Журнал змін
| Змінення дати | Опис |
|---|---|
| 9/10/2025 | Виправлено дату режиму примусового застосування з 10 вересня 2025 року на 9 вересня 2025 року. |
| 9/8/2025 | Додано посилання на розділ "Додаткові ресурси". Впровадження надійного зіставлення в сертифікатах Intune. |
| 7/29/2025 | Додано "Відому проблему" в розділі "Виправлення неполадок"... A Group PolicyОб'єкт Групова політика може перешкоджати "зіставленню на основі імен" |
| 10/24/2024 | Оновлено текст для ясності у кроці 2 розділу "Вжиття заходів" в описі "Режим повної примусової дії" розділу "Часова шкала оновлень Windows", а також переглянуто відомості про дату в розділах "Розділ реєстру Центру розподілу ключів (KDC)" і "Розділ реєстру заднім числом" у розділі "Відомості про розділ реєстру". |
| 9/10/2024 | Змінено опис режиму повного примусового застосування в розділі "Час для оновлень Windows" для відображення нових дат. 11 лютого 2025 р. пристрої перейдуть у режим примусового застосування, але припинять підтримку, щоб повернутися до режиму сумісності. Повна підтримка розділу реєстру тепер завершиться 9 вересня 2025 р. |
| 7/5/2024 | Додано відомості про розширення SID до розділу реєстру Центру розподілу ключів (KDC) у розділі "Відомості про розділ реєстру". |
| 10 жовтня 2023 р. | Додано відомості про строгі зіставлення стандартних змін у розділі "Часова шкала для Windows UpdatesОновлення" |
| 6/30/2023 | Змінено дату режиму повного примусового застосування з 14 листопада 2023 року на 11 лютого 2025 року (раніше ці дати називалися 19 травня 2023 року до 14 листопада 2023 року). |
| 1/26/2023 | Видалення неактивного режиму змінено з 14 лютого 2023 року на 11 квітня 2023 року. |
Зведення
CVE-2022-34691,CVE-2022-26931 і CVE-2022-26923 вирішують проблему підвищеного рівня вразливостей системних прав, яка може виникнути, коли Центр розподілу ключів Kerberos (KDC) обслуговує запит автентифікації за сертифікатом. До виходу оновлення системи безпеки від 10 травня 2022 року автентифікація за сертифікатом не враховувала знак долара ($) наприкінці імені комп'ютера. Це дозволяло емулювати (підробляти) пов'язані сертифікати різними способами. Крім того, конфлікти між іменами учасників-користувачів (UPN) і sAMAccountName призводили до інших вразливостей емуляції (спуфінгу), які ми також вирішуємо в цьому оновленні системи безпеки.
Дійте рішучо
Щоб захистити середовище, виконайте такі дії для автентифікації за сертифікатом:
- Оновіть усі сервери, на яких запущено служби сертифікатів Active Directory, і контролери доменів Windows, які обслуговують автентифікацію за сертифікатами, оновленням від 10 травня 2022 р. (див. Режим сумісності). В оновленні від 10 травня 2022 року надаватимуться події перевірки , які визначатимуть сертифікати, несумісні з режимом повного примусового виконання.
- Якщо протягом місяця після інсталяції оновлення на контролерах домену не створювалися журнали подій аудиту, активуйте режим повного застосування на всіх контролерах домену. Якщо розділ реєстру StrongCertificateBindingEnforcement не буде налаштовано до лютого 2025 року, контролери домену перейдуть у режим повного примусового застосування. В іншому разі параметри режиму сумісності розділів реєстру будуть і надалі враховуватися. У режимі повного примусового застосування, якщо сертифікат не відповідає критеріям надійного (безпечного) зіставлення (див. розділ "Зіставлення сертифікатів"), автентифікацію буде відмовлено. Однак можливість повернутися до режиму сумісності залишатиметься, доки не буде інстальовано оновлення системи безпеки Windows від 9 вересня 2025 р.
Аудит подій
Оновлення Windows від 10 травня 2022 р. додає наведені нижче журнали подій.
