KB5014754 – zmeny overenia na základe certifikátov v radičoch domény systému Windows

Nenašli sa žiadne silné priradenia certifikátov a certifikát nemal nové rozšírenie identifikátora zabezpečenia (SID), ktoré by mohlo overiť KDC.

Denník udalostí	Systém
Typ udalosti	Upozornenie, ak je katalóg pracovných údajov v režime kompatibility Chyba, ak je katalóg pracovných údajov v režime vynútenia
Zdroj udalosti	Kdcsvc
Identifikačné číslo udalosti	39 41 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2)
Text udalosti	V centre distribúcie kľúčov (KDC) sa vyskytol certifikát používateľa, ktorý bol platný, ale nemožno ho priradiť používateľovi silným spôsobom (napríklad prostredníctvom explicitného priradenia, mapovania dôveryhodnosti kľúča alebo identifikátora SID). Takéto certifikáty by sa mali nahradiť alebo priradiť priamo používateľovi prostredníctvom explicitného priradenia. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu: úplný názov domény vydavateľa <(FQDN)> Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu>

Certifikát bol používateľovi vydaný predtým, ako používateľ existoval v službe Active Directory a nepodarilo sa nájsť žiadne silné priradenie. Táto udalosť sa zapisuje do denníka len vtedy, keď je katalóg pracovných údajov v režime kompatibility.

Denník udalostí	Systém
Typ udalosti	Chyba
Zdroj udalosti	Kdcsvc
Identifikačné číslo udalosti	40 48 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2
Text udalosti	V centre distribúcie kľúčov (KDC) sa vyskytol certifikát používateľa, ktorý bol platný, ale nemožno ho priradiť používateľovi silným spôsobom (napríklad prostredníctvom explicitného priradenia, mapovania dôveryhodnosti kľúča alebo identifikátora SID). Certifikát tiež predchádzal používateľovi, ku ktorého bol priradený, takže bol zamietnutý. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu:> FQDN vydavateľa < Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu> Čas vydania certifikátu: <FILETIME certifikátu> Čas vytvorenia konta: <FILETIME hlavného objektu v službe AD>

Identifikátor SID obsiahnutý v novom rozšírení certifikátu používateľov sa nezhoduje s identifikátorom SID používateľov, čo znamená, že certifikát bol vydaný inému používateľovi.

Denník udalostí	Systém
Typ udalosti	Chyba
Zdroj udalosti	Kdcsvc
Identifikačné číslo udalosti	41 49 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2)
Text udalosti	Centrum distribúcie kľúčov (KDC) narazilo na certifikát používateľa, ktorý bol platný, ale obsahoval iný identifikátor SID ako používateľ, ku ktorému bol priradený. V dôsledku toho požiadavka týkajúca sa certifikátu zlyhala. Ďalšie informácie nájdete v https://go.microsoft.cm/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Identifikátor SID používateľa: <identifikátor SID overujúceho hlavného> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu:> FQDN vydavateľa < Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu> Identifikátor SID certifikátu: identifikátor SID <nájdený v novej> rozšírenia certifikátu

Poznámka Niektoré polia, ako napríklad Vydavateľ, Predmet a Sériové číslo, sa vykazujú vo formáte forward. Tento formát je potrebné vrátiť, keď pridáte reťazec priradenia do atribútu altSecurityIdentities . Ak chcete napríklad pridať priradenie X509IssuerSerialNumber používateľovi, vyhľadajte polia Vydavateľ a Sériové číslo certifikátu, ktoré chcete priradiť používateľovi. Pozrite si ukážkový výstup nižšie.

• Vydavateľ: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Potom aktualizujte atribút altSecurityIdentities používateľa v službe Active Directory nasledujúcim reťazcom:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Ak chcete aktualizovať tento atribút pomocou prostredia Powershell, môžete použiť príkaz nižšie. Majte na pamäti, že predvolene majú povolenie na aktualizáciu tohto atribútu iba správcovia domény.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Všimnite si, že keď obrátite serialnumber, musíte zachovať poradie bajtov. To znamená, že zvrátiť SerialNumber "A1B2C3" by malo mať za následok reťazec "C3B2A1" a nie "3C2B1A". Ďalšie informácie nájdete v téme HowTo: Priradenie používateľa k certifikátu prostredníctvom všetkých metód dostupných v atribúte altSecurityIdentities.

