KB5014754: spremembe preverjanja pristnosti na podlagi potrdila v krmilnikih domene Windows

Velja za
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Dnevnik sprememb
Spremeni datum Opis
9/10/2025 Popravljen datum načina izvrševanja od 10. septembra 2025 do 9. septembra 2025.
9/8/2025 Dodano sklic na razdelek »Dodatni viri« ... Izvajanje močnih preslikav v potrdilih Intune.
7/29/2025 V razdelku »Odpravljanje težav« je bila dodana »Znana težava« ... Predmet pravilnik skupine lahko moti »preslikave na podlagi imena«
10/24/2024 Posodobljeno besedilo za jasnost v 2. koraku razdelka »Ukrepanje«, v opisu »Način popolnega uveljavljanja« v razdelku »Časovnica za posodobitve sistema Windows« in popravljene informacije o datumu v temah »Registrski ključ centra za distribucijo ključev ključev za distribucijo ključev« in »Registrski ključ potrdila za nazaj« v razdelku »Informacije o ključu registra«.
9/10/2024 Spremenili smo opis celotnega načina uveljavljanja v razdelku »Časovni razpored za posodobitve sistema Windows«, da odraža nove datume. 11. februarja 2025 bodo naprave premaknjene v način uveljavljanja, podpora pa bo ostala za premik nazaj v združljivostni način. Polna podpora za registrski ključ se bo zdaj končala 9. septembra 2025.
7/5/2024 Dodane so bile informacije o razširitvi SID registrskega ključa centra za distribucijo ključev (KDC) v razdelku »Informacije o registrskem ključu«.
10/10/2023 Dodane informacije o privzetih spremembah močnih preslikav v razdelku »Časovnica za Posodobitve sistema Windows«
6/30/2023 Spremenjen datum popolnega načina izvrševanja s 14. novembra 2023 na 11. februar 2025 (ti datumi so bili prej navedeni kot 19. maj 2023 do 14. november 2023).
1/26/2023 Spremenjena odstranitev onemogočenega načina s 14. februarja 2023 na 11. april 2023.

Povzetek

CVE-2022-34691,CVE-2022-26931 in CVE-2022-26923 odpravljajo ranljivost za dvig privilegijev, do katere lahko pride, ko center za distribucijo ključev Kerberos (KDC) servisira zahtevo za preverjanje pristnosti na podlagi potrdila. Pred varnostno posodobitvijo 10. maja 2022 preverjanje pristnosti na podlagi potrdila ne bi upoštevalo znaka dolarja ($) na koncu imena računalnika. To je omogočilo posnemanje sorodnih potrdil na različne načine. Poleg tega so spori med glavnimi imeni uporabnikov (UPN) in sAMAccountName povzročili druge ranljivosti emulacije (lažnega predstavljanja), ki jih prav tako odpravljamo s to varnostno posodobitvijo.

Vzemite stvari v svoje roke

Če želite zaščititi svoje okolje, izvedite te korake za preverjanje pristnosti na podlagi potrdila:

  1. Posodobite vse strežnike, v katerih so nameščene storitve potrdil imenika Active Directory, in krmilnike domene sistema Windows, ki zagotavljajo preverjanje pristnosti na podlagi potrdil, s posodobitvijo z dne 10. maja 202,2 (glejte Združljivostni način). Posodobitev z dne 10. maja 2022 bo zagotovila revizijske dogodke , ki prepoznajo potrdila, ki niso združljiva z načinom popolnega uveljavljanja.
  2. Če en mesec po namestitvi posodobitve v krmilnikih domene ni ustvarjen noben dnevnik nadzornih dogodkov, nadaljujte z omogočanjem načina popolnega uveljavljanja v vseh krmilnikih domene. Če registrski ključ StrongCertificateBindingEnforcemenni konfiguriran, se bodo krmilniki domene do februarja 2025 premaknili v način polnega uveljavljanja. V nasprotnem primeru se bo nastavitev združljivostnega načina registrskih ključev še naprej upoštevala. Če potrdilo v načinu polnega uveljavljanja ne izpolnjuje strogih (varnih) meril preslikave (glejte Preslikave potrdil), bo preverjanje pristnosti zavrnjeno. Vendar pa bo možnost za premik nazaj v združljivostni način ostala do namestitve varnostne posodobitve sistema Windows 9. septembra 2025.

