта в> сертификата Издатель сертификата: полное доменное имя издателя <> Серийный номер сертификата: <серийный номер> сертификата Отпечаток сертификата: <отпечаток сертификата> Время выдачи сертификата: <FILETIME> сертификата Время создания учетной записи: <FILETIME объекта-участника в AD>

Идентификатор безопасности, содержащийся в новом расширении сертификата пользователей, не соответствует идентификатору безопасности пользователей, что означает, что сертификат был выдан другому пользователю.

Журнал событий	Система
Тип события	Ошибка
Источник события	Kdcsvc
Идентификатор события	41 49 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)
Текст события	Центр распространения ключей (KDC) обнаружил сертификат пользователя, который был действительным, но содержал идентификатор безопасности, отличный от идентификатора безопасности пользователя, с которым он сопоставлен. В результате не удалось выполнить запрос с использованием сертификата. Дополнительные сведения см. в https://go.microsoft.cm/fwlink/?linkid=2189925. Пользователь: <имя субъекта> Идентификатор безопасности пользователя: <идентификатор безопасности> субъекта проверки подлинности Субъект сертификата: <имя субъекта в> сертификата Издатель сертификата: полное доменное имя издателя <> Серийный номер сертификата: <серийный номер> сертификата Отпечаток сертификата: <отпечаток сертификата> Идентификатор безопасности сертификата: <идентификатор безопасности, найденный в новом> расширения сертификата

Примечание Некоторые поля, такие как "Издатель", "Тема" и "Серийный номер", передаются в формате "вперед". Этот формат необходимо отменить при добавлении строки сопоставления в атрибут altSecurityIdentities . Например, чтобы добавить сопоставление X509IssuerSerialNumber для пользователя, выполните поиск в полях "Издатель" и "Серийный номер" сертификата, который вы хотите сопоставить с пользователем. См. пример выходных данных ниже.

• Издатель: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B000000011AC0000000012

Затем обновите атрибут altSecurityIdentities пользователя в Active Directory, указав следующую строку:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Чтобы обновить этот атрибут с помощью PowerShell, можно использовать приведенную ниже команду. Помните, что по умолчанию только администраторы домена имеют разрешение на обновление этого атрибута.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC110000000002B"}

Обратите внимание, что при обратном изменении номера SerialNumber необходимо сохранить порядок байтов. Это означает, что при отмене номера SerialNumber "A1B2C3" должна быть строка "C3B2A1", а не "3C2B1A". Дополнительные сведения см. в разделе Практическое руководство. Сопоставление пользователя с сертификатом с помощью всех методов, доступных в атрибуте altSecurityIdentities.

После установки обновлений Windows от 10 мая 2022 г. устройства будут находиться в режиме совместимости. Если сертификат можно строго сопоставить с пользователем, проверка подлинности будет выполняться должным образом. Если сертификат может быть сопоставлен только слабо с пользователем, проверка подлинности будет выполняться должным образом. Однако будет зарегистрировано предупреждающее сообщение, если сертификат не старше пользователя. Если сертификат старше пользователя и отсутствует раздел реестра backdating certificate или диапазон находится за пределами компенсации резервной копии, проверка подлинности завершится ошибкой, и будет зарегистрировано сообщение об ошибке.  Если настроен раздел реестра резервной копии сертификатов, он заносит в журнал событий предупреждающее сообщение, если даты попадают в резервную компенсацию.

После установки обновлений Windows от 10 мая 2022 г. watch для любого предупреждающего сообщения, которое может появиться через месяц или более. Если предупреждения отсутствуют, настоятельно рекомендуется включить режим полного принудительного применения на всех контроллерах домена, использующих проверку подлинности на основе сертификата. Для включения режима полного принудительного применения можно использовать раздел реестра KDC .

Если этот режим не был обновлен ранее, мы обновим все устройства до режима полного принудительного применения до 11 февраля 2025 г. или позже. Если сертификат не может быть строго сопоставлен, проверка подлинности будет отклонена.

Если проверка подлинности на основе сертификатов основана на слабом сопоставлении, которое невозможно переместить из среды, контроллеры домена можно поместить в режим Отключено с помощью параметра раздела реестра. Корпорация Майкрософт не рекомендует это сделать, и 11 апреля 2023 г. мы удалим отключенный режим.

После установки обновлений Windows от 13 февраля 2024 г. или более поздней версии на Сервере 2019 и более поздних версий и поддерживаемых клиентов с дополнительной функцией RSAT сопоставление сертификатов в Active Directory Users & Computers по умолчанию будет выбирать строгое сопоставление с помощью X509IssuerSerialNumber вместо слабого сопоставления с помощью X509IssuerSubject. Параметр по-прежнему можно изменить при необходимости.

