KB5014754: Windows etki alanı denetleyicilerinde sertifika tabanlı kimlik doğrulama değişiklikleri

Uygulandığı Öğe
Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019
Değişiklik günlüğü
Tarihi değiştir Açıklama
9/10/2025 10 Eylül 2025 olan Yaptırım modu tarihi 9 Eylül 2025 olarak düzeltildi.
9/8/2025 "Ek Kaynaklar" bölümüne bir referans eklendi... TIntuneIntune sertifikalarında güçlü eşleme uygulama.
7/29/2025 "Sorun Giderme" bölümünün altına "Bilinen sorun" eklendi... Bir Grup İlkesigrup ilkesi nesnesi "ad tabanlı eşlemeler" ile çakışabilir
10/24/2024 "Windows güncelleştirmeleri için Zaman Çizelgesi" bölümünün "Tam Zorlama modu" açıklamasında "İşlem yapın" bölümünün 2. Adımındaki metni netleştirmek için güncelleştirdik ve "Kayıt Defteri Anahtarı Bilgileri" bölümündeki "Anahtar Dağıtım Merkezi (KDC) Kayıt Defteri Anahtarı" ve "Sertifika Geriye Dönük Kayıt Defteri Anahtarı" konularının tarih bilgileri düzeltildi.
9/10/2024 "Windows güncelleştirmeleri için zamanlama" bölümündeki Tam Zorlama modu açıklaması yeni tarihleri yansıtacak şekilde değiştirildi. 11 Şubat 2025, cihazları Zorlama moduna geçirecek ancak Uyumluluk moduna geri dönme desteği bırakacaktır. Tam kayıt defteri anahtarı desteği artık 9 Eylül 2025'te sona erecek.
7/5/2024 "Kayıt defteri anahtarı bilgileri" bölümüne Anahtar Dağıtım Merkezi (KDC) kayıt defteri anahtarına SID Uzantısı hakkında bilgi eklendi.
10/10/2023 Güçlü Eşlemeler Varsayılan Değişiklikler hakkında bilgi eklendi "Timeline for Windows UpdatesGüncelleştirmeler"
6/30/2023 Tam Yaptırım modu tarihi 14 Kasım 2023'ten 11 Şubat 2025'e değiştirildi (bu tarihler daha önce 19 Mayıs 2023 - 14 Kasım 2023 olarak listelenmişti).
1/26/2023 14 Şubat 2023 olan Devre Dışı modunun kaldırılması 11 Nisan 2023 olarak değiştirildi.

Özet

CVE-2022-34691,CVE-2022-26931 ve CVE-2022-26923, Kerberos Anahtar Dağıtım Merkezi (KDC) sertifika tabanlı bir kimlik doğrulama isteğine hizmet verirken ortaya çıkabilecek bir ayrıcalık yükselmesi güvenlik açığını giderir. 10 Mayıs 2022 güvenlik güncelleştirmesinden önce, sertifika tabanlı kimlik doğrulaması makine adının sonundaki dolar işaretini ($) hesaba katmıyordu. Bu, ilgili sertifikaların çeşitli yollarla taklit edilmesine (taklit edilmesine) izin verdi. Buna ek olarak, Kullanıcı Asıl Adları (UPN) ve sAMAccountName arasındaki çakışmalar , bu güvenlik güncelleştirmesiyle gidereceğimiz başka öykünme (kimlik sahtekarlığı) güvenlik açıklarına da neden olmuştur.

Harekete geçin

Ortamınızı korumak için, sertifika tabanlı kimlik doğrulaması için aşağıdaki adımları tamamlayın:

  1. 10 Mayıs 202,2 güncelleştirmesi ile Active Directory Sertifika Hizmetleri çalıştıran tüm sunucuları ve sertifika tabanlı kimlik doğrulama hizmeti veren Windows etki alanı denetleyicilerini güncelleştirin (bkz. Uyumluluk modu). 10 Mayıs 2022 güncelleştirmesi, Tam Zorlama moduyla uyumlu olmayan sertifikaları tanımlayan denetim olayları sağlayacaktır.
  2. Güncelleştirme yüklendikten sonra bir ay boyunca etki alanı denetleyicilerinde hiçbir denetim olay günlüğü oluşturulmazsa, tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmeye devam edin. Şubat 2025'e kadar, StrongCertificateBindingEnforcement kayıt defteri anahtarı yapılandırılmazsa, etki alanı denetleyicileri Tam Zorlama moduna geçecektir. Aksi takdirde, kayıt defteri anahtarları Uyumluluk modu ayarı korunmaya devam eder. Tam Zorlama modunda, sertifika güçlü (güvenli) eşleme ölçütlerinde (bkz. Sertifika eşlemeleri) başarısız olursa, kimlik doğrulaması reddedilir. Ancak Uyumluluk moduna geri dönme seçeneği, 9 Eylül 2025 tarihli Windows güvenlik güncelleştirmesi yüklenene kadar devam edecektir.