Revizijski dogodki

Posodobitev sistema Windows z dne 10. maja 2022 doda naslednje dnevnike dogodkov.

Brez močnega preslikavanja

Močnih preslikav potrdil ni bilo mogoče najti in potrdilo ni imelo nove razširitve varnostnega identifikatorja (SID), ki bi jo KDC lahko preveril.

Dnevnik dogodkov Sistem
Vrsta dogodka Opozorilo, če je KDC v združljivostnem načinu
Napaka, če je KDC v načinu uveljavljanja
Vir dogodka Kdcsvc
ID dogodka 39
41 (za Windows Server 2008 R2 s servisnim paketom SP1 in servisnim paketom SP2 za Windows Server 2008)
Besedilo dogodka Center za distribucijo ključev (KDC) je naletel na uporabniško potrdilo, ki je bilo veljavno, vendar ga ni bilo mogoče preslikati na uporabnika na močan način (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Takšna potrdila bi bilo treba zamenjati ali preslikati neposredno na uporabnika z eksplicitnim preslikavanjem. Če želite izvedeti več, glejte https://go.microsoft.com/fwlink/?linkid=2189925.
Uporabnik: <glavno ime>
Predmet potrdila: <Ime subjekta v potrdilu>
Izdajatelj potrdila: <Izdajatelj v celoti kvalificirano domensko ime (FQDN)>
Serijska številka potrdila: <Serijska številka potrdila>
Odtis potrdila: <odtis potrdila>
Potrdilo je starejše od računa

Potrdilo je bilo izdano uporabniku, preden je uporabnik obstajal v imeniku Active Directory, in ni bilo mogoče najti močne preslikave. Ta dogodek je zabeležen le, če je ključna poveznica v združljivostnem načinu.

Dnevnik dogodkov Sistem
Vrsta dogodka Napaka
Vir dogodka Kdcsvc
ID dogodka 40
48 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2
Besedilo dogodka Center za distribucijo ključev (KDC) je naletel na uporabniško potrdilo, ki je bilo veljavno, vendar ga ni bilo mogoče preslikati na uporabnika na močan način (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Potrdilo je bilo tudi pred uporabnikom, na katerega je bilo preslikano, zato je bilo zavrnjeno. Če želite izvedeti več, glejte https://go.microsoft.com/fwlink/?linkid=2189925.
Uporabnik: <glavno ime>
Predmet potrdila: <Ime subjekta v potrdilu>
Izdajatelj potrdila: <Izdajatelj FQDN>
Serijska številka potrdila: <Serijska številka potrdila>
Odtis potrdila: <odtis potrdila>
Čas izdaje potrdila: <FILETIME potrdila>
Čas ustvarjanja računa: <FILETIME glavnega predmeta v AD>
SID uporabnikov se ne ujema s SID potrdila

SID v novi razširitvi uporabniškega potrdila se ne ujema s SID uporabnika, kar pomeni, da je bilo potrdilo izdano drugemu uporabniku.

Dnevnik dogodkov Sistem
Vrsta dogodka Napaka
Vir dogodka Kdcsvc
ID dogodka 41
49 (za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2)
Besedilo dogodka Center za distribucijo ključev (KDC) je naletel na uporabniško potrdilo, ki je bilo veljavno, vendar je vsebovalo drugačen SID kot uporabnik, na katerega je bilo preslikano. Posledično je zahteva, ki je vključevala potrdilo, ni uspela. Če želite izvedeti več, glejte https://go.microsoft.cm/fwlink/?linkid=2189925.
Uporabnik: <glavno ime>
SID uporabnika: <SID naročnika za preverjanje pristnosti>
Predmet potrdila: <Ime subjekta v potrdilu>
Izdajatelj potrdila: <Izdajatelj FQDN>
Serijska številka potrdila: <Serijska številka potrdila>
Odtis potrdila: <odtis potrdila>
SID potrdila: <SID v novi razširitvi potrdila>

Preslikave potrdil

Skrbniki domene lahko ročno preslikajo potrdila na uporabnika v imeniku Active Directory z atributom altSecurityIdentities objekta uporabnika. Za ta atribut je podprtih šest vrednosti, pri čemer se tri preslikave štejejo za šibke (negotove), druge tri pa za močne. Na splošno se vrste preslikave štejejo za močne, če temeljijo na identifikatorjih, ki jih ne morete znova uporabiti. Zato se vse vrste kartiranja, ki temeljijo na uporabniških imenih in e-poštnih naslovih, štejejo za šibke.

