Сводка

CVE-2022-26931 и CVE-2022-26923 устранены уязвимости повышения привилегий, которые могут возникнуть, когда центр распространения Kerberos (KDC) обслуживает запрос проверки подлинности на основе сертификата. До обновления системы безопасности от 10 мая 2022 г. проверка подлинности на основе сертификатов не будет включать знак доллара ($) в конце имени компьютера. Это позволило эмулировать (подделыть) связанные сертификаты различными способами. Кроме того, в конфликтах между именами участников-пользователей (UPN) и sAMAccountName появились другие уязвимости эмуляции (спуфинга), которые мы также устраиваем с помощью этого обновления безопасности.

Выполнение действий

Чтобы защитить среду, выполните следующие действия для проверки подлинности на основе сертификатов:

  1. Обновите все серверы, на которых работают службы сертификатов Active Directory, Windows контроллеры домена, которые выполняют проверку подлинности на основе сертификатов, с помощью обновления от 10 мая 2022 г. (см. режим совместимости). Обновление от 10 мая 2022 г. предоставит события аудита, которые определяют сертификаты, несовместимые с полным режимом принудительного применения.

  2. Если журналы событий аудита не создаются на контроллерах домена в течение одного месяца после установки обновления, перейдите к включению полного режима принудительного применения на всех контроллерах домена. До 9 мая 2023 г. все устройства будут обновлены до полного режима принудительного применения. В этом режиме, если сертификат не соответствует критериям строгого (безопасного) сопоставления (см. сопоставления сертификатов ), проверка подлинности будет отклонена.

События аудита

Обновление от 10 мая 2022 Windows добавит следующие журналы событий.

Нет строгого сопоставления

Не удалось найти надежные сопоставления сертификатов, и у сертификата не было нового расширения идентификатора безопасности (SID), которое может проверить KDC.

Журнал событий

Система

Тип события

Предупреждение, если KDC находится в режиме совместимости

Ошибка, если KDC находится в режиме принудительного применения

Источник события

Kdcsvc

Идентификатор события

39

41 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)

Текст события

В центре распространения ключей (KDC) обнаружен действительный сертификат пользователя, который не может быть сопоставляться с пользователем надежным способом (например, посредством явного сопоставления, сопоставления доверия ключей или идентификатора безопасности). Такие сертификаты следует либо заменить, либо сопоставить непосредственно пользователю с помощью явного сопоставления. Дополнительные https://go.microsoft.com/fwlink/?linkid=2189925 дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2189925.

Пользователь: <имени субъекта>

Субъект сертификата: <субъекта в>

Issuer certificate: <Issuer Fully Qualified Domain Name (FQDN)>

Серийный номер сертификата: <серийный номер сертификата>

Отпечаток сертификата: <отпечаток сертификата>

Учетная запись предустановки сертификата

Сертификат был выдан пользователю до того, как пользователь существовал в Active Directory, и не удалось найти надежное сопоставление. Это событие регистрируется только в том случае, если KDC находится в режиме совместимости.

Журнал событий

Система

Тип события

Ошибка

Источник события

Kdcsvc

Идентификатор события

40

48 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)

Текст события

В центре распространения ключей (KDC) обнаружен действительный сертификат пользователя, который не может быть сопоставляться с пользователем надежным способом (например, посредством явного сопоставления, сопоставления доверия ключей или идентификатора безопасности). Сертификат также предоставьте сопоставленного пользователя, поэтому он был отклонен. Дополнительные https://go.microsoft.com/fwlink/?linkid=2189925 дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2189925.

Пользователь: <имени субъекта>

Субъект сертификата: <субъекта в>

Издатель сертификата: <FQDN издателя>

Серийный номер сертификата: <серийный номер сертификата>

Отпечаток сертификата: <отпечаток сертификата>

Время выдачи сертификата: <FILETIME сертификата>

Время создания учетной записи: <FILETIME основного объекта в AD>

Идентификатор безопасности пользователя не соответствует идентификатору безопасности сертификата

Идентификатор безопасности, содержащийся в новом расширении сертификата пользователя, не соответствует идентификатору безопасности пользователя, что означает, что сертификат был выдан другому пользователю.