Denetim olayları

10 Mayıs 2022 Windows güncelleştirmesi aşağıdaki olay günlüklerini ekler.

Güçlü eşleme yok

Sağlam sertifika eşlemeleri bulunamadı ve sertifika, KDC'nin doğrulayabileceği yeni güvenlik tanımlayıcısı (SID) uzantısına sahip değildi.

Olay Günlüğü Sistem
Olay Türü KDC Uyumluluk modundaysa uyarı
KDC Zorlama modundaysa hata
Olay Kaynağı kdcsvc
Olay Kimliği 39
41 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)
Olay Metni Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde (açık eşleme, anahtar güven eşlemesi veya SID gibi) eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı. Bu tür sertifikalar açık eşleme yoluyla değiştirilmeli veya doğrudan kullanıcıyla eşlenmelidir. Daha fazla bilgi edinmek için https://go.microsoft.com/fwlink/?linkid=2189925 bakın.
Kullanıcı: <asıl ad>
Sertifika Konusu: <Sertifikadaki konu adı>
Sertifikayı Veren: <Sertifikayı Veren Tam Etki Alanı Adı (FQDN)>
Sertifika Seri Numarası: <Sertifikanın Seri Numarası>
Sertifika Parmak İzi: <Sertifikanın Parmak İzi>
Sertifika önceki tarih hesabı

Sertifika, kullanıcı Active Directory'de var olmadan önce verilmiş ve güçlü eşleme bulunamamıştır. Bu olay yalnızca KDC Uyumluluk modundayken günlüğe kaydedilir.

Olay Günlüğü Sistem
Olay Türü Hata
Olay Kaynağı kdcsvc
Olay Kimliği 40
48 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için
Olay Metni Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde (açık eşleme, anahtar güven eşlemesi veya SID gibi) eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı. Sertifika ayrıca eşlendiği kullanıcıdan önce geldiğinden reddedildi. Daha fazla bilgi edinmek için https://go.microsoft.com/fwlink/?linkid=2189925 bakın.
Kullanıcı: <asıl ad>
Sertifika Konusu: <Sertifikadaki konu adı>
Sertifikayı Veren: <Sertifikayı Veren FQDN>
Sertifika Seri Numarası: <Sertifikanın Seri Numarası>
Sertifika Parmak İzi: <Sertifikanın Parmak İzi>
Sertifika Verme Süresi: <Sertifikanın DOSYA ZAMANI>
Hesap Oluşturma Zamanı: <AD'deki asıl nesnenin FILETIME>
Kullanıcı SID'si Sertifika SID'si ile eşleşmiyor

Kullanıcı sertifikasının yeni uzantısında yer alan SID, kullanıcı SID'si ile eşleşmez, bu da sertifikanın başka bir kullanıcıya verildiği anlamına gelir.

Olay Günlüğü Sistem
Olay Türü Hata
Olay Kaynağı kdcsvc
Olay Kimliği 41
49 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)
Olay Metni Anahtar Dağıtım Merkezi (KDC) geçerli olan ancak eşlendiği kullanıcıdan farklı bir SID içeren bir kullanıcı sertifikasıyla karşılaştı. Sonuç olarak, sertifikayı içeren istek başarısız oldu. Daha fazla bilgi edinmek için https://go.microsoft.cm/fwlink/?linkid=2189925 bakın.
Kullanıcı: <asıl ad>
Kullanıcı SID'i: <Kimlik doğrulama sorumlusunun SID'si>
Sertifika Konusu: <Sertifikadaki konu adı>
Sertifikayı Veren: <Sertifikayı Veren FQDN>
Sertifika Seri Numarası: <Sertifikanın Seri Numarası>
Sertifika Parmak İzi: <Sertifikanın Parmak İzi>
Sertifika SID'si: <Yeni Sertifika Uzantısı'nda bulunan SID>