Preslikava Primer Vrsta Opombe
X509IssuerSubject "X509:<I>Ime<izdajatelja S>ImeZadeva" Šibka
X509Samo predmet »X509:<S>SubjectName« Šibka
X509RFC822 "X509:<RFC822>user@contoso.com" Šibka E-poštni naslov
X509Serijska številka izdajatelja "X509:<I>Ime<izdajatelja SR>1234567890" Močan Priporočeno
X509SKI "X509:<SKI>123456789abcdef" Močan
X509SHA1Javni ključ "X509:<SHA1-PUKEY>123456789abcdef" Močan

Če stranke ne morejo znova izdati potrdil z novo razširitvijo SID, priporočamo, da ustvarite ročno preslikavo z eno od zgoraj opisanih močnih preslikav. To lahko storite tako, da dodate ustrezen niz preslikave atributu uporabnika altSecurityIdentities v imeniku Active Directory.

Ročno preslikavanje potrdil

Opomba Nekatera polja, kot so izdajatelj, zadeva in serijska številka, so sporočena v obliki »posredovanja«. To obliko morate obrniti, ko dodate niz preslikave v atribut altSecurityIdentities . Če želite na primer uporabniku dodati preslikavo X509IssuerSerialNumber, poiščite polji »Izdajatelj« in »Serijska številka« potrdila, ki ga želite preslikati na uporabnika. Oglejte si spodnji vzorčni izhod.

  • Izdajatelj: CN = CONTOSO-DC-CA, DC = contoso, DC = com
  • Serijska številka: 2B0000000011AC0000000012

Nato posodobite uporabnikov atribut altSecurityIdentities v imeniku Active Directory s tem nizom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC110000000002B"

Če želite posodobiti ta atribut s storitvijo Powershell, uporabite spodnji ukaz. Upoštevajte, da imajo privzeto dovoljenje za posodabljanje tega atributa samo skrbniki domene.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Upoštevajte, da morate pri obrnitvi serijske številke ohraniti vrstni red bajtov. To pomeni, da bi moral biti z obračanjem serijske številke »A1B2C3« naveden niz »C3B2A1« in ne »3C2B1A«. Če želite več informacij, glejte HowTo: Preslikava uporabnika v potrdilo z vsemi metodami, ki so na voljo v atributu altSecurityIdentities.

Časovnica za posodobitve sistema Windows

Pomembno Faza omogočanja se začne s posodobitvami za Windows 11. aprila 2023, ki ne bodo upoštevale nastavitve registrskega ključa onemogočenega načina.

Združljivostni način

Ko namestite posodobitve sistema Windows 10. maja 2022, bodo naprave v združljivostnem načinu. Če je potrdilo mogoče močno preslikati na uporabnika, bo preverjanje pristnosti potekalo po pričakovanjih. Če je potrdilo mogoče le šibko preslikati na uporabnika, bo preverjanje pristnosti izvedeno po pričakovanjih. Vendar pa bo opozorilo zabeleženo, razen če je potrdilo starejše od uporabnika. Če je potrdilo starejše od uporabnika in registrski ključ potrdila za nazaj ni na voljo ali je obseg zunaj nadomestila za staranje, preverjanje pristnosti ne bo uspelo in zabeleženo bo sporočilo o napaki.  Če je konfiguriran registrski ključ za nazaj potrdila, bo v dnevnik dogodkov zabeležil opozorilno sporočilo, če datumi spadajo v nadomestilo za staranje.