Немає надійного зіставлення
Не вдалося знайти надійних зіставлень сертифікатів, і сертифікат не має нового розширення ідентифікатора безпеки (SID), яке міг перевірити KDC.
| Журнал подій | Система |
|---|---|
| Тип події | Попередження, якщо KDC перебуває в режимі сумісності Помилка, якщо KDC перебуває в режимі примусового застосування |
| Джерело події | Kdcsvc |
| Ідентифікатор події | 39 41 (для Windows ServerWindows Server 2008 R2 SP1 і Windows ServerWindows Server 2008 SP2) |
| Текст події | Центр розподілу ключів (KDC) виявив сертифікат користувача, який був дійсним, але його не можна було зіставити з користувачем у надійний спосіб (наприклад, за допомогою явного зіставлення, зіставлення довіри ключів або SID). Такі сертифікати необхідно або замінити, або зіставити безпосередньо з користувачем за допомогою явного зіставлення. Перегляньте https://go.microsoft.com/fwlink/?linkid=2189925, щоб дізнатися більше. Користувач: <ім'я учасника> Тема сертифіката: <ім'я суб'єкта сертифіката> Видавець сертифіката: <повне доменне ім'я емітента (FQDN)> Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката> |
Сертифікат передує обліковому запису
Сертифікат видано користувачу до його існування в Active Directory та надійне зіставлення не виявилося. Ця подія реєструється, лише коли KDC перебуває в режимі сумісності.
| Журнал подій | Система |
|---|---|
| Тип події | Помилка |
| Джерело події | Kdcsvc |
| Ідентифікатор події | 40 48 (для Windows ServerWindows Server 2008 R2 SP1 і Windows ServerWindows Server 2008 SP2 |
| Текст події | Центр розподілу ключів (KDC) виявив сертифікат користувача, який був дійсним, але його не можна було зіставити з користувачем у надійний спосіб (наприклад, за допомогою явного зіставлення, зіставлення довіри ключів або SID). Сертифікат також був розташований раніше за користувача, з яким його було зіставлено, тому його було відхилено. Перегляньте https://go.microsoft.com/fwlink/?linkid=2189925, щоб дізнатися більше. Користувач: <ім'я учасника> Тема сертифіката: <ім'я суб'єкта сертифіката> Видавець сертифіката: <FQDN емітента> Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката> Час видачі сертифіката: <FILETIME of certificate> Час створення облікового запису: <FILETIME головного об'єкта в AD> |
Ідентифікатор SID користувача не відповідає ідентифікатору SID сертифіката
SID, який міститься в новому розширенні сертифіката користувача, не відповідає ідентифікатору SID користувача, тобто це означає, що сертифікат видано іншому користувачу.
| Журнал подій | Система |
|---|---|
| Тип події | Помилка |
| Джерело події | Kdcsvc |
| Ідентифікатор події | 41 49 (для Windows ServerWindows Server 2008 R2 SP1 і Windows ServerWindows Server 2008 SP2) |
| Текст події | Центр розподілу ключів (KDC) виявив сертифікат користувача, який був дійсним, але містив ідентифікатор SID, відмінний від ідентифікатора користувача, з яким його було зіставлено. У результаті не вдалось виконати запит щодо сертифіката. Перегляньте https://go.microsoft.cm/fwlink/?linkid=2189925, щоб дізнатися більше. Користувач: <ім'я учасника> SID користувача: <ідентифікатор SID принципала, який виконує автентифікацію> Тема сертифіката: <ім'я суб'єкта сертифіката> Видавець сертифіката: <FQDN емітента> Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката> SID сертифіката: <SID, знайдений у новому розширенні сертифіката> |
Зіставлення сертифікатів
Адміністратори домену можуть вручну зіставити сертифікати з користувачем в Active Directory за допомогою атрибута altSecurityIdentities об'єкта користувача. Для цього атрибута передбачено шість підтримуваних значень, три з яких вважаються слабкими (ненадійними), а інші три – сильними. Загалом типи зіставлення вважаються надійними, якщо їх створено на основі ідентифікаторів, які не можна повторно використати. Тому всі типи зіставлення на основі імен користувачів і адрес електронної пошти вважаються слабкими.
| Зіставлення | Приклад | Тип | Примітки |
|---|---|---|---|
| X509IssuerSubject | "X509:<I>IssuerName<S>SubjectName" | Слабкий | |
| X509SubjectOnly (Лише суб'єкт) | "X509:<S>SubjectName" | Слабкий | |
| X509RFC822 | "X509:<RFC822">user@contoso.com | Слабкий | Адреса електронної пошти |
| X509IssuerSerialNumber (Серійний номер випуску) | "X509:<I>IssuerName<SR>1234567890" | Міцний | Рекомендовано |
| X509SKI | "X509:<SKI>123456789abcdef" | Міцний | |
| X509SHA1PublicKey | "X509:<SHA1-PUKEY>123456789abcdef" | Міцний |
Якщо клієнти не можуть перевидати сертифікати з новим розширенням SID, радимо створити зіставлення вручну за допомогою одного з описаних вище надійних зіставлень. Це можна зробити, додавши відповідний рядок зіставлення до атрибута користувачів altSecurityIdentities в Active Directory.