Журнал событий

Система

Тип события

Ошибка

Источник события

Kdcsvc

Идентификатор события

41

49 (для Windows Server 2008 R2 с пакетом обновления 1 (SP1) и Windows Server 2008 с пакетом обновления 2 (SP2)

Текст события

В центре распространения ключей (KDC) обнаружен действительный сертификат пользователя, который содержал идентификатор безопасности, отличный от идентификатора безопасности пользователя, с которым он сопоставлен. В результате запрос, включаемый в сертификат, завершился сбоем. Дополнительные https://go.microsoft.cm/fwlink/?linkid=2189925 см. здесь.

Пользователь: <имени субъекта>

Идентификатор безопасности пользователя: <идентификатор безопасности субъекта проверки подлинности>

Субъект сертификата: <субъекта в>

Издатель сертификата: <FQDN издателя>

Серийный номер сертификата: <серийный номер сертификата>

Отпечаток сертификата: <отпечаток сертификата>

Идентификатор безопасности сертификата: <идентификатор безопасности, найденный в новом расширении сертификатов>

Сопоставления сертификатов

Администраторы домена могут вручную сопоставлять сертификаты с пользователем в Active Directory с помощью атрибута altSecurityIdentities объекта пользователя. Существует шесть поддерживаемых значений для этого атрибута, три сопоставления считаются ненадежными (небезопасными), а остальные три считаются надежными. Как правило, типы сопоставлений считаются надежными, если они основаны на идентификаторах, которые нельзя использовать повторно. Поэтому все типы сопоставления на основе имен пользователей и адресов электронной почты считаются ненадежными.

Сопоставление

Пример

Тип

Заметки

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Слабым

X509SubjectOnly

"X509:<S>SubjectName"

Слабым

X509RFC822

"X509:<RFC822>user@contoso.com"

Слабым

Адрес электронной почты

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Сильный

Рекомендуем

X509SKI

"X509:<SKI>123456789abcdef"

Сильный

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Сильный

Если клиенты не могут повторно получить сертификаты с новым расширением sid, корпорация Майкрософт рекомендует создать сопоставление вручную с помощью одного из надежных сопоставлений, описанных выше. Это можно сделать, добавив соответствующую строку сопоставления в атрибут altSecurityIdentities пользователя в Active Directory.

Примечание Некоторые поля, такие как Issuer, Subject и Serial Number, передаются в формате "вперед". Этот формат необходимо отменить при добавлении строки сопоставления к атрибуту altSecurityIdentities . Например, чтобы добавить сопоставление X509IssuerSerialNumber для пользователя, выполните поиск по полям Issuer и Serial Number сертификата, который требуется сопоставить с пользователем. См. пример выходных данных ниже.

Issuer: CN=CONTOSO-DC-CA, DC=contoso, DC=com

SerialNumber: 2B0000000011AC000000012

Затем обновите атрибут altSecurityIdentities пользователя в Active Directory, используя следующую строку:

"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Чтобы обновить этот атрибут с помощью PowerShell, можно использовать приведенную ниже команду. Помните, что по умолчанию только администраторы домена имеют разрешение на обновление этого атрибута.

set-aduser "DomainUser" -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Обратите внимание, что при отмене serialNumber необходимо сохранить порядок байтов. Это означает, что отмена значения SerialNumber "A1B2C3" должна привести к строке "C3B2A1 ", а не "3C2B1A". Дополнительные сведения см. в разделе HowTo: Сопоставление пользователя с сертификатом с помощью всех методов, доступных в атрибуте altSecurityIdentities.

Временная шкала Windows обновлений

Режим совместимости

После установки обновлений 10 мая 2022 Windows устройства будут работать в режиме совместимости. Если сертификат можно строго сопоставить с пользователем, проверка подлинности будет выполняться должным образом. Если сертификат может быть ненадежно сопоставлен с пользователем, проверка подлинности будет выполняться должным образом. Однако предупреждение будет регистрироваться, если сертификат не старше пользователя. Если сертификат старше пользователя, проверка подлинности завершится ошибкой и будет зарегистрирована ошибка.