Po nainštalovaní aktualizácií Windowsu z 10. mája 2022 budú zariadenia v režime kompatibility. Ak je možné certifikát výrazne priradiť používateľovi, overovanie sa uskutoční podľa očakávaní. Ak môže byť certifikát priradený používateľovi len slabo, overovanie sa uskutoční podľa očakávaní. Upozornenie sa však zapíše do denníka, pokiaľ certifikát nie je starší ako používateľ. Ak je certifikát starší ako kľúč používateľa a kľúč na spätnú aktualizáciu certifikátu nie je prítomný alebo sa rozsah nachádza mimo náhrady za spätnú aktualizáciu, overovanie zlyhá a zapíše sa chybové hlásenie.  Ak je nakonfigurovaný kľúč backdating certifikátu databázy Registry, do denníka udalostí sa zapíše hlásenie s upozornením, ak dátumy spadajú do spätnej kompenzácie.

Po nainštalovaní aktualizácií Windowsu z 10. mája 2022 sledujte všetky upozornenia, ktoré sa môžu zobraziť po mesiaci alebo viacerých verziách. Ak sa nezobrazujú žiadne upozornenia, dôrazne odporúčame zapnúť režim úplného vynútenia vo všetkých radičoch domény pomocou overovania na základe certifikátu. Na povolenie režimu úplného vynútenia môžete použiť kľúč databázy Registry KDC .

Pokiaľ sa tento režim predtým neaktualizoval, všetky zariadenia aktualizujeme do režimu úplného vynútenia do 11. februára 2025 alebo neskôr. Ak certifikát nie je možné pevne priradiť, overovanie sa zamietne.

Ak overovanie na základe certifikátu využíva slabé priradenie, ktoré nie je možné presunúť z prostredia, radiče domény môžete umiestniť do režimu vypnutia pomocou nastavenia kľúča databázy Registry. Spoločnosť Microsoft túto možnosť neodporúča a 11. apríla 2023 odstránime režim vypnutia.

Po nainštalovaní aktualizácií Windowsu z 13. februára 2024 alebo novšej verzie na Serveri 2019 a novších verziách a podporovaných klientoch s nainštalovanou voliteľnou funkciou RSAT sa priraďovanie certifikátov používateľov služby Active Directory & Počítače predvolene vyberie pomocou funkcie X509IssuerSerialNumber namiesto slabého mapovania pomocou nástroja X509IssuerSubject. Nastavenie môžete podľa potreby aj naďalej meniť.

• Pomocou prevádzkového denníka protokolu Kerberos v príslušnom počítači určte, ktorý radič domény zlyháva pri prihlasovaní. Prejdite na Zobrazovač udalostí denníky aplikácií a služieb>\Microsoft \Windows\Security-Kerberos\Operational.

• Vyhľadajte príslušné udalosti v denníku systémových udalostí v radiči domény, proti ktorému sa konto pokúša overiť.

• Ak je certifikát starší ako konto, znova ho uložte alebo pridajte zabezpečené priradenie altSecurityIdentities ku kontu (pozri priradenia certifikátov).

• Ak certifikát obsahuje rozšírenie SID, overte, či sa identifikátor SID zhoduje s kontom.

• Ak sa certifikát používa na overenie niekoľkých rôznych kont, každé konto bude potrebovať samostatné priradenie altSecurityIdentities .

• Ak certifikát nemá zabezpečené priradenie ku kontu, pridajte doménu alebo ju ponechajte v režime kompatibility, kým ju nebude možné pridať.

Príkladom priradenia certifikátov TLS je použitie intranetovej webovej aplikácie služby IIS.

• Po inštalácii ochrany CVE-2022-26391 a CVE-2022-26923 používajú tieto scenáre protokol Kerberos Certificate Service For User (S4U) na predvolené mapovanie certifikátov a overovanie.

• V protokole S4U certifikátu Kerberos toky požiadavky overovania z aplikačného servera do radiča domény, nie z klienta do radiča domény. Preto sa relevantné udalosti budú nachádzať na aplikačnom serveri.

Tento kľúč databázy Registry zmení režim vynútenia KDC na režim vypnutia, režim kompatibility alebo režim úplného vynútenia.