Зіставлення сертифікатів вручну
Примітка Деякі поля, наприклад "Видавець", "Тема" та "Серійний номер", відображаються у форматі "пересилання". Коли ви додаєте рядок зіставлення до атрибута altSecurityIdentities , цей формат потрібно змінити на протилежний. Наприклад, щоб додати зіставлення X509IssuerSerialNumber із користувачем, виконайте пошук у полях "Видавець" і "Серійний номер" сертифіката, який потрібно зіставити з користувачем. Див. зразок вихідних даних нижче.
- Видавець: CN=CONTOSO-DC-CA, DC=contoso, DC=com
- Серійний номер: 2B000000011AC000000012
Потім оновіть атрибут altSecurityIdentities користувача в Active Directory таким рядком:
- "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"
Щоб оновити цей атрибут за допомогою Powershell, можна скористатися командою нижче. Пам'ятайте, що за замовчуванням лише адміністратори домену мають дозвіл на оновлення цього атрибута.
- set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Зауважте, що якщо значення SerialNumber змінюється на протилежне, необхідно зберігати порядок відображення даних у байтах. Це означає, що змінення серійного номера "A1B2C3" має призвести до появи рядка "C3B2A1", а не "3C2B1A". Докладні відомості див. в статті "Як": Зіставлення користувача з сертифікатом за допомогою всіх методів, доступних в атрибуті altSecurityIdentities.
Часова шкала оновлень Windows
Важливо Етап активації починається з оновлень Windows від 11 квітня 2023 року, які ігноруватимуть параметр розділу реєстру в неактивному режимі.
Режим сумісності
Після інсталяції оновлень Windows від 10 травня 2022 р. пристрої перебуватимуть у режимі сумісності. Якщо сертифікат можна надійно зіставити з користувачем, автентифікація пройде належним чином. Якщо сертифікат може бути зіставлений із користувачем лише слабо, автентифікація пройде належним чином. Проте повідомлення з попередженням записуватиметься до журналу, якщо сертифікат старіший за користувача. Якщо сертифікат старіший за користувача, а розділ реєстру заднім числом відсутній або діапазон виходить за межі компенсації заднім числом, автентифікація завершиться помилкою та з'явиться повідомлення про помилку. Якщо розділ реєстру заднім числом настроєно, він записуватиме в журнал подій попереджувальне повідомлення, якщо дати підпадають під дію компенсації заднім числом.
Після інсталяції оновлень Windows від 10 травня 2022 року стежте за попереджувальними повідомленнями, які можуть з'явитися через місяць або більше. Якщо повідомлень із попередженнями немає, наполегливо рекомендуємо ввімкнути режим повного примусового застосування на всіх контролерах доменів, що використовує автентифікацію за сертифікатом. Щоб увімкнути режим повного примусового застосування, можна скористатися розділом реєстру KDC .
Режим повного примусового застосування
Після інсталяції оновлення системи безпеки Windows за лютий 2025 р. контролери домену перейдуть у режим повного примусового застосування за допомогою розділу реєстру StrongCertificateBindingForce, якщо їх не буде оновлено до режиму перевірки або примусового застосування за допомогою розділу реєстру StrongCertificateBindingForce . Автентифікацію буде відмовлено, якщо не вдасться зіставити сертифікат. Можливість повернення до режиму сумісності зберігатиметься, доки не буде інстальовано оновлення системи безпеки Windows від 9 вересня 2025 р. Після цієї дати розділ реєстру StrongCertificateBindingForce більше не підтримуватиметься
Неактивний режим
Якщо автентифікація на основі сертифіката використовує слабке зіставлення, яке не можна перенести із середовища, ви можете перевести контролери доменів у неактивний режим за допомогою параметра розділу реєстру. Корпорація Майкрософт не рекомендує цього робити, і ми видалимо неактивний режим 11 квітня 2023 року.
Строге зіставлення стандартних змін
Після інсталяції оновлень Windows від 13 лютого 2024 р. або пізнішої версії та підтримки клієнтів з інстальованою додатковою функцією RSAT зіставлення сертифікатів у розділі "Користувачі & комп'ютери Active Directory" за замовчуванням вибирає надійне зіставлення за допомогою X509IssuerSerialNumber замість слабкого зіставлення з використанням X509IssuerSubject. За потреби цей параметр можна змінити.