• Используйте операционный журнал Kerberos на соответствующем компьютере, чтобы определить, какой контроллер домена завершает сбой при входе. Перейдите в Просмотр событий > Журналы приложений и служб\Microsoft \Windows\Security-Kerberos\Operational.

• Найдите соответствующие события в журнале системных событий на контроллере домена, для чего учетная запись пытается пройти проверку подлинности.

• Если сертификат старше учетной записи, повторно введите сертификат или добавьте в учетную запись безопасное сопоставление altSecurityIdentities (см. раздел Сопоставления сертификатов).

• Если сертификат содержит расширение идентификатора безопасности, убедитесь, что идентификатор безопасности соответствует учетной записи.

• Если сертификат используется для проверки подлинности нескольких разных учетных записей, каждой учетной записи потребуется отдельное сопоставление altSecurityIdentities .

• Если сертификат не имеет безопасного сопоставления с учетной записью, добавьте его или оставьте домен в режиме совместимости, пока его не удастся добавить.

Примером сопоставления сертификатов TLS является использование веб-приложения интрасети IIS.

• После установки защиты CVE-2022-26391 и CVE-2022-26923 эти сценарии по умолчанию используют протокол Kerberos Certificate Service for User (S4U) для сопоставления сертификатов и проверки подлинности.

• В протоколе Kerberos Certificate S4U запрос проверки подлинности передается с сервера приложений на контроллер домена, а не от клиента к контроллеру домена. Таким образом, соответствующие события будут находиться на сервере приложений.

В этом разделе реестра режим принудительного применения KDC изменяется на режим "Отключено", "Режим совместимости" или "Режим полного принудительного применения".

Подраздел реестра	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Значение	StrongCertificateBindingEnforcement
Тип данных	REG_DWORD
Данные	1 — проверяет наличие надежного сопоставления сертификатов. Если да, проверка подлинности разрешена. В противном случае KDC будет проверка, если сертификат имеет новое расширение SID и проверит его. Если этого расширения нет, проверка подлинности разрешена, если учетная запись пользователя предшествует сертификату. 2 — проверяет наличие строгого сопоставления сертификатов. Если да, проверка подлинности разрешена. В противном случае KDC будет проверка, если сертификат имеет новое расширение SID и проверит его. Если этого расширения нет, проверка подлинности отклоняется. 0 — отключает строгое сопоставление сертификатов проверка. Не рекомендуется, так как это приведет к отключению всех улучшений безопасности. Если для этого параметра задано значение 0, необходимо также задать для CertificateMappingMethods значение 0x1F, как описано в разделе раздела реестра Schannel ниже, чтобы проверка подлинности на основе сертификата компьютера прошла успешно.
Требуется перезапуск?	Нет

Когда серверное приложение требует проверки подлинности клиента, Schannel автоматически пытается сопоставить сертификат, который клиент TLS предоставляет учетной записи пользователя. Вы можете проверить подлинность пользователей, которые входят с помощью сертификата клиента, создав сопоставления, которые связывают сведения о сертификате с учетной записью пользователя Windows. После создания и включения сопоставления сертификатов каждый раз, когда клиент представляет сертификат клиента, серверное приложение автоматически связывает этого пользователя с соответствующей учетной записью пользователя Windows.

Schannel будет пытаться сопоставить каждый включенный метод сопоставления сертификатов до тех пор, пока он не будет выполнен успешно. Schannel сначала пытается сопоставить сопоставления service-for-user-to-Self (S4U2Self). Сопоставления сертификатов субъекта/издателя, издателя и имени участника-пользователя теперь считаются слабыми и отключены по умолчанию. Битовая сумма выбранных параметров определяет список доступных методов сопоставления сертификатов.

Раздел реестра SChannel по умолчанию был 0x1F и теперь 0x18. Если в серверных приложениях на основе Schannel возникают сбои проверки подлинности, рекомендуется выполнить тест. Добавьте или измените значение раздела реестра CertificateMappingMethods на контроллере домена и задайте для него значение 0x1F и посмотрите, устранена ли проблема. Дополнительные сведения см. в журналах системных событий на контроллере домена. Помните, что изменение значения раздела реестра SChannel на предыдущее значение по умолчанию (0x1F) отменить изменения использование методов сопоставления слабых сертификатов.