Sertifika eşlemeleri

Etki alanı yöneticileri, user Nesnesinin altSecurityIdentities özniteliğini kullanarak sertifikaları Active Directory'deki bir kullanıcıyla el ile eşleyebilir. Bu öznitelik için desteklenen altı değer vardır; bunlardan üçü zayıf (güvensiz) ve diğer üçü güçlü olarak kabul edilir. Genel olarak, eşleme türleri yeniden kullanamayacağınız tanımlayıcıları temel alıyorsa güçlü kabul edilir. Bu nedenle, kullanıcı adlarına ve e-posta adreslerine dayalı tüm eşleme türleri zayıf olarak kabul edilir.

Eşleme Örnek Tür Açıklamalar
X509IssuerSubject "x509:<I>issuerName<s>subjectName" Zayıf
X509SubjectOnly "X509:<S>SubjectName" Zayıf
X509RFC822 "X509:<RFC822>user@contoso.com" Zayıf E-Posta Adresi
X509IssuerSerialNumber "X509:<I>IssuerName<SR>1234567890" Güçlü Önerilen
X509SKI "X509:<SKI>123456789abcdef" Güçlü
X509SHA1PublicKey "X509:<SHA1-PUKEY>123456789abcdef" Güçlü

Müşteriler yeni SID uzantısıyla sertifikaları yeniden gönderemezlerse, yukarıda açıklanan güçlü eşlemelerden birini kullanarak el ile eşleme oluşturmanızı öneririz. Bunu, Active Directory'de bir kullanıcının altSecurityIdentities özniteliğine uygun eşleme dizesini ekleyerek yapabilirsiniz.

Sertifikaları el ile eşleme

Notlar Veren, Konu ve Seri Numarası gibi belirli alanlar "iletme" biçiminde raporlanır. Eşleme dizesini altSecurityIdentities özniteliğine eklerken bu biçimi tersine çevirmeniz gerekir. Örneğin, X509IssuerSerialNumber eşlemesini bir kullanıcıya eklemek için, kullanıcıyla eşleştirmek istediğiniz sertifikanın "Veren" ve "Seri Numarası" alanlarını arayın. Aşağıdaki örnek çıktıya bakın.

  • Veren: CN=CONTOSO-DC-CA, DC=contoso, DC=com
  • Seri Numarası: 2B0000000011AC0000000012

Ardından, kullanıcının Active Directory'deki altSecurityIdentities özniteliğini aşağıdaki dizeyle güncelleştirin:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Bu özniteliği PowerShell kullanarak güncelleştirmek için aşağıdaki komutu kullanabilirsiniz. Varsayılan olarak yalnızca etki alanı yöneticilerinin bu özelliği güncelleştirme iznine sahip olduğunu unutmayın.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

SerialNumber'ı ters çevirdiğinizde, bayt sırasını korumanız gerektiğini unutmayın. Bu, "A1B2C3" SeriNumarasının ters çevrilmesinin "3C2B1A" değil "C3B2A1" dizesiyle sonuçlanması gerektiği anlamına gelir. Daha fazla bilgi için bkz. Nasıl yapılır: AltSecurityIdentities özniteliğinde kullanılabilen tüm yöntemler yoluyla kullanıcıyı bir sertifikayla eşleme.

Windows güncelleştirmeleri için zaman çizelgesi

Önemli Etkinleştirme Aşaması, Devre Dışı modu kayıt defteri anahtarı ayarını yok sayacak olan Windows için 11 Nisan 2023 güncellemeleriyle başlar.

Uyumluluk modu

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra cihazlar Uyumluluk modunda olacaktır. Sertifika bir kullanıcıyla güçlü bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Sertifika bir kullanıcıyla yalnızca zayıf bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Ancak, sertifika kullanıcıdan daha eski değilse bir uyarı iletisi günlüğe kaydedilir. Sertifika kullanıcıdan daha eskiyse ve Sertifika Geriye Dönük kayıt defteri anahtarı yoksa veya aralık geriye dönük tarih telafisi dışındaysa, kimlik doğrulaması başarısız olur ve bir hata iletisi günlüğe kaydedilir.  Sertifika Geriye Dönük Kayıt Defteri anahtarı yapılandırılmışsa, tarihler geriye dönük tarih telafisi kapsamına giriyorsa, olay günlüğüne bir uyarı iletisi kaydeder.