После установки обновлений от 10 мая 2022 Windows следите за предупреждениями, которые могут появиться через месяц или более. При отсутствии предупреждений настоятельно рекомендуется включить полный режим принудительного применения на всех контроллерах домена с использованием проверки подлинности на основе сертификатов. Для включения полного режима принудительного применения можно использовать раздел реестра KDC .

Полный режим принудительного применения

Если этот режим не обновлен ранее, мы обновим все устройства до полного режима принудительного применения до 9 мая 2023 г. Если сертификат не может быть строго сопоставлен, проверка подлинности будет отклонена.

Отключенный режим

Если проверка подлинности на основе сертификатов основана на слабом сопоставлении, которое невозможно переместить из среды, контроллеры домена можно поместить в отключенном режиме с помощью параметра раздела реестра. Корпорация Майкрософт не рекомендует это делать, и мы удалим отключенный режим 14 февраля 2023 г.

Устранение неполадок

Сбой входа после установки защиты CVE-2022-26931 и CVE-2022-26923

  • Используйте операционный журнал Kerberos на соответствующем компьютере, чтобы определить, какой контроллер домена не выполняет вход. Перейдите Просмотр событий > applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

  • Найдите соответствующие события в журнале системных событий на контроллере домена, в котором учетная запись пытается выполнить проверку подлинности.

  • Если сертификат старше учетной записи, повторите его или добавьте в учетную запись безопасное сопоставление altSecurityIdentities (см . сопоставления сертификатов).

  • Если сертификат содержит расширение sid, убедитесь, что идентификатор безопасности соответствует учетной записи.

  • Если сертификат используется для проверки подлинности нескольких разных учетных записей, каждой учетной записи потребуется отдельное сопоставление altSecurityIdentities .

  • Если сертификат не имеет безопасного сопоставления с учетной записью, добавьте его или оставьте домен в режиме совместимости, пока его не можно будет добавить.

Сбой проверки подлинности с помощью сопоставления сертификатов TLS

Примером сопоставления сертификатов TLS является использование веб-приложения интрасети IIS.

  • После установки защиты CVE-2022-26391 и CVE-2022-26923 эти сценарии используют протокол Kerberos Certificate Service for User (S4U) для сопоставления сертификатов и проверки подлинности по умолчанию.

  • В протоколе S4U сертификата Kerberos запрос проверки подлинности передается с сервера приложений на контроллер домена, а не от клиента к контроллеру домена. Таким образом, соответствующие события будут на сервере приложений.

Сведения о разделе реестра

После установки защиты CVE-2022-26931 и CVE-2022-26923 в обновлениях Windows, выпущенных в период с 10 мая 2022 г. по 9 мая 2023 г., будут доступны следующие разделы реестра.

Раздел реестра центра распространения ключей

Этот раздел реестра изменяет режим принудительного применения KDC на режим отключения, режим совместимости или режим полного применения.

Подраздел реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значение

StrongCertificateBindingEnforcement

Тип данных

REG_DWORD

Данные

1 — проверяет наличие надежного сопоставления сертификатов. Если да, проверка подлинности разрешена. В противном случае KDC проверит, есть ли у сертификата новое расширение sid, и проверит его. Если это расширение отсутствует, проверка подлинности разрешена, если учетная запись пользователя предустановит сертификат.

2 — проверяет наличие надежного сопоставления сертификатов. Если да, проверка подлинности разрешена. В противном случае KDC проверит, есть ли у сертификата новое расширение sid, и проверит его. Если это расширение отсутствует, проверка подлинности отклоняется.

0 — отключает проверку строгого сопоставления сертификатов. Не рекомендуется.

Требуется перезагрузка?

Нет

Раздел реестра SChannel

Если серверным приложениям требуется проверка подлинности клиента, Schannel автоматически пытается сопоставить сертификат, который клиент TLS предоставляет учетной записи пользователя. Вы можете проверить подлинность пользователей, которые войдите с помощью сертификата клиента, создав сопоставления, которые связывают сведения о Windows учетной записи пользователя. После создания и включения сопоставления сертификатов каждый раз, когда клиент предоставляет сертификат клиента, серверное приложение автоматически связывает этого пользователя с соответствующей Windows учетной записью пользователя.

