KB5014754 – certifikatbaserade autentiseringsändringar på Windows domänkontrollanter

Inga starka certifikatmappningar hittades och certifikatet hade inte det nya SID-tillägg (Security Identifier) som KDC kunde verifiera.

Händelselogg	System
Händelsetyp	Varning om KDC är i kompatibilitetsläge Fel om KDC är i tvingande läge
Händelsekälla	Kdcsvc
Händelse-ID	39 41 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2)
Händelsetext	Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som inte kunde mappas till en användare på ett starkt sätt (till exempel via explicit mappning, mappning av nyckelförtroende eller sid). Sådana certifikat bör antingen ersättas eller mappas direkt till användaren genom explicit mappning. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2189925. Användare: <huvudnamn> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <utfärdaren fullständigt kvalificerat domännamn (FQDN)> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate>

Certifikatet utfärdades till användaren innan användaren fanns i Active Directory och ingen stark mappning kunde hittas. Händelsen loggas bara när KDC är i kompatibilitetsläge.

Händelselogg	System
Händelsetyp	Fel
Händelsekälla	Kdcsvc
Händelse-ID	40 48 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2
Händelsetext	Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som inte kunde mappas till en användare på ett starkt sätt (till exempel via explicit mappning, mappning av nyckelförtroende eller sid). Certifikatet fördaterade också användaren som det mappade till, så det avvisades. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2189925. Användare: <huvudnamn> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <-utfärdaren FQDN-> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate> Certifikatutfärdningstid: <FILETIME för certifikat> Skapandetid för konto: <FILETIME för huvudobjekt i AD->

Sid som finns i den nya tillägget av användarcertifikatet överensstämmer inte med användarnas SID, vilket innebär att certifikatet har utfärdats till en annan användare.

Händelselogg	System
Händelsetyp	Fel
Händelsekälla	Kdcsvc
Händelse-ID	41 49 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2)
Händelsetext	Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som innehöll ett annat SID än den användare som det mappade till. Begäran om certifikatet misslyckades därför. Mer information finns i https://go.microsoft.cm/fwlink/?linkid=2189925. Användare: <huvudnamn> Användar-SID: <SID för det autentiserande> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <-utfärdaren FQDN-> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate> Certifikat-SID: <SID som finns i det nya>

Observera Vissa fält, till exempel Utfärdaren, Ämne och Serienummer, rapporteras i formatet "vidarebefordran". Du måste vända det här formatet när du lägger till mappningssträngen i attributet altSecurityIdentities . Om du till exempel vill lägga till X509IssuerSerialNumber-mappningen till en användare söker du i fälten "Utfärdare" och "Serienummer" för certifikatet som du vill mappa till användaren. Se exempelresultatet nedan.

• Utfärdare: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B000000011AC0000000012

Uppdatera sedan användarens altSecurityIdentities-attribut i Active Directory med följande sträng:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Om du vill uppdatera det här attributet med Powershell kan du använda kommandot nedan. Kom ihåg att som standard är det bara domänadministratörer som har behörighet att uppdatera det här attributet.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}

Observera att när du omvänder SerialNumber måste du behålla byteordningen. Det innebär att om du återställer SerialNumber "A1B2C3" ska strängen "C3B2A1" och inte "3C2B1A". Mer information finns i HowTo: Mappa en användare till ett certifikat via alla metoder som är tillgängliga i attributet altSecurityIdentities.

När du har installerat Windows-uppdateringarna från 10 maj 2022 är enheterna i kompatibilitetsläge. Om ett certifikat kan mappas starkt till en användare sker autentiseringen som förväntat. Om ett certifikat bara kan mappas svagt till en användare sker autentiseringen som förväntat. Ett varningsmeddelande loggas dock om inte certifikatet är äldre än användaren. Om certifikatet är äldre än registernyckeln för säkerhetskopiering av certifikat eller om området ligger utanför kompensationen för säkerhetskopieringen misslyckas autentiseringen och ett felmeddelande loggas.  Om registernyckeln för säkerhetskopiering av certifikat har konfigurerats loggas ett varningsmeddelande i händelseloggen om datumen ligger inom kompensationen för säkerhetskopiering.

När du har installerat Windows-uppdateringarna från 10 maj 2022 watch för alla varningsmeddelanden som kan visas efter en månad eller mer. Om det inte finns några varningsmeddelanden rekommenderar vi starkt att du aktiverar läget Fullständig tillämpning för alla domänkontrollanter med certifikatbaserad autentisering. Du kan använda KDC-registernyckeln för att aktivera fullständigt tvingande läge.

Om vi inte har uppdaterat till det här läget tidigare uppdaterar vi alla enheter till läget Fullständig tillämpning senast den 11 februari 2025 eller senare. Om ett certifikat inte kan mappas starkt nekas autentisering.