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra, bir ay veya daha uzun bir süre sonra görünebilecek uyarı iletilerini izleyin. Uyarı iletisi yoksa, sertifika tabanlı kimlik doğrulaması kullanan tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmenizi kesinlikle öneririz. Tam Zorlama modunu etkinleştirmek için KDC kayıt defteri anahtarını kullanabilirsiniz.

Tam Zorlama modu

Daha önce StrongCertificateBindingEnforcement kayıt defteri anahtarı kullanılarak Denetim veya Zorlama moduna güncelleştirilmediği sürece, etki alanı denetleyicileri Şubat 2025 Windows güvenlik güncelleştirmesi yüklendiğinde Tam Zorlama moduna geçer. Sertifika güçlü bir şekilde eşlenemezse, kimlik doğrulaması reddedilir. Uyumluluk moduna geri dönme seçeneği, 9 Eylül 2025 Windows güvenlik güncelleştirmesi yüklenene kadar kalacaktır. Bu tarihten sonra StrongCertificateBindingEnforcement kayıt defteri anahtarı artık desteklenmeyecektir

Devre dışı modu

Sertifika tabanlı kimlik doğrulaması, ortamdan taşıyamayacağınız zayıf bir eşlemeye bağlıysa, bir kayıt defteri anahtarı ayarı kullanarak etki alanı denetleyicilerini Devre Dışı moduna geçirebilirsiniz. Microsoft bunu önermez ve 11 Nisan 2023'te Devre Dışı modunu kaldıracağız.

Güçlü Eşleme varsayılan değişiklikleri

Server 2019 ve üzeri sürümlere 13 Şubat 2024 veya sonraki Windows güncelleştirmelerini yükledikten ve isteğe bağlı RSAT özelliği yüklü istemcileri destekledikten sonra, Active Directory Kullanıcıları & Bilgisayarlar'daki sertifika eşlemesi varsayılan olarak X509IssuerSubject kullanarak zayıf eşleme yerine X509IssuerSerialNumber kullanılarak güçlü eşleme seçilir. Ayar yine de istenildiği gibi değiştirilebilir.

Sorun Giderme

Bir Grup İlkesigrup ilkesi nesnesi "ad tabanlı eşlemeler" ile çakışabilir

Belirtiler

Microsoft, "Bilgisayar Yapılandırması> YönetimŞablonları>Sistemi>grup ilkesi>Kayıt defteri ilkesi işlemeyi yapılandır" grup ilkesi nesnesinin altındaki "grup ilkesi nesneler değişmemiş olsa bile işlem" ayarının kullanıldığını belirten raporlar aldı", etki alanı denetleyicilerindeki ad tabanlı eşlemeleri zaman zaman etkileyebilir.

Geçici çözüm

Bu sorunu geçici olarak çözmek için, etki alanı denetleyicilerinde "grup ilkesi nesneler değişmemiş olsa bile işlem" ayarını devre dışı bırakın. Bunu yalnızca, "Bilgisayar Yapılandırması>Yönetim Şablonları>Sistemi>KDC>:Sertifikalar için ad tabanlı güçlü eşlemelere izin ver" grup ilkesi içinde tanımlandığı gibi ad tabanlı eşlemeler gerekiyorsa yapın. Daha fazla bilgi için bkz: Kamu senaryolarında güçlü ad tabanlı eşlemeyi etkinleştirme.

Sonraki adım

Bu raporları araştırıyoruz ve daha fazla bilgi mevcut olduğunda sizi bilgilendireceğiz.

CVE-2022-26931 ve CVE-2022-26923 korumalarını yükledikten sonra oturum açılamama
  • Hangi etki alanı denetleyicisinin oturum açamadığını belirlemek için ilgili bilgisayarda Kerberos İşlem günlüğünü kullanın. TEvent ViewerOlay GörüntüleyicisiApplications>and Services Logs\Microsoft \Windows\Security-Kerberos\Operational bölümüne gidin.
  • Etki alanı denetleyicisindeki Sistem Olay Günlüğü'nde hesabın kimlik doğrulaması yapmaya çalıştığı ilgili olayları arayın.
  • Sertifika hesaptan daha eskiyse, sertifikayı yeniden yayınlayın veya hesaba güvenli bir altSecurityIdentities eşlemesi ekleyin (bkz.
  • Sertifika bir SID uzantısı içeriyorsa, SID'nin hesapla eşleştiğini doğrulayın.
  • Sertifika birkaç farklı hesabın kimliğini doğrulamak için kullanılıyorsa, her hesabın ayrı bir altSecurityIdentities eşlemesine ihtiyacı olur.
  • Sertifikanın hesapla güvenli bir eşlemesi yoksa, bir hesap ekleyin veya eklenene kadar etki alanını Uyumluluk modunda bırakın.
Aktarım Katmanı Güvenliği (TLS) sertifika eşlemesi kullanılarak kimlik doğrulaması yapılamadı

