KB5014754—Windows etki alanı denetleyicilerinde sertifika tabanlı kimlik doğrulama değişiklikleri

Güçlü sertifika eşlemeleri bulunamadı ve sertifikada KDC'nin doğrulayabildiği yeni güvenlik tanımlayıcısı (SID) uzantısı yoktu.

Olay Günlüğü	Sistem
Olay Türü	KDC Uyumluluk modundaysa uyarı KDC Zorlama modundaysa hata
Olay Kaynağı	Kdcsvc
Olay Kimliği	39 41 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)
Olay Metni	Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Bu tür sertifikaların değiştirilmesi veya açık eşleme yoluyla doğrudan kullanıcıyla eşlenmesi gerekir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: <Veren Tam Etki Alanı Adı (FQDN)> Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi

Sertifika, kullanıcı Active Directory'de var olmadan önce kullanıcıya verildi ve güçlü eşleme bulunamadı. Bu olay yalnızca KDC Uyumluluk modunda olduğunda günlüğe kaydedilir.

Olay Günlüğü	Sistem
Olay Türü	Hata
Olay Kaynağı	Kdcsvc
Olay Kimliği	40 48 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için
Olay Metni	Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Sertifika, eşlendiği kullanıcıyı da önceden hazırlar, bu nedenle reddedilir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: Veren FQDN> < Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi Sertifika Verme Zamanı: sertifika> FILETIME < Hesap Oluşturma Zamanı: AD>'da asıl nesnenin FILETIME <

Kullanıcı sertifikasının yeni uzantısında yer alan SID, sertifikanın başka bir kullanıcıya verildiğini ima eden kullanıcı SID'sine uymuyor.

Olay Günlüğü	Sistem
Olay Türü	Hata
Olay Kaynağı	Kdcsvc
Olay Kimliği	41 49 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için)
Olay Metni	Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak eşlendiği kullanıcıdan farklı bir SID içeren bir kullanıcı sertifikasıyla karşılaştı. Sonuç olarak, sertifikayı içeren istek başarısız oldu. Daha fazla bilgi edinmek için bkz. https://go.microsoft.cm/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Kullanıcı SID'si: Kimlik doğrulama sorumlusu> <SID'si Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: Veren FQDN> < Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi Sertifika SID'i: yeni Sertifika Uzantısı> bulunan <SID

Not Veren, Konu ve Seri Numarası gibi bazı alanlar "ileri" biçimde bildirilir. Eşleme dizesini altSecurityIdentities özniteliğine eklerken bu biçimi tersine çevirmelisiniz. Örneğin, bir kullanıcıya X509IssuerSerialNumber eşlemesini eklemek için, kullanıcıya eşlemek istediğiniz sertifikanın "Veren" ve "Seri Numarası" alanlarını arayın. Aşağıdaki örnek çıkışa bakın.

• Veren: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC0000000012

Ardından, kullanıcının Active Directory'deki altSecurityIdentities özniteliğini aşağıdaki dizeyle güncelleştirin:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Bu özniteliği PowerShell kullanarak güncelleştirmek için aşağıdaki komutu kullanabilirsiniz. Varsayılan olarak yalnızca etki alanı yöneticilerinin bu özniteliği güncelleştirme iznine sahip olduğunu unutmayın.

• set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

SerialNumber değerini ters çevirdiğinizde bayt sırasını korumanız gerektiğini unutmayın. Bu, "A1B2C3" SerialNumber'ı geri döndürmenin "3C2B1A" değil "C3B2A1" dizesiyle sonuçlanması gerektiği anlamına gelir. Daha fazla bilgi için bkz . HowTo: altSecurityIdentities özniteliğinde bulunan tüm yöntemler aracılığıyla kullanıcıyı bir sertifikayla eşleme.

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra cihazlar Uyumluluk modunda olacaktır. Bir sertifika bir kullanıcıyla güçlü bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Bir sertifika yalnızca bir kullanıcıyla zayıf bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Ancak, sertifika kullanıcıdan eski olmadığı sürece bir uyarı iletisi günlüğe kaydedilir. Sertifika kullanıcıdan eskiyse ve Sertifika Yedekleme kayıt defteri anahtarı yoksa veya aralık yedeklenen tazminatın dışındaysa, kimlik doğrulaması başarısız olur ve bir hata iletisi günlüğe kaydedilir.  Sertifika Yedekleme kayıt defteri anahtarı yapılandırıldıysa, tarihler yedekleme telafisi içinde yer alırsa olay günlüğüne bir uyarı iletisi kaydeder.