Podkľúč databázy Registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Hodnota	StrongCertificateBindingEnforcement
Typ údajov	REG_DWORD
Údaje	1 – Skontroluje, či existuje silné priradenie certifikátu. Ak áno, overovanie je povolené. V opačnom prípade bude KDC kontrolovať, či certifikát obsahuje nové rozšírenie SID a overiť ho. Ak toto rozšírenie nie je k dispozícii, overovanie je povolené, ak používateľské konto predchádza certifikátu. 2 – Skontroluje, či existuje silné priradenie certifikátov. Ak áno, overovanie je povolené. V opačnom prípade bude KDC kontrolovať, či certifikát obsahuje nové rozšírenie SID a overiť ho. Ak toto rozšírenie nie je k dispozícii, overovanie sa zamietne. 0 – Zakáže silnú kontrolu mapovania certifikátov. Neodporúča sa to, pretože tým sa zakážu všetky vylepšenia zabezpečenia. Ak nastavíte túto hodnotu na hodnotu 0, musíte nastaviť aj položku CertificateMappingMethods na 0x1F podľa popisu v časti kľúča databázy Registry Schannel nižšie, aby bolo overenie na základe certifikátu počítača úspešné.
Vyžaduje sa reštartovanie?	Nie

Keď serverová aplikácia vyžaduje overenie klienta, Schannel sa automaticky pokúsi priradiť certifikát, ktorý klient TLS dodáva k používateľskému kontu. Môžete overiť používateľov, ktorí sa prihlasujú pomocou certifikátu klienta, vytvorením priradení, ktoré súvisia s informáciami o certifikáte s používateľským kontom Windowsu. Po vytvorení a povolení priradenia certifikátu zakaždým, keď klient zobrazí certifikát klienta, serverová aplikácia automaticky priradí daného používateľa k príslušnému používateľskému kontu Systému Windows.

Kanál Schannel sa pokúsi priradiť každú metódu priradenia certifikátu, ktorú ste povolili, kým jeden z nich neuspeje. Kanál Schannel sa najskôr pokúsi priradiť priradenia Služby pre používateľa k sebe (S4U2Self). Priradenia certifikátov Predmet/Vydavateľ, Vydavateľ a UPN sa teraz považujú za slabé a predvolene boli zakázané. Bitová maska súčtu vybratých možností určuje zoznam dostupných metód priradenia certifikátov.

Predvolená hodnota kľúča databázy Registry SChannel bola 0x1F a teraz je 0x18. Ak sa vyskytnú zlyhania overovania v serverových aplikáciách založených na kanáli, odporúčame vykonať test. Pridajte alebo upravte hodnotu kľúča databázy Registry CertificateMappingMethods na radiči domény a nastavte ju na 0x1F a zistite, či sa tým problém vyriešil. Ďalšie informácie nájdete v denníkoch systémových udalostí v radiči domény, kde nájdete všetky chyby uvedené v tomto článku. Majte na pamäti, že zmena hodnoty kľúča databázy Registry SChannel späť na predchádzajúcu predvolenú hodnotu (0x1F) sa vráti k používaniu slabých metód priradenia certifikátov.

Podkľúč databázy Registry	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Hodnota	CertificateMappingMethods
Typ údajov	DWORD
Údaje	0x0001 – priradenie certifikátu predmetu alebo vydavateľa (slabé – predvolene vypnuté) 0x0002 – priradenie certifikátu vydavateľa (slabé – predvolene vypnuté) 0x0004 – priradenie certifikátov hlavného používateľa (slabé – predvolene vypnuté) 0x0008 – priradenie certifikátu S4U2Self (silné) 0x0010 - S4U2Self explicitné priradenie certifikátu (strong)
Vyžaduje sa reštartovanie?	Nie

Ďalšie zdroje a podpora nájdete v časti Ďalšie zdroje.

Po inštalácii aktualizácií s adresou CVE-2022-26931 a CVE-2022-26923 môže overenie zlyhať v prípadoch, keď sú používateľské certifikáty staršie ako čas vytvorenia používateľov. Tento kľúč databázy Registry umožňuje úspešné overovanie pri používaní slabých priradení certifikátov vo vašom prostredí a čas vytvorenia certifikátu je pred časom vytvorenia používateľa v rámci nastaveného rozsahu. Tento kľúč databázy Registry neovplyvňuje používateľov ani počítače so silnými priradeniami certifikátov, pretože čas vytvorenia certifikátu a čas vytvorenia používateľa nie sú začiarknuté so silnými priradeniami certifikátov. Tento kľúč databázy Registry nemá žiadny vplyv, keď je položka StrongCertificateBindingEnforcement nastavená na hodnotu 2.