IIS intranet web uygulamasının kullanılması, TLS sertifika eşlemesine örnek olarak gösterilebilir.

  • CVE-2022-26391 ve CVE-2022-26923 korumalarını yükledikten sonra, bu senaryolar varsayılan olarak sertifika eşleme ve kimlik doğrulaması için Kerberos Kullanıcı Sertifika Hizmeti (S4U) protokolünü kullanır.
  • Kerberos Certificate S4U protokolünde, kimlik doğrulama isteği istemciden etki alanı denetleyicisine değil, uygulama sunucusundan etki alanı denetleyicisine akar. Bu nedenle, ilgili olaylar uygulama sunucusunda olacaktır.

Kayıt defteri anahtar bilgileri

10 Mayıs 2022 ile 9 Eylül 2025 veya sonraki tarihler arasında yayınlanan Windows güncelleştirmelerinde CVE-2022-26931 ve CVE-2022-26923 korumalarını yükledikten sonra, aşağıdaki kayıt defteri anahtarları kullanılabilir.

Anahtar Dağıtım Merkezi (KDC) kayıt defteri anahtarı

Bu kayıt defteri anahtarı, Eylül 2025 veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra desteklenmeyecektir.

Not

  • Önemli

  • Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ortamlar için geçici bir çözümdür ve dikkatle yapılması gerekir. Bu kayıt defteri anahtarını kullanmak, ortamınız için şu anlama gelir:

  • Bu kayıt defteri anahtarı, 10 Mayıs 2022'de yayımlanan güncelleştirmelerden itibaren yalnızca Uyumluluk modunda çalışır.

  • Bu kayıt defteri anahtarı, 9 Eylül 2025'te yayınlanan Windows güncelleştirmeleri yüklendikten sonra desteklenmeyecektir.

  • Güçlü Sertifika Bağlama Zorlaması tarafından kullanılan SID Uzantısı algılama ve doğrulama, KDC kayıt defteri anahtarı UseSubjectAltName değerine bağımlıdır. SID uzantısı, kayıt defteri değeri yoksa veya değer 0x1 değerine ayarlanmışsa kullanılır. UseSubjectAltName varsa ve değer 0x0 olarak ayarlanmışsa SID uzantısı kullanılmaz.

Kayıt Defteri Alt Anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Değer StrongCertificateBindingEnforcement
Veri Türü REG_DWORD
Veri 1 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise, kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı yoksa, kullanıcı hesabı sertifikadan önce geliyorsa kimlik doğrulamasına izin verilir.
2 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise, kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı yoksa, kimlik doğrulama reddedilir.
0 – Güçlü sertifika eşleme denetimini devre dışı bırakır. Bu işlem tüm güvenlik geliştirmelerini devre dışı bırakacağından önerilmez.
Bunu 0 olarak ayarlarsanız, bilgisayar sertifikası tabanlı kimlik doğrulamasının başarılı olması için CertificateMappingMethods değerini de aşağıdaki Schannel kayıt defteri anahtarı bölümünde açıklandığı gibi 0x1F şekilde ayarlamanız gerekir.
Yeniden Başlatma Gerekli? Hayır
SChannel kayıt defteri anahtarı

Bir sunucu uygulaması istemci kimlik doğrulaması gerektirdiğinde Schannel, TLS istemcisinin sağladığı sertifikayı otomatik olarak bir kullanıcı hesabına eşlemeye çalışır. Sertifika bilgilerini bir Windows kullanıcı hesabıyla ilişkilendiren eşlemeler oluşturarak, istemci sertifikasıyla oturum açan kullanıcıların kimliklerini doğrulayabilirsiniz. Sertifika eşlemesini oluşturup etkinleştirdikten sonra, istemci her istemci sertifikası sunduğunda, sunucu uygulamanız o kullanıcıyı otomatik olarak uygun Windows kullanıcı hesabıyla ilişkilendirir.