10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra, bir ay veya daha fazla süre sonra görünebilecek tüm uyarı iletileri için watch. Uyarı iletisi yoksa, sertifika tabanlı kimlik doğrulaması kullanarak tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmenizi kesinlikle öneririz. Tam Zorlama modunu etkinleştirmek için KDC kayıt defteri anahtarını kullanabilirsiniz.

Bu moda daha önce güncelleştirilmediği sürece, tüm cihazları 11 Şubat 2025 veya sonraki bir sürüme kadar Tam Zorlama moduna güncelleştireceğiz. Bir sertifika kesin olarak eşlenemiyorsa, kimlik doğrulaması reddedilir.

Sertifika tabanlı kimlik doğrulaması, ortamdan taşıyamayacağınız zayıf bir eşlemeye dayanıyorsa, bir kayıt defteri anahtarı ayarı kullanarak etki alanı denetleyicilerini Devre dışı moduna yerleştirebilirsiniz. Microsoft bunu önermez ve 11 Nisan 2023'te Devre dışı modunu kaldıracağız.

Server 2019 ve üzeri sürümlerde 13 Şubat 2024 veya üzeri Windows güncelleştirmelerini yükledikten ve RSAT isteğe bağlı özelliğinin yüklü olduğu istemcileri destekledikten sonra, Active Directory Kullanıcıları & Bilgisayarlar'daki sertifika eşlemesi varsayılan olarak X509IssuerSubject kullanılarak zayıf eşleme yerine X509IssuerSerialNumber kullanılarak güçlü eşlemeyi seçer. Ayar yine de istenen şekilde değiştirilebilir.

• Hangi etki alanı denetleyicisinin oturum açma işleminin başarısız olduğunu belirlemek için ilgili bilgisayarda Kerberos İşlem günlüğünü kullanın. Olay Görüntüleyicisi> Uygulama ve Hizmet Günlükleri\Microsoft \Windows\Security-Kerberos\Operational bölümüne gidin.

• Hesabın kimlik doğrulaması yapmaya çalıştığı etki alanı denetleyicisindeki Sistem Olay Günlüğü'nde ilgili olayları arayın.

• Sertifika hesaptan eskiyse, sertifikayı yeniden verin veya hesaba eşlenen güvenli bir altSecurityIdentities ekleyin (bkz . Sertifika eşlemeleri).

• Sertifika bir SID uzantısı içeriyorsa, SID'nin hesapla eşleşip eşleşmediğini doğrulayın.

• Sertifika birkaç farklı hesabın kimliğini doğrulamak için kullanılıyorsa, her hesabın ayrı bir altSecurityIdentities eşlemesi gerekir.

• Sertifikanın hesaba güvenli bir eşlemesi yoksa, bir tane ekleyin veya eklenebilene kadar etki alanını Uyumluluk modunda bırakın.

TLS sertifika eşlemesine örnek olarak IIS intranet web uygulaması kullanılır.

• CVE-2022-26391 ve CVE-2022-26923 korumalarını yükledikten sonra, bu senaryolar varsayılan olarak sertifika eşleme ve kimlik doğrulaması için Kullanıcı için Kerberos Sertifika Hizmeti (S4U) protokollerini kullanır.

• Kerberos Sertifikası S4U protokolünde, kimlik doğrulama isteği istemciden etki alanı denetleyicisine değil, uygulama sunucusundan etki alanı denetleyicisine akar. Bu nedenle, ilgili olaylar uygulama sunucusunda olacaktır.

Bu kayıt defteri anahtarı, KDC'nin zorlama modunu Devre Dışı modu, Uyumluluk modu veya Tam Zorlama modu olarak değiştirir.