Виправлення неполадок
A Group PolicyОб'єкт Групова політика може перешкоджати "зіставленню на основі імен"
Ознаки захворювання
Корпорація Майкрософт отримала повідомлення про те, що параметр "Обробляти, навіть якщо об'єкти Групова політика не змінилися" під об'єктом Групова політика "Система> адміністративних >шаблонівконфігурації комп'ютера>Групова політика>Налаштування обробки політики реєстру" можуть періодично перешкоджати зіставленню на основі імен на контролерах домену.
Тимчасове вирішення
Щоб вирішити цю проблему, вимкніть параметр "Процес, навіть якщо об'єкти Групова політика не змінилися" на контролерах домену. Робіть це, лише якщо потрібні зіставлення на основі імен, як визначено в Group PolicyГрупова політика "Computer Configuration>Administrative Templates>System>KDC>Allow name-based sustainable mappings for certificates". Докладні відомості див. в статті "Увімкнення надійного зіставлення імен у сценаріях для урядових установ".
Наступний крок
Ми вивчаємо ці звіти та надамо додаткову інформацію, коли вона з'явиться.
Помилка входу після інсталяції захисту CVE-2022-26931 і CVE-2022-26923
- Використовуйте журнал операцій Kerberos на відповідному комп'ютері, щоб визначити, якому контролеру домену не вдається виконати вхід. Перейдіть до розділу перегляд подій>Журнали програм і служб:\Microsoft \Windows\Security-Kerberos\Operational.
- Знайдіть відповідні події в журналі системних подій на контролері домену, проти якого відбувається автентифікація облікового запису.
- Якщо сертифікат старіший за обліковий запис, перевипустіть сертифікат або додайте захищене зіставлення altSecurityIdentities з обліковим записом (див. розділ "Зіставлення сертифікатів").
- Якщо сертифікат містить розширення SID, переконайтеся, що ідентифікатор SID відповідає обліковому запису.
- Якщо сертифікат використовується для автентифікації кількох різних облікових записів, для кожного з них знадобиться окреме зіставлення altSecurityIdentities .
- Якщо сертифікат не має безпечного зіставлення з обліковим записом, додайте його або залиште домен у режимі сумісності, доки домен не можна буде додати.
Не вдалося виконати автентифікацію під час зіставлення сертифікатів протоколу TLS
Прикладом зіставлення сертифікатів TLS є використання веб-програми інтрамережі IIS.
- Після інсталяції захистів CVE-2022-26391 і CVE-2022-26923 ці сценарії за замовчуванням використовують протокол служби сертифікатів Kerberos для користувача (S4U) для зіставлення сертифікатів і автентифікації.
- У протоколі Kerberos Certificate S4U запит автентифікації проходить із сервера програми до контролера домену, а не від клієнта до контролера домену. Тому відповідні події будуть проходити на сервері програми.
Відомості про розділ реєстру
Після інсталяції захисту CVE-2022-26931 і CVE-2022-26923 в оновленнях Windows, випущених із 10 травня 2022 року до 9 вересня 2025 року або пізніше, доступні наведені нижче розділи реєстру.
Ключ реєстру Центру розподілу ключів (KDC)
Цей розділ реєстру не підтримуватиметься після інсталяції оновлень для Windows, випущених у вересні 2025 р. або пізніше.
Примітка.
Увага!
Використання цього розділу реєстру – тимчасовий спосіб вирішення для середовищ, які цього потребують. Його слід виконувати обережно. Використання цього розділу реєстру означає наступне для вашого середовища.
Цей розділ реєстру працює лише в режимі сумісності , починаючи з оновлень, випущених 10 травня 2022 року.
Цей розділ реєстру не підтримуватиметься після інсталяції оновлень для Windows, випущених 9 вересня 2025 р.