Schannel, biri başarılı olana kadar etkinleştirdiğiniz her sertifika eşleme yöntemini eşlemeye çalışır. Schannel, önce Service-For-User-To-Self (S4U2Self) eşlemelerini eşlemeye çalışır. Konu/Veren, Veren ve UPN sertifika eşlemeleri artık zayıf olarak kabul edilir ve varsayılan olarak devre dışı bırakılmıştır. Belirtilen seçeneklerin bit maskeli toplamı, kullanılabilir sertifika eşleme yöntemlerinin listesini belirler.

SChannel kayıt defteri anahtarı varsayılanı 0x1F idi ve şimdi 0x18. Schannel tabanlı sunucu uygulamalarında kimlik doğrulama hatalarıyla karşılaşırsanız, bir test gerçekleştirmenizi öneririz. Etki alanı denetleyicisinde CertificateMappingMethods kayıt defteri anahtarı değerini ekleyin veya değiştirin ve 0x1F olarak ayarlayın ve bunun sorunu giderip gidermediğine bakın. Daha fazla bilgi için, bu makalede listelenen hatalar için etki alanı denetleyicisindeki Sistem olay günlüklerine bakın. SChannel kayıt defteri anahtarı değerini önceki varsayılana (0x1F) geri döndürmenin, zayıf sertifika eşleme yöntemlerini kullanmaya geri döneceğini unutmayın.

Kayıt Defteri Alt Anahtarı HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Değer CertificateMappingMethods
Veri Türü DWORD
Veri 0x0001 - Konu/Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)
0x0002 - Sertifikayı veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)
0x0004 - UPN sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı)
0x0008 - S4U2Self sertifika eşleme (güçlü)
0x0010 - S4U2Kendi kendine açık sertifika eşleme (güçlü)
Yeniden Başlatma Gerekli? Hayır

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

Certificate Backdating kayıt defteri anahtarı

CVE-2022-26931 ve CVE-2022-26923 adreslerine sahip güncelleştirmeleri yükledikten sonra, kullanıcı sertifikalarının kullanıcının oluşturulma zamanından daha eski olması durumunda kimlik doğrulaması başarısız olabilir. Bu kayıt defteri anahtarı, ortamınızda zayıf sertifika eşlemeleri kullandığınızda ve sertifika zamanı, ayarlanan bir aralıkta kullanıcının oluşturulduğu zamandan önce olduğunda başarılı bir kimlik doğrulamasına olanak tanır. Sertifika zamanı ve kullanıcı oluşturma zamanı güçlü sertifika eşlemeleriyle denetlenmediğinden, bu kayıt defteri anahtarı güçlü sertifika eşlemeleri olan kullanıcıları veya makineleri etkilemez. StrongCertificateBindingEnforcement 2 olarak ayarlandığında, bu kayıt defteri anahtarının hiçbir etkisi olmaz.

Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ortamlar için geçici bir çözümdür ve dikkatle yapılması gerekir. Bu kayıt defteri anahtarını kullanmak, ortamınız için şu anlama gelir:

  • Bu kayıt defteri anahtarı, 10 Mayıs 2022'de yayımlanan güncelleştirmelerden itibaren yalnızca Uyumluluk modunda çalışır. Geriye dönük telafi mahsup içinde kimlik doğrulamasına izin verilir, ancak zayıf bağlama için bir olay günlüğü uyarısı günlüğe kaydedilir.
  • Bu kayıt defteri anahtarının etkinleştirilmesi, sertifika zamanı zayıf eşleme olarak ayarlanmış bir aralıkta kullanıcı oluşturma zamanından önce olduğunda kullanıcının kimliğinin doğrulanmasına izin verir. Eylül 2025 veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra zayıf eşlemeler desteklenmeyecektir.
Kayıt Defteri Alt Anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Değer CertificateBackdatingCompensation
Veri Türü REG_DWORD
Veri Yaklaşık yıl cinsinden geçici çözüm değerleri:

  • 50 yıl: 0x5E0C89C0
  • 25 yaş: 0x2EFE0780
  • 10 yıl: 0x12CC0300
  • 5 yıl: 0x9660180
  • 3 yıl: 0x5A39A80
  • 1 yıl: 0x1E13380
Notlar Ortamınızdaki sertifikaların ömrünü biliyorsanız, bu kayıt defteri anahtarını sertifikanın ömründen biraz daha uzun bir değere ayarlayın. Ortamınızın sertifika yaşam süresini bilmiyorsanız, bu kayıt defteri anahtarını 50 yıl olarak ayarlayın. Bu anahtar olmadığında varsayılan olarak 10 dakikadır; bu da Active Directory Sertifika Hizmetleri (ADCS) ile eşleşir. Maksimum değer 50 yıldır (0x5E0C89C0).