Om certifikatbaserad autentisering är beroende av en svag mappning som du inte kan flytta från miljön kan du placera domänkontrollanter i inaktiverat läge med hjälp av en registernyckelinställning. Microsoft rekommenderar inte detta och vi tar bort inaktiverat läge den 11 april 2023.

När du har installerat Windows-uppdateringarna från 13 februari 2024 eller senare på Server 2019 och senare samt klienter som stöds med den valfria RSAT-funktionen installerad, kommer certifikatmappningen i Active Directory-användare & datorer att välja stark mappning med X509IssuerSerialNumber i stället för svag mappning med hjälp av X509IssuerSubject. Du kan fortfarande ändra inställningen efter behov.

• Använd Kerberos-loggen på den relevanta datorn för att avgöra vilken domänkontrollant som misslyckas med inloggningen. Gå till Loggboken > program- och tjänstloggar\Microsoft \Windows\Security-Kerberos\Operational.

• Leta efter relevanta händelser i systemhändelseloggen på domänkontrollanten som kontot försöker autentisera mot.

• Om certifikatet är äldre än kontot ska du återutge certifikatet eller lägga till en säker altSecurityIden-enhet som mappas till kontot (se Certifikatmappningar).

• Om certifikatet innehåller ett SID-tillägg kontrollerar du att SID matchar kontot.

• Om certifikatet används för att autentisera flera olika konton behöver varje konto en separat altSecurityIdentities-mappning .

• Om certifikatet inte har någon säker mappning till kontot lägger du till en eller lämnar domänen i kompatibilitetsläge tills en kan läggas till.

Ett exempel på TLS-certifikatmappning är att använda ett IIS-intranätwebbprogram.

• När du har installerat CVE-2022-26391 - och CVE-2022-26923-skydd använder dessa scenarier Kerberos S4U-protokoll (Certificate Service For User) för certifikatmappning och autentisering som standard.

• I Kerberos Certificate S4U-protokollet flödar autentiseringsbegäran från programservern till domänkontrollanten, inte från klienten till domänkontrollanten. Relevanta händelser kommer därför att finnas på programservern.

Den här registernyckeln ändrar KDC:s tillämpningsläge till inaktiverat läge, kompatibilitetsläge eller fullständigt tvingande läge.

Registerundernyckel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Värde	StrongCertificateBindingEnforcement
Datatyp	REG_DWORD
Data	1 – Kontrollerar om det finns en stark certifikatmappning. Om ja är autentisering tillåten. Annars kontrollerar KDC om certifikatet har det nya SID-tillägget och verifierar det. Om det här tillägget inte finns tillåts autentisering om användarkontot föregår certifikatet. 2 – Kontrollerar om det finns en stark certifikatmappning. Om ja är autentisering tillåten. Annars kontrollerar KDC om certifikatet har det nya SID-tillägget och verifierar det. Om det här tillägget inte finns nekas autentisering. 0 – Inaktiverar kontrollen av stark certifikatmappning. Rekommenderas inte eftersom detta inaktiverar alla säkerhetsförbättringar. Om du anger värdet 0 måste du också ange att CertificateMappingMethods ska 0x1F enligt beskrivningen i avsnittet Schannel-registernyckeln nedan för att datorcertifikatbaserad autentisering ska lyckas..
Omstart Krävs?	Nej

När ett serverprogram kräver klientautentisering försöker Schannel automatiskt mappa certifikatet som TLS-klienten tillhandahåller ett användarkonto. Du kan autentisera användare som loggar in med ett klientcertifikat genom att skapa mappningar som relaterar certifikatinformationen till ett Windows-användarkonto. När du har skapat och aktiverat en certifikatmappning associeras den användaren automatiskt med rätt Windows-användarkonto varje gång en klient presenterar ett klientcertifikat.

Schannel försöker mappa varje certifikatmappningsmetod som du har aktiverat tills en lyckas. Schannel försöker mappa S4U2Self-mappningarna först. Mappningarna ämne/utfärdare, utfärdare och UPN-certifikat anses nu vara svaga och har inaktiverats som standard. Den bitmaskerade summan av de valda alternativen bestämmer listan över tillgängliga certifikatmappningsmetoder.

Standardinställningen för SChannel-registernyckeln var 0x1F och är nu 0x18. Om du får autentiseringsfel med Schannel-baserade serverprogram föreslår vi att du utför ett test. Lägg till eller ändra registernyckelvärdet CertificateMappingMethods på domänkontrollanten och ange 0x1F och se om det löser problemet. Mer information finns i systemhändelseloggarna på domänkontrollanten efter eventuella fel som anges i den här artikeln. Tänk på att om du ändrar tillbaka SChannel-registernyckelvärdet till föregående standardvärde (0x1F) återgår du till att använda svaga metoder för certifikatmappning.