Виявлення та перевірка розширення SID, яка використовується сильним застосуванням прив'язки сертифіката, залежить від значення UseSubjectAltName розділу реєстру KDC. Розширення SID використовуватиметься, якщо значення реєстру не існує або якщо задано значення 0x1. Розширення SID не використовуватиметься, якщо існує параметр UseSubjectAltName , і для нього встановлено значення 0x0.
| Підрозділ реєстру | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Value (Значення) | StrongCertificateBindingEnforcement |
| Тип даних | REG_DWORD |
| Дані. | 1 – перевіряє наявність надійного зіставлення сертифікатів. Якщо так, автентифікація дозволена. В іншому випадку KDC перевірить, чи має сертифікат нове розширення SID, і перевірить його. Якщо цього розширення немає, автентифікація дозволяється, якщо обліковий запис користувача передує сертифікату. 2 – перевіряє наявність надійного зіставлення сертифікатів. Якщо так, автентифікація дозволена. В іншому випадку KDC перевірить, чи має сертифікат нове розширення SID, і перевірить його. Якщо цього розширення немає, автентифікацію буде відмовлено. 0 – вимикає надійну перевірку зіставлення сертифікатів. Не рекомендовано, оскільки це призведе до вимкнення всіх засобів безпеки. Якщо ви встановите значення 0, необхідно також установити для CertificateMappingMethods значення 0x1F, як описано в розділі про розділ реєстру Schannel нижче, щоб забезпечити успішну автентифікацію за сертифікатом комп'ютера. |
| Потрібно перезавантажити? | Ні |
Розділ реєстру SChannel
Коли серверна програма вимагає автентифікації клієнта, Schannel автоматично намагається зіставити сертифікат, який клієнт TLS надає обліковому запису користувача. Щоб автентифікувати користувачів, які входять за допомогою клієнтського сертифіката, можна створити зіставлення, пов'язавши відомості сертифіката з обліковим записом користувача Windows. Після створення та ввімкнення зіставлення сертифікатів щоразу, коли клієнт представляє клієнтський сертифікат, серверна програма автоматично пов'язує користувача з відповідним обліковим записом користувача Windows.
Schannel намагатиметься зіставити всі методи зіставлення сертифікатів, які ви активували, доки один із них не буде успішним. Schannel спочатку намагається зіставити зіставлення Service-For-User-to-Self (S4U2Self). Зіставлення суб'єкта/видавця, емітента та сертифіката UPN тепер вважаються слабкими та вимкнуті за замовчуванням. Сума бітової маски вибраних параметрів визначає список доступних методів зіставлення сертифікатів.
Розділ реєстру SChannel за замовчуванням був 0x1F і зараз 0x18. Якщо у вас виникають помилки автентифікації з серверними програмами на основі Schannel, радимо виконати тестування. Додайте або змініть значення розділу реєстру CertificateMappingMethods на контролері домену та встановіть для нього значення 0x1F та перевірте, чи вирішено проблему. Щоб отримати докладні відомості, пошукайте помилки в системних журналах подій на контролері домену, щоб знайти помилки, наведені в цій статті. Зверніть увагу, що в разі повернення значення розділу реєстру SChannel до попереднього значення за замовчуванням (0x1F) використовуватимуться методи зіставлення зі слабким сертифікатом.
| Підрозділ реєстру | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
|---|---|
| Value (Значення) | CertificateMappingMethods (Методи зіставлення сертифікатів) |
| Тип даних | DWORD |
| Дані. | 0x0001 – зіставлення сертифіката суб'єкта та видавця (слабке – вимкнуто за замовчуванням) 0x0002 – зіставлення сертифіката видавця (слабкий – вимкнуто за замовчуванням) 0x0004. Зіставлення сертифіката UPN (слабке – вимкнуто за замовчуванням) 0x0008 - S4U2Self зіставлення сертифіката (сильний) 0x0010 - S4U2Self явне зіставлення сертифіката (надійне) |
| Потрібно перезавантажити? | Ні |
Додаткові ресурси та підтримку див. в розділі "Додаткові ресурси".
Заднім числом сертифіката Розділ реєстру
Після інсталяції оновлень, які адресують CVE-2022-26931 і CVE-2022-26923, автентифікація може завершитися помилкою у випадках, коли сертифікати користувача старіші за час створення користувача. Цей розділ реєстру забезпечує успішну автентифікацію, якщо ви використовуєте слабкі зіставлення сертифікатів у своєму середовищі та сертифікат передує часу створення сертифіката в межах установленого діапазону. Цей розділ реєстру не впливає на користувачів або комп'ютери з надійними зіставленнями сертифікатів, оскільки час створення сертифіката та час створення сертифіката не перевіряються надійними зіставленнями сертифікатів. Цей розділ реєстру не діє, якщо для параметра StrongCertificateBindingEnforcement встановлено значення 2.
Використання цього розділу реєстру – тимчасовий спосіб вирішення для середовищ, які цього потребують. Його слід виконувати обережно. Використання цього розділу реєстру означає наступне для вашого середовища.
- Цей розділ реєстру працює лише в режимі сумісності , починаючи з оновлень, випущених 10 травня 2022 року. Автентифікацію буде дозволено в межах компенсаційного зсуву заднім числом, але попередження журналу подій буде записано для слабкого зв'язування.
- Увімкнення цього розділу реєстру дає змогу автентифікувати користувача, коли сертифікат настає до часу створення сертифіката в межах заданого діапазону, як слабке зіставлення. Слабкі зіставлення не підтримуватимуться після інсталяції оновлень для Windows, випущених у вересні 2025 р. або пізніше.
| Підрозділ реєстру | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|---|---|
| Value (Значення) | CertificateBackdatingCompensation |
| Тип даних | REG_DWORD |
| Дані. | Значення для обходу в приблизних роках:
Цей ключ встановлює різницю в часі (у секундах), яку Центр розподілу ключів (KDC) ігноруватиме між часом видачі сертифіката автентифікації та часом створення облікового запису для облікових записів користувача або комп'ютера. Важливо Встановлюйте цей розділ реєстру, лише якщо цього вимагає середовище. Використання цього розділу реєстру призводить до вимкнення перевірки безпеки. |
| Потрібно перезавантажити? | Ні |
Центри сертифікації для підприємств
Після інсталяції оновлення Windows 10 травня 2022 р. центри сертифікації (CA) почнуть додавати нове некритичне розширення з ідентифікатором об'єкта (OID) (1.3.6.1.4.1.311.25.2) в усі сертифікати, видані за онлайновими шаблонами. Ви можете припинити додавання цього розширення, встановивши біт 0x00080000 у значенні msPKI-Enrollment-Flag відповідного шаблону.
Приклад
Щоб виключити сертифікати шаблону користувача з отримання нового розширення, виконайте наведену нижче команду certutil.
- Увійдіть на сервер центру сертифікації або приєднаний до домену клієнт Windows 10 з правами адміністратора підприємства або еквівалентними обліковими даними.
- Відкрийте командний рядок і виберіть команду "Запустити з правами адміністратора".
- Run certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Якщо вимкнути додавання цього розширення, захист від нього буде знято. Розгляньте можливість робити це лише після однієї з таких дій:
- Ви підтверджуєте, що відповідні сертифікати неприйнятні для криптографії з відкритим ключем для початкової автентифікації (PKINIT) в автентифікації за протоколом Kerberos у KDC
- Для відповідних сертифікатів настроєно інші надійні зіставлення сертифікатів
Після інсталяції оновлення Windows від 10 травня 2022 р. середовища з розгорнутими сторонніми центрами сертифікації не будуть захищені за допомогою нового розширення SID. Клієнтам, на яких це вплинуло, слід звернутися до відповідних постачальників центру сертифікації або розглянути можливість використання інших ефективних зіставлень сертифікатів, описаних вище.
Додаткові ресурси та підтримку див. в розділі "Додаткові ресурси".
Запитання й відповіді
Чи потрібно оновлювати всі сертифікати автентифікації клієнта після оновлення центру сертифікації?
Ні, поновлення не потрібне. Центр сертифікації постачатиметься в режимі сумісності. Щоб забезпечити надійне зіставлення з розширенням ObjectSID, знадобиться новий сертифікат.
Як режим повних примусових дій вплине на середовище?
В оновленні Windows від 11 лютого 2025 р. пристрої, які ще не застосовано (для реєстру StrongCertificateBindingForce встановлено значення 2), буде переміщено до режиму примусового виконання. Якщо автентифікацію відмовлено, відобразиться подія з ідентифікатором 39 (або ідентифікатор події 41 для Windows ServerWindows Server 2008 R2 SP1 і Windows ServerWindows Server 2008 SP2). На цьому етапі ви зможете знову встановити для розділу реєстру значення 1 (режим сумісності).
В оновленні Windows від 9 вересня 2025 р. значення реєстру StrongCertificateBindingForce більше не підтримуватиметься.
Додаткові ресурси
Докладні відомості про зіставлення сертифікатів клієнта TLS див. в таких статтях:
- Застосування надійного зіставлення в сертифікатах Intune
- Параметри реєстру за протоколом TLS
- Автентифікація за зіставленням <сертифікатів клієнта IIS iisClientCertificateMappingAuthentication>
- Настроювання зіставлень сертифікатів "один-до-одного"
- Зіставлення <"багато-до-одного" manyToOneMappings>
- Захист інфраструктури відкритих ключів (PKI)
- Служба сертифікації Active Directory: архітектура центру сертифікації підприємства