Ko namestite posodobitve sistema Windows z dne 10. maja 2022, bodite pozorni na opozorilo, ki se lahko prikaže po enem mesecu ali več. Če ni opozorilnih sporočil, priporočamo, da omogočite način polnega uveljavljanja v vseh krmilnikih domene, ki uporabljajo preverjanje pristnosti na podlagi potrdila. Z registrskim ključem KDC lahko omogočite način polnega uveljavljanja.

Način popolnega uveljavljanja

Če krmilniki domene prej ne bodo posodobljeni v način nadzora ali način uveljavljanja z registrskim ključem StrongCertificateBindingEnforcement , se bodo krmilniki domene premaknili v način polnega uveljavljanja, ko bo nameščena varnostna posodobitev sistema Windows iz februarja 2025. Preverjanje pristnosti bo zavrnjeno, če potrdila ni mogoče močno preslikati. Možnost za premik nazaj v združljivostni način bo ohranjena, dokler ne bo nameščena varnostna posodobitev sistema Windows 9. septembra 2025. Po tem datumu registrski ključ StrongCertificateBindingEnforcement ne bo več podprt

Onemogočen način

Če preverjanje pristnosti na podlagi potrdila temelji na šibki preslikavi, ki je ne morete premakniti iz okolja, lahko krmilnike domene preklopite v onemogočeni način z nastavitvijo registrskega ključa. Microsoft tega ne priporoča in onemogočeni način bomo odstranili 11. aprila 2023.

Privzete spremembe močne preslikave

Ko namestite posodobitve sistema Windows z dne 13. februarja 2024 ali novejše v strežniku Server 2019 in novejših različicah ter podprte odjemalce z nameščeno izbirno funkcijo RSAT, bo preslikava potrdila v razdelku Uporabniki imenika Active Directory & računalnikih privzeto izbrala močno preslikavo s storitvijo X509IssuerSerialNumber namesto šibke preslikave s programom X509IssuerSubject. Nastavitev je še vedno mogoče spremeniti po želji.

Odpravljanje težav

Predmet pravilnik skupine lahko moti »preslikave na podlagi imena«

Simptomi

Microsoft je prejel poročila, da je nastavitev »Obdelaj, tudi če se predmeti pravilnik skupine niso spremenili« pod predmetom pravilnik skupine »Konfiguracija> računalnikaSkrbniške predloge>Sistempravilnik>skupineKonfiguracija>obdelave pravilnika registra" lahko občasno moti preslikave na podlagi imen na krmilnikih domene.

Rešitev

Če se želite izogniti tej težavi, onemogočite nastavitev »Obdelaj, tudi če se predmeti pravilnika skupine niso spremenili« na krmilnikih domene. To storite le, če so potrebne preslikave na podlagi imena, kot so opredeljene v pravilniku skupine »Konfiguracija> računalnika,skrbniške predloge>,sistem>KDC>,Dovoli močne preslikave na podlagi imen za potrdila«. Če želite več informacij, glejte Omogočanje močnega preslikavanja na podlagi imen v vladnih scenarijih.

Naslednji korak

Ta poročila preiskujemo in bomo zagotovili več informacij, ko bodo na voljo.

Po namestitvi zaščite CVE-2022-26931 in CVE-2022-26923 se ne vpisujete
  • Uporabite dnevnik delovanja protokola Kerberos v ustreznem računalniku, da ugotovite, kateri krmilnik domene ne uspe pri vpisu. Pojdite na Pregledovalnik dogodkov>Dnevniki aplikacij in storitev Microsoft\ \Windows\Security-Kerberos\operativen.
  • Poiščite ustrezne dogodke v dnevniku sistemskih dogodkov na krmilniku domene, s katerim račun poskuša preveriti pristnost.
  • Če je potrdilo starejše od računa, ga znova izdajte ali dodajte varno preslikavo altSecurityIdentities v račun (glejte Preslikave potrdil).
  • Če potrdilo vsebuje razširitev SID, preverite, ali se SID ujema z računom.
  • Če se potrdilo uporablja za preverjanje pristnosti več različnih računov, bo vsak račun potreboval ločeno preslikavo altSecurityIdentities .
  • Če potrdilo nima varne preslikave v račun, ga dodajte ali pustite domeno v združljivostnem načinu, dokler ga ne boste lahko dodali.
Preverjanje pristnosti s preslikavo potrdila TLS (Transport Layer Security) ni uspelo

Primer preslikave potrdila TLS je uporaba intranetne spletne aplikacije IIS.