Registerundernyckel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Värde	CertificateMappingMethods
Datatyp	DWORD
Data	0x0001 – Mappning av certifikat för ämne/utfärdare (svag – inaktiverad som standard) 0x0002 – mappning av utfärdarcertifikat (svag – inaktiverad som standard) 0x0004 – MAPPNING av UPN-certifikat (svag – inaktiverad som standard) 0x0008 – S4U2Self certificate mapping (strong) 0x0010 – S4U2Self explicit certifikatmappning (stark)
Omstart Krävs?	Nej

Mer resurser och support finns i avsnittet "Ytterligare resurser".

När du har installerat uppdateringar som adresserar CVE-2022-26931 och CVE-2022-26923 kan autentisering misslyckas i de fall där användarcertifikaten är äldre än när användarna skapar. Den här registernyckeln tillåter lyckad autentisering när du använder svaga certifikatmappningar i din miljö och certifikattiden är innan användaren skapar tid inom ett angivet intervall. Den här registernyckeln påverkar inte användare eller datorer med starka certifikatmappningar eftersom certifikattiden och tiden för att skapa användare inte kontrolleras med starka certifikatmappningar. Den här registernyckeln har ingen effekt när StrongCertificateBindingEnforcement är inställt på 2.

Att använda den här registernyckeln är en tillfällig lösning för miljöer som kräver det och som måste göras med försiktighet. Om du använder den här registernyckeln innebär det följande för din miljö:

• Den här registernyckeln fungerar bara i kompatibilitetsläge från och med uppdateringar som släpptes 10 maj 2022. Autentisering tillåts inom kompensationsförskjutningen för säkerhetskopiering, men en händelseloggvarning loggas för den svaga bindningen.

• Aktivering av den här registernyckeln tillåter autentisering av användare när certifikattiden är innan användaren skapar tid inom ett angivet intervall som en svag mappning. Svaga mappningar stöds inte efter installation av uppdateringar för Windows som släpptes den 11 februari 2025, vilket aktiverar läget Fullständig tillämpning.

Registerundernyckel	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Värde	CertificateBackdatingCompensation
Datatyp	REG_DWORD
Data	Värden för lösning inom ungefärliga år: 50 år: 0x5E0C89C0 25 år: 0x2EFE0780 10 år: 0x12CC0300 5 år: 0x9660180 3 år: 0x5A39A80 1 år: 0x1E13380 Obs! Om du vet livslängden för certifikaten i din miljö anger du registernyckeln något längre än certifikatets livslängd.  Om du inte känner till certifikatlivslängderna för din miljö anger du registernyckeln till 50 år. Standardvärdet är 10 minuter när den här nyckeln inte finns, vilket matchar Active Directory Certificate Services (ADCS). Det maximala värdet är 50 år (0x5E0C89C0). Den här nyckeln anger tidsskillnaden i sekunder som nyckeldistributionscentret (KDC) ignorerar mellan tiden för ett autentiseringscertifikatproblem och tiden då kontot skapades för användarkonton/datorkonton. Viktigt! Ange bara den här registernyckeln om miljön kräver det. Med den här registernyckeln inaktiveras en säkerhetskontroll.
Omstart Krävs?	Nej

Du kör följande certutil-kommando för att utesluta certifikat för användarmallen från att få det nya tillägget.

1. Logga in på en certifikatutfärdarserver eller en domänansluten Windows 10-klient med företagsadministratör eller motsvarande autentiseringsuppgifter.

2. Öppna en kommandotolk och välj kör som administratör.

3. Kör certutil -dstemplate användare msPKI-Enrollment-Flag +0x00080000. 

Om du inaktiverar tillägget av det här tillägget tas skyddet från det nya tillägget bort. Överväg att göra detta endast efter något av följande:

1. Du bekräftar att motsvarande certifikat inte är acceptabla för Public Key Cryptography for Initial Authentication (PKINIT) i Kerberos Protocol-autentisering vid KDC

2. Motsvarande certifikat har andra starka certifikatmappningar konfigurerade

Miljöer som har icke-Microsoft CA-distributioner skyddas inte med det nya SID-tillägget efter installation av Windows-uppdateringen från 10 maj 2022. Berörda kunder bör arbeta med motsvarande leverantörer av certifikatutfärdare för att åtgärda detta eller överväga att använda andra starka certifikatmappningar som beskrivs ovan.

Mer resurser och support finns i avsnittet "Ytterligare resurser".

Nej, förnyelse krävs inte. Certifikat certifikatet levereras i kompatibilitetsläge. Om du vill ha en stark mappning med ObjectSID-tillägget behöver du ett nytt certifikat.