Подраздел реестра	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Значение	CertificateMappingMethods
Тип данных	DWORD
Данные	0x0001 — сопоставление сертификата субъекта и издателя (слабое — по умолчанию отключено) 0x0002 — сопоставление сертификата издателя (слабое — отключено по умолчанию) 0x0004 — сопоставление сертификатов имени участника-пользователя (слабое — по умолчанию отключено) 0x0008 — сопоставление сертификатов S4U2Self (strong) 0x0010 — явное сопоставление сертификатов S4U2Self (строгое)
Требуется перезапуск?	Нет

Дополнительные ресурсы и поддержку см. в разделе "Дополнительные ресурсы".

После установки обновлений, которые относятся к CVE-2022-26931 и CVE-2022-26923, проверка подлинности может завершиться ошибкой в случаях, когда сертификаты пользователей старше времени создания пользователей. Этот раздел реестра обеспечивает успешную проверку подлинности при использовании слабых сопоставлений сертификатов в вашей среде, а время сертификата — до времени создания пользователя в пределах заданного диапазона. Этот раздел реестра не влияет на пользователей или компьютеры со строгими сопоставлениями сертификатов, так как время создания сертификата и время создания пользователя не проверяются с помощью надежных сопоставлений сертификатов. Этот раздел реестра не действует, если для параметра StrongCertificateBindingEnforcement задано значение 2.

Использование этого раздела реестра является временным обходным решением для сред, в которых это требуется, и это необходимо сделать с осторожностью. Использование этого раздела реестра означает следующее для вашей среды:

• Этот раздел реестра работает только в режиме совместимости , начиная с обновлений, выпущенных 10 мая 2022 г. Проверка подлинности будет разрешена в пределах смещений компенсации, но в журнале событий будет зарегистрировано предупреждение о слабой привязке.

• Включение этого раздела реестра позволяет выполнить проверку подлинности пользователя, когда время сертификата находится до времени создания пользователя в пределах заданного диапазона в качестве слабого сопоставления. Слабые сопоставления не будут поддерживаться после установки обновлений для Windows, выпущенных 11 февраля 2025 г., что позволит включить режим полного принудительного применения.

Подраздел реестра	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Значение	CertificateBackdating Compensationion
Тип данных	REG_DWORD
Данные	Значения для обходного решения в приблизительное время года: 50 лет: 0x5E0C89C0 25 лет: 0x2EFE0780 10 лет: 0x12CC0300 5 лет: 0x9660180 3 года: 0x5A39A80 1 год: 0x1E13380 Примечание Если известно время существования сертификатов в вашей среде, задайте для этого раздела реестра значение немного больше времени существования сертификата.  Если вы не знаете время существования сертификатов для вашей среды, задайте для этого раздела реестра значение 50 лет. По умолчанию используется значение 10 минут, если этот ключ отсутствует, что соответствует службам сертификатов Active Directory (ADCS). Максимальное значение — 50 лет (0x5E0C89C0). Этот ключ задает разницу во времени (в секундах), которую центр распространения ключей (KDC) будет игнорировать между временем выдачи сертификата проверки подлинности и временем создания учетной записи пользователя или компьютера. Важно! Задайте этот раздел реестра только в том случае, если он требуется вашей среде. Использование этого раздела реестра отключит проверка безопасности.
Требуется перезапуск?	Нет

Выполните следующую команду certutil, чтобы исключить сертификаты шаблона пользователя из получения нового расширения.

1. Войдите на сервер центра сертификации или присоединенный к домену клиент Windows 10 с помощью администратора предприятия или эквивалентных учетных данных.

2. Откройте командную строку и выберите Запуск от имени администратора.

3. Запустите certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Отключение добавления этого расширения приведет к удалению защиты, предоставляемой новым расширением. Рекомендуется делать это только после одного из следующих действий:

1. Вы подтверждаете, что соответствующие сертификаты недопустимы для шифрования с открытым ключом для начальной проверки подлинности (PKINIT) в проверке подлинности по протоколу Kerberos в KDC.

2. Для соответствующих сертификатов настроены другие надежные сопоставления сертификатов.

Среды с развертываниями ЦС сторонних версий не будут защищены с помощью нового расширения sid после установки обновления Windows от 10 мая 2022 г. Затронутые клиенты должны работать с соответствующими поставщиками ЦС для решения этой проблемы или рассмотреть возможность использования других надежных сопоставлений сертификатов, описанных выше.

Дополнительные ресурсы и поддержку см. в разделе "Дополнительные ресурсы".

Нет, продление не требуется. ЦС будет поставляться в режиме совместимости. Если требуется строгое сопоставление с помощью расширения ObjectSID, потребуется новый сертификат.