Schannel попытается сопоставить каждый метод сопоставления сертификатов, который вы включили, пока он не будет успешно выполнен. Сначала Schannel пытается сопоставить сопоставления между service-For-User-To-Self (S4U2Self). Сопоставления субъектов и издателей, издателей и сертификатов upN теперь считаются ненадежными и по умолчанию отключены. Битовая сумма выбранных параметров определяет список доступных методов сопоставления сертификатов.

Раздел реестра SChannel по умолчанию 0x1F и теперь 0x18. При сбоях проверки подлинности в серверных приложениях на основе Schannel рекомендуется выполнить тест. Добавьте или измените значение раздела реестра CertificateMappingMethods на контроллере домена и задайте для него значение 0x1F и посмотрите, устранена ли эта проблема. Дополнительные сведения см. в журналах системных событий на контроллере домена. Имейте в виду, что при изменении значения раздела реестра SChannel на предыдущее значение по умолчанию (0x1F) будет восстановлено использование ненадежных методов сопоставления сертификатов.

Подраздел реестра

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\

Значение

CertificateMappingMethods

Тип данных

DWORD

Данные

0x0001 — сопоставление сертификатов субъекта и издателя (слабое — отключено по умолчанию)

0x0002 — сопоставление сертификата издателя (слабое — отключено по умолчанию)

0x0004 — сопоставление сертификата имени участника-пользователя (слабое — отключено по умолчанию)

0x0008 — сопоставление сертификатов S4U2Self (строгое)

0x0010 — явное сопоставление сертификатов S4U2Self (строгое)

Требуется перезагрузка?

Нет

Дополнительные ресурсы и поддержку см. в разделе "Дополнительные ресурсы".

Enterprise центров сертификации

Enterprise центров сертификации (ЦС) начнет добавлять новое некритические расширения с идентификатором объекта (OID) (1.3.6.1.4.1.311.25.2) по умолчанию во всех сертификатах, выданных для сетевых шаблонов после установки обновления 10 мая 2022 Windows. Добавление этого расширения можно остановить, 0x00080000 в значении msPKI-Enrollment-Flag соответствующего шаблона. Например, выполните следующую команду certutil , чтобы исключить сертификаты пользовательского шаблона из получения нового расширения.

  1. Войдите на сервер центра сертификации или присоединенный к домену Windows 10 с помощью администратора предприятия или эквивалентных учетных данных.

  2. Откройте командную строку и выберите " Запуск от имени администратора".

  3. Запустите certutil -dstemplateuser  msPKI-Enrollment-Flag +0x00080000. 

Отключение добавления этого расширения приведет к удалению защиты, предоставляемой новым расширением. Попробуйте сделать это только после одного из следующих действий:

  1. Убедитесь, что соответствующие сертификаты недопустимы для шифрования с открытым ключом для начальной проверки подлинности (PKINIT) в проверках подлинности протокола Kerberos в KDC.

  2. Для соответствующих сертификатов настроены другие надежные сопоставления сертификатов.

Среды, в которых развернуты сторонние ЦС, не будут защищены с помощью нового расширения sid после установки обновления от 10 мая 2022 Windows. Затронутые клиенты должны работать с соответствующими поставщиками ЦС для решения этой проблемы или использовать другие надежные сопоставления сертификатов, описанные выше.

Дополнительные ресурсы и поддержку см. в разделе "Дополнительные ресурсы".

Вопросы и ответы

Q1 После обновления ЦС все сертификаты проверки подлинности клиента должны быть обновлены?

A1 Нет, продление не требуется. ЦС будет поставляться в режиме совместимости. Если требуется строгое сопоставление с помощью расширения ObjectSID, потребуется новый сертификат.

Дополнительные ресурсы

Дополнительные сведения о сопоставлении сертификатов клиента TLS см. в следующих статьях:

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×