Použitie tohto kľúča databázy Registry je dočasné alternatívne riešenie pre prostredia, ktoré ho vyžadujú a musia byť vykonané opatrne. Použitie tohto kľúča databázy Registry znamená pre vaše prostredie nasledovné:

• Tento kľúč databázy Registry funguje len v režime kompatibility , ktorý sa začína aktualizáciami vydanými 10. mája 2022. Overovanie bude povolené v rámci posunu kompenzácie zálohovania, ale upozornenie denníka udalostí sa zapíše do denníka pre slabú väzbu.

• Povolenie tohto kľúča databázy Registry umožňuje overenie používateľa v prípade, že čas vytvorenia certifikátu je pred časom vytvorenia používateľa v rámci nastaveného rozsahu ako slabé priradenie. Slabé priradenia nebudú podporované po inštalácii aktualizácií pre Windows vydaných 11. februára 2025, čo umožní režim úplného vynútenia.

Podkľúč databázy Registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Hodnota	CertificateBackdatingCompensation
Typ údajov	REG_DWORD
Údaje	Hodnoty alternatívneho riešenia v približných rokoch: 50 rokov: 0x5E0C89C0 25 rokov: 0x2EFE0780 10 rokov: 0x12CC0300 5 rokov: 0x9660180 3 roky: 0x5A39A80 1 rok: 0x1E13380 Poznámka Ak poznáte životnosť certifikátov vo vašom prostredí, nastavte tento kľúč databázy Registry na o niečo dlhšie ako životnosť certifikátu.  Ak nepoznáte životnosť certifikátov pre vaše prostredie, nastavte tento kľúč databázy Registry na 50 rokov. Predvolene sa nastaví na 10 minút, keď tento kľúč nie je prítomný, čo zodpovedá certifikačným službám Active Directory (ADCS). Maximálna hodnota je 50 rokov (0x5E0C89C0). Tento kľúč nastaví časový rozdiel v sekundách, ktorý bude centrum distribúcie kľúčov (KDC) ignorovať medzi časom vydania overovacieho certifikátu a časom vytvorenia konta pre kontá používateľa alebo počítača. Dôležité Tento kľúč databázy Registry nastavte iba vtedy, ak ho vaše prostredie vyžaduje. Pomocou tohto kľúča databázy Registry sa vypína kontrola zabezpečenia.
Vyžaduje sa reštartovanie?	Nie

Spustením nasledujúceho príkazu certutil vylúčite certifikáty používateľskej šablóny zo získania nového rozšírenia.

1. Prihláste sa na server certifikačnej autority alebo do klienta Windows 10 pripojeného k doméne pomocou podnikového správcu alebo ekvivalentných poverení.

2. Otvorte príkazový riadok a vyberte položku Spustiť ako správca.

3. Spustite certutil -dstemplate používateľa msPKI-Enrollment-Flag +0x00080000. 

Vypnutím pridania tohto rozšírenia sa odstráni ochrana poskytovaná novým rozšírením. Zvážte vykonanie tohto postupu až po vykonaní niektorého z týchto krokov:

1. Potvrdzujete, že príslušné certifikáty nie sú prijateľné pre kryptografiu verejných kľúčov pre počiatočné overovanie (PKINIT) v overovaní protokolu Kerberos v KDC

2. Príslušné certifikáty majú nakonfigurované iné silné priradenia certifikátov

Prostredia, ktoré majú nasadenia iné ako microsoft ca, nebudú chránené pomocou nového rozšírenia SID po inštalácii aktualizácie Windowsu z 10. mája 2022. Ovplyvnení zákazníci by mali spolupracovať s príslušnými dodávateľmi certifikačnej autority na riešení tohto problému alebo by mali zvážiť použitie iných silných priradení certifikátov popísaných vyššie.

Ďalšie zdroje a podpora nájdete v časti Ďalšie zdroje.

Nie, obnovenie nie je povinné. Certifikačná autorita bude odosielať v režime kompatibility. Ak chcete silné priradenie pomocou rozšírenia ObjectSID, budete potrebovať nový certifikát.