Bu anahtar, Anahtar Dağıtım Merkezi'nin (KDC) kullanıcı/makine hesapları için kimlik doğrulama sertifikası verme zamanı ile hesap oluşturma zamanı arasında yok sayacağı zaman farkını saniye cinsinden ayarlar.

Önemli Bu kayıt defteri anahtarını yalnızca ortamınız gerektiriyorsa ayarlayın. Bu kayıt defteri anahtarını kullanmak bir güvenlik denetimini devre dışı bırakmaktır.
Yeniden Başlatma Gerekli? Hayır

Kuruluş Sertifika Yetkilileri

Kurumsal Sertifika Yetkilileri (CA), 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra çevrimiçi şablonlara karşı verilen tüm sertifikalarda varsayılan olarak Nesne Tanımlayıcısı (OID) (1.3.6.1.4.1.311.25.2) ile kritik olmayan yeni bir uzantı eklemeye başlayacaktır. Bu uzantının eklenmesini, ilgili şablonun msPKI-Enrollment-Flag değerinde 0x00080000 bitini ayarlayarak durdurabilirsiniz.

Örnek

Kullanıcı şablonunun sertifikalarının yeni uzantıyı almasını engellemek için aşağıdaki certutil komutunu çalıştırın.

  1. Sertifika Yetkilisi sunucusunda veya etki alanına katılmış Windows 10Windows 10 istemcisinde kuruluş yöneticisi veya eşdeğer kimlik bilgileriyle oturum açın.
  2. Bir komut istemi açın ve Yönetici olarak çalıştır'ı seçin.
  3. certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 komutunu çalıştırın.

Bu uzantının eklenmesini devre dışı bırakmak, yeni uzantı tarafından sağlanan korumayı kaldırır. Bunu yalnızca aşağıdakilerden sonra yapmayı düşünün:

  1. KDC'de Kerberos Protokolü kimlik doğrulamalarında İlk Kimlik Doğrulaması için Ortak Anahtar Şifrelemesi (PKINIT) için karşılık gelen sertifikaların kabul edilebilir olmadığını onaylıyorsunuz
  2. Karşılık gelen sertifikalarda yapılandırılmış başka güçlü sertifika eşlemeleri vardır

Microsoft dışı CA dağıtımları olan ortamlar, 10 Mayıs 2022 Windows güncelleştirmesi yüklendikten sonra yeni SID uzantısı kullanılarak korunmaz. Etkilenen müşteriler, bu sorunu çözmek için ilgili CA satıcılarıyla birlikte çalışmalı veya yukarıda açıklanan diğer güçlü sertifika eşlemelerini kullanmayı düşünmelidir.

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

Sık sorulan sorular

CA güncelleştirildikten sonra tüm istemci kimlik doğrulama sertifikalarının yenilenmesi gerekir mi?

Hayır, yenileme gerekli değildir. CA, Uyumluluk modunda gönderilir. ObjectSID uzantısını kullanarak güçlü bir eşleme istiyorsanız yeni bir sertifikaya ihtiyacınız vardır.

Tam Zorlama modu ortamımı nasıl etkiler?

11 Şubat 2025 Windows güncelleştirmesinde, halihazırda Zorlamada olmayan cihazlar (StrongCertificateBindingEnforcement kayıt defteri değeri 2 olarak ayarlanır), Uygulamaya taşınacaktır. Kimlik doğrulaması reddedilirse, Olay Kimliği 39 (veya Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için Olay Kimliği 41) görürsünüz. Bu aşamada kayıt defteri anahtarı değerini yeniden 1 (Uyumluluk modu) olarak ayarlama seçeneğiniz olacaktır.

9 Eylül 2025 Windows güncelleştirmesinde StrongCertificateBindingEnforcement kayıt defteri değeri artık desteklenmeyecek.

Ek kaynaklar

TLS istemci sertifikası eşlemesi hakkında daha fazla bilgi için aşağıdaki makalelere bakın: