KB5014754 – promene potvrde verodostojnosti zasnovane na certifikatu na Windows kontrolorima domena

Nije bilo moguće pronaći snažna mapiranja certifikata, a certifikat nema novu oznaku tipa bezbednosnog identifikatora (SID) za koju KDC može da proveri valjanost.

Certifikat je izdat korisniku pre nego što je korisnik postojao u aktivnom direktorijumu i nije bilo moguće pronaći čvrsto mapiranje. Ovaj događaj se evidentira samo kada je KDC u režimu kompatibilnosti.

SID koji sadrži novo proširenje certifikata korisnika ne podudara se sa SID-om korisnika, što znači da je certifikat izdat drugom korisniku.

Beleške Određena polja, kao što su izdalac, tema i serijski broj, prijavljaju se u formatu "prosleđivanje". Morate da opozivate ovaj format kada dodate nisku za mapiranje u atribut altSecurityIdentities . Na primer, da biste korisniku dodali X509IssuerSerialNumber mapiranje, pretražite polja "Izdavač" i "Serijski broj" certifikata koje želite da mapirate sa korisnikom. Pogledajte dolenavedeni uzorak rezultata.

• Izdalac: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC000000012

Zatim ažurirajte atribut altSecurityIdentities korisnika u usluzi Active Directory sledećom niskom:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"

Da biste ažurirali ovaj atribut pomoću programa Powershell, možete da koristite dolenavedenu komandu. Imajte na umu da samo administratori domena podrazumevano imaju dozvolu da ažuriraju ovaj atribut.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Imajte na umu da kada obrnete SerialNumber, morate zadržati redosled bajta. To znači da vraćanje funkcije SerialNumber "A1B2C3" treba da dovede do niske "C3B2A1 ", a ne "3C2B1A". Više informacija potražite u članku Kako Da: Mapiranje korisnika u certifikat putem svih metoda dostupnih u atributu altSecurityIdentities.

Kada instalirate ispravke za Windows od 10. maja 2022. godine, uređaji će biti u režimu kompatibilnosti. Ako se certifikat može strogo mapirati sa korisnikom, potvrda identiteta će se obavljati na očekivani način. Ako je samo korisniku moguće slabo mapirati certifikat, potvrda identiteta će se obavljati na očekivani način. Međutim, poruka upozorenja će biti evidentirana, osim ako je certifikat stariji od korisnika. Ako je certifikat stariji od korisnika i ključ registratora za pravljenje rezervne aktivacije certifikata nije prisutan ili je opseg izvan rezervne kompetencije, potvrda identiteta neće uspeti i poruka o grešci će biti evidentirana.  Ako je konfigurisan ključ registratora "Rezervna verzija certifikata", on će evidentovati poruku upozorenja u evidenciji događaja ako datumi budu u okviru rezervne kompeencije.

Kada instalirate ispravke za Windows od 10. maja 2022. godine, pogledajte sve poruke upozorenja koje se mogu pojaviti posle mesec dana ili više. Ako nema poruka upozorenja, preporučujemo da omogućite režim potpune primene na svim kontrolere domena pomoću potvrde identiteta zasnovane na certifikatu. Možete da koristite ključ KDC registratora da biste omogućili režim potpune primene.

Ako prethodno nije ažurirano u ovaj režim, ažuriraćemo sve uređaje u režim potpune primene do 11. februara 2025. ili novije. Ako certifikat ne može biti strogo mapiran, potvrda identiteta će biti odbijena.

Ako se potvrda identiteta zasnovana na certifikatu oslanja na slabo mapiranje koje ne možete da premestite iz okruženja, kontrolere domena možete da postavite u onemogućeni režim pomoću postavke ključa registratora. Microsoft to ne preporučuje i uklonićemo onemogućeni režim 11. aprila 2023.

Kada instalirate ispravke za 13. februar 2024. ili novije verzije operativnog sistema Windows na serveru 2019 i novijim verzijama i podržanim klijentima sa instaliranom opcionalnom FUNKCIJOM RSAT, mapiranje certifikata u active Directory korisnicima & Računari podrazumevano biraju snažno mapiranje pomoću X509IssuerSerialNumber umesto slabog mapiranja pomoću X509IsuerSubject. Postavka se i dalje može menjati po želji.

• Koristite Kerberos operativnu evidenciju na relevantnom računaru da biste utvrdili koji kontroler domena ne uspeva da se prijavi. Idite na Prikazivač događaja> evidencije aplikacija i usluga\Microsoft \Windows\Security-Kerberos\Operational.

• Potražite relevantne događaje u evidenciji sistemskih događaja na kontroleru domena protiv kojih nalog pokušava da izvrši potvrdu identiteta.

• Ako je certifikat stariji od naloga, ponovo ga dodajte ili dodajte bezbedno mapiranje altSecurityIdentities na nalog (pogledajte članak Mapiranja certifikata).

• Ako certifikat sadrži siD proširenje, proverite da li se SID podudara sa nalogom.

• Ako se certifikat koristi za potvrdu identiteta nekoliko različitih naloga, svakom nalogu će biti potrebno posebno mapiranje altSecurityIdentities .

• Ako certifikat nema bezbedno mapiranje naloga, dodajte ga ili napustite domen u režimu kompatibilnosti dok ga ne dodate.

Primer mapiranja TLS certifikata koristi IIS intranet veb aplikaciju.

• Nakon instaliranja zaštita CVE-2022-26391 i CVE-2022-26923 , ti scenariji podrazumevano koriste protokol Kerberos usluga certifikata za korisnike (S4U) za mapiranje certifikata i potvrdu identiteta.