  • Po namestitvi zaščite CVE-2022-26391 in CVE-2022-26923 ti scenariji privzeto uporabljajo protokol Kerberos Certificate Service For User (S4U) za preslikavo potrdila in preverjanje pristnosti.
  • V protokolu potrdila Kerberos S4U zahteva za preverjanje pristnosti teče od aplikacijskega strežnika do krmilnika domene in ne od odjemalca do krmilnika domene. Zato bodo ustrezni dogodki na aplikacijskem strežniku.

Informacije o registrskem ključu

Ko namestite zaščito CVE-2022-26931 in CVE-2022-26923 v posodobitvah sistema Windows, izdanih med 10. majem 2022 in 9. septembrom 2025 ali pozneje, so na voljo ti registrski ključi.

Registrski ključ centra za distribucijo ključev (KDC)

Ta registrski ključ ne bo podprt po namestitvi posodobitev za Windows, izdanih septembra 2025 ali pozneje.

Opomba

  • Pomembno

  • Uporaba tega registrskega ključa je začasna rešitev za okolja, ki jo zahtevajo, in jo je treba opraviti previdno. Uporaba tega registrskega ključa za vaše okolje pomeni naslednje:

  • Ta registrski ključ deluje samo v združljivostnem načinu , začenši s posodobitvami, izdanimi 10. maja 2022.

  • Ta registrski ključ ne bo podprt po namestitvi posodobitev za Windows, izdanih 9. septembra 2025.

  • Zaznavanje in preverjanje veljavnosti razširitve SID, ki ga uporablja uveljavljanje močne vezave potrdila, je odvisno od vrednosti registrskega ključa KDC UseSubjectAltName . Razširitev SID bo uporabljena, če vrednost registra ne obstaja ali če je vrednost nastavljena na vrednost 0x1. Razširitev SID ne bo uporabljena, če obstaja UseSubjectAltName in je vrednost nastavljena na 0x0.

Registrski podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Value (Vrednost) StrongCertificateBindingEnforcement
Podatkovni tip REG_DWORD
Podatki 1 – Preveri, ali obstaja močna preslikava potrdil. Če je odgovor pritrdilen, je preverjanje pristnosti dovoljeno. V nasprotnem primeru bo KDC preveril, ali ima potrdilo novo razširitev SID, in ga preveril. Če te razširitve ni, je preverjanje pristnosti dovoljeno, če je uporabniški račun starejši od potrdila.
2 – Preveri, ali obstaja močna preslikava potrdila. Če je odgovor pritrdilen, je preverjanje pristnosti dovoljeno. V nasprotnem primeru bo KDC preveril, ali ima potrdilo novo razširitev SID, in ga preveril. Če te razširitve ni, je preverjanje pristnosti zavrnjeno.
0 – Onemogoči preverjanje preslikave močnega potrdila. Ni priporočljivo, ker boste s tem onemogočili vse varnostne izboljšave.
Če nastavite to možnost na 0, morate CertificateMappingMethods nastaviti tudi na 0x1F, kot je opisano v spodnjem razdelku Registrski ključ Schannel, da bo preverjanje pristnosti na podlagi računalniškega potrdila uspešno.
Potreben je ponovni zagon? Ne
Registrski ključ SChannel

Ko strežniška aplikacija zahteva preverjanje pristnosti odjemalca, Schannel samodejno poskuša preslikati potrdilo, ki ga odjemalec TLS posreduje, v uporabniški račun. Preverjanje pristnosti uporabnikov, ki se vpišejo s potrdilom odjemalca, lahko preverite tako, da ustvarite preslikave, ki povezujejo informacije o potrdilu z uporabniškim računom sistema Windows. Ko ustvarite in omogočite preslikavo potrdila, vsakič, ko odjemalec predstavi odjemalsko potrdilo, strežniški program samodejno poveže tega uporabnika z ustreznim uporabniškim računom sistema Windows.

Schannel bo poskušal preslikati vsako metodo preslikave potrdila, ki ste jo omogočili, dokler ena ne bo uspešna. Schannel najprej poskuša preslikati preslikave storitve za uporabnika do sebe (S4U2Self). Preslikave potrdil Predmet/izdajatelj, Izdajatelj in UPN so zdaj šibke in so privzeto onemogočene. Bitna vsota izbranih možnosti določa seznam razpoložljivih načinov preslikave potrdil.

Privzeti registrski ključ SChannel je bil 0x1F in je zdaj 0x18. Če pride do napak pri preverjanju pristnosti s strežniškimi aplikacijami, ki temeljijo na Schannel, predlagamo, da izvedete preskus. Dodajte ali spremenite vrednost registrskega ključa CertificateMappingMethods v krmilniku domene in jo nastavite na 0x1F ter preverite, ali ste s tem odpravili težavo. Če želite več informacij, poiščite napake v dnevnikih sistemskih dogodkov na krmilniku domene, ki so navedene v tem članku. Ne pozabite, da se bo sprememba vrednosti registrskega ključa SChannel nazaj na prejšnjo privzeto vrednost (0x1F) vrnila na uporabo šibkih metod preslikave potrdil.

Registrski podključ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Value (Vrednost) CertificateMappingMethods
Podatkovni tip DWORD
Podatki 0x0001 – Preslikava potrdila subjekta/izdajatelja (šibka – privzeto onemogočena)
0x0002 – Preslikava potrdila izdajatelja (šibka – privzeto onemogočena)
0x0004 – preslikava potrdila UPN (šibka – privzeto onemogočena)
0x0008 - Zemljevid potrdila S4U2Self (močan)
0x0010 – S4U2Samoeksplicitna preslikava potrdil (močna)
Potreben je ponovni zagon? Ne

Za dodatne vire in podporo glejte razdelek »Dodatni viri«.

Registrski ključ za nazaj potrdila

Ko namestite posodobitve, ki obravnavajo CVE-2022-26931 in CVE-2022-26923, preverjanje pristnosti morda ne bo uspelo v primerih, ko so uporabniška potrdila starejša od časa ustvarjanja uporabnikov. Ta registrski ključ omogoča uspešno preverjanje pristnosti, ko v svojem okolju uporabljate šibke preslikave potrdil in je čas potrdila pred časom ustvarjanja uporabnika v nastavljenem obsegu. Ta registrski ključ ne vpliva na uporabnike ali računalnike z močnimi preslikavami potrdil, saj čas potrdila in čas ustvarjanja uporabnika nista preverjena z močnimi preslikavami potrdil. Ta registrski ključ nima učinka, če je StrongCertificateBindingEnforcement nastavljen na 2.

Uporaba tega registrskega ključa je začasna rešitev za okolja, ki jo zahtevajo, in jo je treba opraviti previdno. Uporaba tega registrskega ključa za vaše okolje pomeni naslednje:

  • Ta registrski ključ deluje samo v združljivostnem načinu , začenši s posodobitvami, izdanimi 10. maja 2022. Preverjanje pristnosti bo dovoljeno v okviru nadomestila za nazaj za nazaj, vendar bo zabeleženo opozorilo dnevnika dogodkov za šibko vezavo.
  • Če omogočite ta registrski ključ, omogočite preverjanje pristnosti uporabnika, ko je čas potrdila pred časom ustvarjanja uporabnika v nastavljenem obsegu kot šibko preslikavo. Šibke preslikave ne bodo podprte po namestitvi posodobitev za Windows, izdanih septembra 2025 ali pozneje.
Registrski podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Value (Vrednost) CertificateBackdatingCompensation
Podatkovni tip REG_DWORD
Podatki Vrednosti za nadomestno rešitev v približno letih:

  • 50 let: 0x5E0C89C0
  • 25 let: 0x2EFE0780
  • 10 let: 0x12CC0300
  • 5 let: 0x9660180
  • 3 leta: 0x5A39A80
  • 1 leto: 0x1E13380
Opomba Če poznate življenjsko dobo potrdil v svojem okolju, nastavite ta registrski ključ na nekoliko daljši od življenjske dobe potrdila. Če ne poznate življenjske dobe potrdila za svoje okolje, nastavite ta registrski ključ na 50 let. Privzeto je 10 minut, ko ta ključ ni prisoten, kar se ujema s storitvami ADCS (Active Directory Certificate Services). Najvišja vrednost je 50 let (0x5E0C89C0).