Kayıt Defteri Alt Anahtarı	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Değer	StrongCertificateBindingEnforcement
Veri Türü	REG_DWORD
Veri	1 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı mevcut değilse, kullanıcı hesabı sertifikanın ön tarihini alırsa kimlik doğrulamasına izin verilir. 2 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı yoksa, kimlik doğrulaması reddedilir. 0 – Güçlü sertifika eşleme denetimini devre dışı bırakır. Bu işlem tüm güvenlik geliştirmelerini devre dışı bırakacağından önerilmez. Bunu 0 olarak ayarlarsanız, bilgisayar sertifika tabanlı kimlik doğrulamasının başarılı olması için aşağıdaki Schannel kayıt defteri anahtarı bölümünde açıklandığı gibi CertificateMappingMethods'u da 0x1F olarak ayarlamanız gerekir..
Yeniden Başlatma Gerekli mi?	Hayır

Bir sunucu uygulaması istemci kimlik doğrulaması gerektirdiğinde, Schannel otomatik olarak TLS istemcisinin sağladığı sertifikayı bir kullanıcı hesabıyla eşlemeyi dener. Sertifika bilgilerini bir Windows kullanıcı hesabıyla ilişkilendiren eşlemeler oluşturarak istemci sertifikasıyla oturum açan kullanıcıların kimliğini doğrulayabilirsiniz. Bir sertifika eşlemesi oluşturup etkinleştirdikten sonra, bir istemci her istemci sertifikası sunduğunda, sunucu uygulamanız bu kullanıcıyı otomatik olarak uygun Windows kullanıcı hesabıyla ilişkilendirir.

Schannel, başarılı olana kadar etkinleştirdiğiniz her sertifika eşleme yöntemini eşlemeyi dener. Schannel önce Service-For-User-To-Self (S4U2Self) eşlemelerini eşlemeyi dener. Konu/Veren, Veren ve UPN sertifika eşlemeleri artık zayıf kabul edilir ve varsayılan olarak devre dışı bırakılmıştır. Seçili seçeneklerin bit maskelenmiş toplamı, kullanılabilen sertifika eşleme yöntemlerinin listesini belirler.

SChannel kayıt defteri anahtarı varsayılan olarak 0x1F ve artık 0x18. Schannel tabanlı sunucu uygulamalarında kimlik doğrulama hataları yaşıyorsanız bir test yapmanızı öneririz. Etki alanı denetleyicisinde CertificateMappingMethods kayıt defteri anahtarı değerini ekleyin veya değiştirin ve 0x1F olarak ayarlayın ve sorunun giderilip giderildiğini görün. Daha fazla bilgi için bu makalede listelenen hatalar için etki alanı denetleyicisindeki Sistem olay günlüklerine bakın. SChannel kayıt defteri anahtarı değerini önceki varsayılana (0x1F) geri döndürmenin zayıf sertifika eşleme yöntemlerini kullanmaya geri döneceğini unutmayın.

Kayıt Defteri Alt Anahtarı	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Değer	CertificateMappingMethods
Veri Türü	DWORD
Veri	0x0001 - Konu/Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0002 - Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0004 - UPN sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0008 - S4U2Self sertifika eşlemesi (güçlü) 0x0010 - S4U2Self açık sertifika eşlemesi (güçlü)
Yeniden Başlatma Gerekli mi?	Hayır

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

CVE-2022-26931 ve CVE-2022-26923 adreslerini içeren güncelleştirmeleri yükledikten sonra, kullanıcı sertifikalarının kullanıcı oluşturma zamanından daha eski olduğu durumlarda kimlik doğrulaması başarısız olabilir. Bu kayıt defteri anahtarı, ortamınızda zayıf sertifika eşlemeleri kullandığınızda ve sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda kimlik doğrulamasının başarılı olmasına olanak tanır. Sertifika zamanı ve kullanıcı oluşturma zamanı güçlü sertifika eşlemeleriyle denetlenmediğinden, bu kayıt defteri anahtarı güçlü sertifika eşlemeleri olan kullanıcıları veya makineleri etkilemez. StrongCertificateBindingEnforcement 2 olarak ayarlandığında bu kayıt defteri anahtarının hiçbir etkisi olmaz.

Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ve dikkatli yapılması gereken ortamlar için geçici bir geçici çözümdür. Bu kayıt defteri anahtarının kullanılması, ortamınız için aşağıdaki anlamına gelir:

• Bu kayıt defteri anahtarı yalnızca 10 Mayıs 2022'de yayımlanan güncelleştirmelerle başlayarak Uyumluluk modunda çalışır. Yedekleme dengeleme uzaklığı içinde kimlik doğrulamasına izin verilir, ancak zayıf bağlama için bir olay günlüğü uyarısı günlüğe kaydedilir.

• Bu kayıt defteri anahtarının etkinleştirilmesi, sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda zayıf eşleme olarak kullanıcının kimlik doğrulamasına olanak tanır. 11 Şubat 2025'te yayımlanan Ve Tam Zorlama modunu etkinleştirecek windows güncelleştirmeleri yüklendikten sonra zayıf eşlemeler desteklenmez.

Kayıt Defteri Alt Anahtarı	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Değer	CertificateBackdatingCompensation
Veri Türü	REG_DWORD
Veri	Yaklaşık yıl içindeki geçici çözüm değerleri: 50 yıl: 0x5E0C89C0 25 yıl: 0x2EFE0780 10 yıl: 0x12CC0300 5 yıl: 0x9660180 3 yıl: 0x5A39A80 1 yıl: 0x1E13380 Not Ortamınızdaki sertifikaların ömrünü biliyorsanız, bu kayıt defteri anahtarını sertifika ömründen biraz daha uzun olacak şekilde ayarlayın.  Ortamınızın sertifika yaşam sürelerini bilmiyorsanız, bu kayıt defteri anahtarını 50 yıl olarak ayarlayın. Active Directory Sertifika Hizmetleri (ADCS) ile eşleşen bu anahtar mevcut olmadığında varsayılan olarak 10 dakikadır. En yüksek değer 50 yıldır (0x5E0C89C0). Bu anahtar, Anahtar Dağıtım Merkezi'nin (KDC) kullanıcı/makine hesapları için kimlik doğrulama sertifikası verme zamanı ile hesap oluşturma zamanı arasında yoksayacağı zaman farkını saniye olarak ayarlar. Önemli Bu kayıt defteri anahtarını yalnızca ortamınız gerektiriyorsa ayarlayın. Bu kayıt defteri anahtarının kullanılması bir güvenlik denetimini devre dışı bırakmaktır.
Yeniden Başlatma Gerekli mi?	Hayır

Kullanıcı şablonunun sertifikalarını yeni uzantıyı almamak için aşağıdaki certutil komutunu çalıştırırsınız.

1. Bir Sertifika Yetkilisi sunucusunda veya etki alanına katılmış bir Windows 10 istemcisinde kuruluş yöneticisi veya eşdeğer kimlik bilgileriyle oturum açın.

2. Bir komut istemi açın ve Yönetici olarak çalıştır'ı seçin.

3. certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 komutunu çalıştırın. 

Bu uzantının eklenmesini devre dışı bırakmak, yeni uzantı tarafından sağlanan korumayı kaldırır. Bunu yalnızca aşağıdakilerden birini yaptıktan sonra yapmayı göz önünde bulundurun:

1. KDC'de Kerberos Protokolü kimlik doğrulamalarında İlk Kimlik Doğrulaması (PKINIT) için Ortak Anahtar Şifrelemesi için karşılık gelen sertifikaların kabul edilemediğini onaylarsınız

2. İlgili sertifikaların yapılandırılmış diğer güçlü sertifika eşlemeleri var

Microsoft dışı CA dağıtımlarına sahip ortamlar, 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra yeni SID uzantısı kullanılarak korunmaz. Etkilenen müşteriler bunu ele almak için ilgili CA satıcılarıyla birlikte çalışmalı veya yukarıda açıklanan diğer güçlü sertifika eşlemelerini kullanmayı düşünmelidir.

Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.

Hayır, yenileme gerekli değildir. CA, Uyumluluk modunda gönderilecektir. ObjectSID uzantısını kullanarak güçlü bir eşleme istiyorsanız, yeni bir sertifikaya ihtiyacınız olacaktır.