• U protokolu Kerberos certificate S4U zahtev za potvrdu identiteta prelazi sa servera aplikacije na kontroler domena, a ne od klijenta do kontrolera domena. Stoga će relevantni događaji biti na serveru aplikacije.

Ovaj ključ registratora menja režim sprovođenja KDC-a u onemogućeni režim, režim kompatibilnosti ili režim potpune primene.

Kada aplikacija servera zahteva potvrdu identiteta klijenta, Šenel automatski pokušava da mapirate certifikat koji TLS klijent obezbeđuje na korisnički nalog. Možete da potvrdite identitet korisnika koji se prijave pomoću certifikata klijenta tako što ćete kreirati mapiranja koja su povezana sa informacijama o certifikatu sa Windows korisničkim nalogom. Kada kreirate i omogućite mapiranje certifikata, svaki put kada klijent izlaže certifikat klijenta, aplikacija servera automatski povezuje tog korisnika sa odgovarajućim Windows korisničkim nalogom.

Schannel će pokušati da mapira svaki metod mapiranja certifikata koji ste omogućili dok jedan ne uspe. Šannel prvo pokušava da mapira mapiranja Service-For-User-To-Self (S4U2Self). Mapiranja certifikata "Tema/izdavač", "Izdavač" i "UPN" sada se smatraju slabim i podrazumevano su onemogućena. Rasterani zbir izabranih opcija određuje listu dostupnih metoda mapiranja certifikata.

Podrazumevani ključ registratora SChannel je 0x1F i sada se 0x18. Ako naiđete na greške pri potvrdi identiteta u aplikacijama servera zasnovanim na Šenelu, predlažemo da izvršite test. Dodajte ili izmenite vrednost ključa registratora CertificateMappingMethods na kontroler domena i podesite je na 0x1F i vidite da li to rešava problem. Više informacija potražite u evidencijama događaja sistema na kontroleru domena za sve greške navedene u ovom članku. Imajte na umu da će promena vrednosti ključa SChannel registratora na prethodnu podrazumevanu vrednost (0x1F) vratiti na korišćenje slabih metoda mapiranja certifikata.

Dodatne resurse i podršku potražite u odeljku "Dodatni resursi".

Kada instalirate ispravke sa adresom CVE-2022-26931 i CVE-2022-26923, potvrda identiteta može da ne uspe u slučajevima kada su korisnički certifikati stariji od vremena kreiranja korisnika. Ovaj ključ registratora omogućava uspešnu potvrdu identiteta kada koristite slaba mapiranja certifikata u okruženju, a vreme certifikata pre vremena kreiranja korisnika u okviru skupa opsega. Ovaj ključ registratora ne utiče na korisnike ili računare sa jakim mapiranjem certifikata jer se vreme kreiranja certifikata i vreme kreiranja korisnika ne proveravaju pomoću jakih mapiranja certifikata. Ovaj ključ registratora nema nikakvog efekta kada je StrongCertificateBindingEnforcement postavljen na 2.

Korišćenje ovog ključa registratora je privremeno zaobilazno rešenje za okruženja koja ga zahtevaju i moraju da se vrše oprezno. Korišćenje ovog ključa registratora znači sledeće za okruženje:

• Ovaj ključ registratora funkcioniše samo u režimu kompatibilnosti , počevši od ispravki objavljenih 10. maja 2022. godine. Potvrda identiteta će biti dozvoljena u okviru potpornog pomaka kompetencije, ali će upozorenje evidencije događaja biti evidentirano radi slabog povezivanja.

• Omogućavanje ovog ključa registratora omogućava potvrdu identiteta korisnika kada je vreme certifikata pre vremena kreiranja korisnika unutar skupa opsega kao slabo mapiranje. Slaba mapiranja neće biti podržana nakon instaliranja ispravki za Windows objavljenih 11. februara 2025. što će omogućiti režim potpune primene.

Pokrećete sledeću certutil komandu da biste izuzeli certifikate korisničkog predloška iz pribavljanja novog proširenja.

1. Prijavite se na server autoriteta za izdavanje certifikata ili na klijenta pridruženog Windows 10 domena sa administratorom preduzeća ili sa jednakim akreditivema.

2. Otvorite komandnu liniju i odaberite stavku Pokreni kao administrator.

3. Pokrenite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Onemogućavanje dodavanja ovog proširenja ukloniće zaštitu koju pruža novo proširenje. Razmislite o tome da ovo uradite samo posle jednog od sledećih koraka:

1. Potvrđujete da odgovarajući certifikati nisu prihvatljivi za javnu kriptografiju za početnu potvrdu identiteta (PKINIT) u kerberos protokolu potvrde identiteta u KDC-u

2. Odgovarajući certifikati imaju konfigurisana druga jaka mapiranja certifikata

Okruženja koja imaju primene koje nisu Microsoft CA neće biti zaštićena korišćenjem novog SID proširenja nakon instaliranja ispravke za Windows od 10. maja 2022. Ugroženi klijenti bi trebalo da rade sa odgovarajućim ca prodavcima da bi rešili ovaj problem ili bi trebalo da razmotrite korišćenje drugih snažnih mapiranja certifikata opisanih iznad.

Dodatne resurse i podršku potražite u odeljku "Dodatni resursi".

Ne, nije potrebno obnavljanje. Ca će se isporučiti u režimu kompatibilnosti. Ako želite snažno mapiranje pomoću proširenja ObjectSID, biće vam potreban novi certifikat.