Ta ključ nastavi časovno razliko v sekundah, ki jo bo Key Distribution Center (KDC) prezrl med časom izdaje potrdila za preverjanje pristnosti in časom ustvarjanja računa za uporabniške račune/račune računalnika.

Pomembno Ta registrski ključ nastavite le, če ga vaše okolje zahteva. Uporaba tega registrskega ključa onemogoča varnostno preverjanje.
Potreben je ponovni zagon? Ne

Overitelji potrdil za podjetja

Overitelji potrdil podjetja bodo po namestitvi posodobitve sistema Windows Update 10. maja 2022 privzeto začeli dodajati novo nekritično razširitev z identifikatorjem predmeta (OID) (1.3.6.1.4.1.311.25.2) v vsa potrdila, izdana na podlagi spletnih predlog. Dodajanje te razširitve lahko ustavite tako, da nastavite 0x00080000 bit v vrednosti msPKI-Enrollment-Flag ustrezne predloge.

Primer

Zaženete ta ukaz certutil , da izključite potrdila uporabniške predloge iz pridobivanja nove razširitve.

  1. Vpišite se v strežnik overitelja potrdil ali odjemalca sistema Windows 10, ki je pridružen domeni, s skrbnikom podjetja ali enakovrednimi poverilnicami.
  2. Odprite ukazni poziv in izberite Zaženi kot skrbnik.
  3. Zaženite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.

Če onemogočite dodajanje te razširitve, boste odstranili zaščito, ki jo zagotavlja nova razširitev. Razmislite o tem, da to storite šele po enem od naslednjega:

  1. Potrdite, da ustrezna potrdila niso sprejemljiva za šifriranje javnega ključa za začetno preverjanje pristnosti (PKINIT) pri preverjanju pristnosti protokola Kerberos na spletnem mestu KDC
  2. Za ustrezna potrdila so konfigurirane druge močne preslikave potrdil

Okolja, ki imajo uvedbe izdelovalnega potrdila, ki niso Microsoftova potrdila, po namestitvi posodobitve sistema Windows 10. maja 2022 ne bodo zaščitena z novo razširitvijo SID. Prizadete stranke bi morale sodelovati z ustreznimi prodajalci potrdil, da bi to rešile, ali pa bi morale razmisliti o uporabi drugih močnih preslikav potrdil, opisanih zgoraj.

Za dodatne vire in podporo glejte razdelek »Dodatni viri«.

Pogosta vprašanja

Ali je treba po posodobitvi potrdila za preverjanje pristnosti odjemalca obnoviti vsa potrdila za preverjanje pristnosti odjemalca?

Ne, podaljšanje ni potrebno. CA bo dobavljen v združljivostnem načinu. Če želite močno preslikavo z razširitvijo ObjectSID, boste potrebovali novo potrdilo.

Kako bo način polnega uveljavljanja vplival na moje okolje?

V posodobitvi sistema Windows Update 11. februarja 2025 bodo naprave, ki še niso v postopku uveljavljanja (vrednost registra StrongCertificateBindingEnforcement je nastavljena na 2), premaknjene v uveljavitev. Če je preverjanje pristnosti zavrnjeno, se prikaže ID dogodka 39 (ali ID dogodka 41 za Windows Server 2008 R2 s servisnim paketom SP1 in servisnim paketom SP2 za Windows Server 2008). Na tej stopnji boste imeli možnost, da vrednost registrskega ključa nastavite nazaj na 1 (združljivostni način).

V storitvi Windows Update 9. septembra 2025 vrednost registra StrongCertificateBindingEnforcement ne bo več podprta.

Dodatni viri

Če želite več informacij o preslikavi potrdil odjemalca TLS, si oglejte te članke: