KB5014754 – зміни автентифікації на основі сертифіката на контролерах домену Windows

Не вдалося знайти надійні зіставлення сертифікатів, і сертифікат не має розширення нового ідентифікатора безпеки (SID), яке може перевірити KDC.

Журнал подій	Система
Тип події	Попередження, якщо KDC перебуває в режимі сумісності Помилка, якщо KDC перебуває в режимі примусового виконання
Джерело події	Kdcsvc
Ідентифікатор події	39 41 (для Windows Server 2008 R2 з пакетом оновлень 1 (SP1) і Windows Server 2008 з пакетом оновлень 2 (SP2)
Текст події	Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але його не вдалося зіставити з користувачем належним чином (наприклад, через явне зіставлення, зіставлення довіри ключа або SID). Такі сертифікати слід замінити або зіставити безпосередньо з користувачем через явне зіставлення. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2189925. Користувач: <ім'я учасника> Тема сертифіката: <ім'я суб'єкта в> сертифіката Постачальник сертифіката: повне доменне ім'я (FQDN) постачальника <> Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката>

Сертифікат видано користувачу до того, як користувач існував у службі Active Directory, і не вдалося знайти надійне зіставлення. Ця подія записується, лише коли KDC перебуває в режимі сумісності.

Журнал подій	Система
Тип події	Помилка
Джерело події	Kdcsvc
Ідентифікатор події	40 48 (для Windows Server 2008 R2 SP1 і Windows Server 2008 SP2
Текст події	Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але його не вдалося зіставити з користувачем належним чином (наприклад, через явне зіставлення, зіставлення довіри ключа або SID). Сертифікат також передував користувачу, з якого він зіставився, тому його було відхилено. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2189925. Користувач: <ім'я учасника> Тема сертифіката: <ім'я суб'єкта в> сертифіката Постачальник сертифіката:> FQDN постачальника < Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката> Час видачі сертифіката: <FILETIME сертифіката> Час створення облікового запису: <FILETIME основного об'єкта в AD>

SID, що міститься в новому розширенні сертифіката користувачів, не збігається з ідентифікатором SID користувачів, тобто сертифікат видано іншому користувачу.

Журнал подій	Система
Тип події	Помилка
Джерело події	Kdcsvc
Ідентифікатор події	41 49 (для Windows Server 2008 R2 з ПАКЕТом оновлень 1 (SP1) і Windows Server 2008 з пакетом оновлень 2 (SP2)
Текст події	Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але містив інший SID, ніж користувач, з яким він зіставив. Через це не вдалося виконати запит із залученням сертифіката. Докладні відомості див. в статті https://go.microsoft.cm/fwlink/?linkid=2189925. Користувач: <ім'я учасника> Sid користувача: <SID автентифікуючий основний> Тема сертифіката: <ім'я суб'єкта в> сертифіката Постачальник сертифіката:> FQDN постачальника < Серійний номер сертифіката: <серійний номер сертифіката> Відбиток сертифіката: <відбиток сертифіката> Sid сертифіката: <SID знайдено в новому> розширення сертифіката

Примітка Деякі поля, як-от "Постачальник", "Тема" та "Серійний номер", відображаються у форматі "вперед". Цей формат потрібно змінити, якщо додати рядок зіставлення до атрибута altSecurityIdentities . Наприклад, щоб додати зіставлення X509IssuerSerialNumber для користувача, виконайте пошук у полях "Постачальник" і "Серійний номер" сертифіката, який потрібно зіставити з користувачем. Перегляньте зразок результатів нижче.

• Постачальник: CN=CONTOSO-DC-CA, DC=contoso, DC=com

• SerialNumber: 2B0000000011AC0000000012

Потім оновіть атрибут altSecurityIdentities користувача в Active Directory таким рядком:

• "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Щоб оновити цей атрибут за допомогою Powershell, скористайтеся наведеною нижче командою. Пам'ятайте, що за замовчуванням лише адміністратори домену мають дозвіл на оновлення цього атрибута.

• set-aduser "DomainUser" -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Зверніть увагу: у разі зворотного порядкового номеру потрібно зберегти байтовий порядок. Це означає, що скасування serialNumber "A1B2C3" має призвести до рядка "C3B2A1", а не "3C2B1A". Докладні відомості див. в статті Зіставлення користувача із сертифікатом за допомогою всіх методів, доступних в атрибуті altSecurityIdentities.

Після інсталяції оновлень Windows 10 травня 2022 р. пристрої будуть у режимі сумісності. Якщо сертифікат можна сильно зіставити з користувачем, автентифікація відбуватиметься належним чином. Якщо сертифікат можна зіставити лише з користувачем, автентифікація відбуватиметься належним чином. Проте повідомлення з попередженням буде записано, якщо сертифікат старіший за користувача. Якщо сертифікат старіший за користувача, а розділ реєстру backdating сертифіката відсутній або діапазон виходить за межі компенсації, автентифікація завершиться помилкою, і буде записано повідомлення про помилку.  Якщо налаштовано розділ реєстру backdating сертифіката, він зареєструє попередження в журналі подій, якщо дати припадають на зворотну компенсацію.

Після інсталяції оновлень Windows від 10 травня 2022 р. слідкуйте за будь-яким попередженням, яке може з'явитися через місяць або більше. Якщо попереджень немає, ми наполегливо радимо ввімкнути режим повного застосування на всіх контролерах домену за допомогою автентифікації на основі сертифікатів. Щоб увімкнути режим повного застосування, можна скористатися розділом реєстру KDC .

Якщо цей режим не оновлено раніше, усі пристрої буде оновлено до 11 лютого 2025 р. або пізніше. Якщо сертифікат не можна сильно зіставити, автентифікацію буде відмовлено.

Якщо автентифікація на основі сертифіката залежить від слабкого зіставлення, яке не можна перемістити з середовища, контролери домену можна розмістити в неактивному режимі за допомогою параметра розділу реєстру. Корпорація Майкрософт не рекомендує цього робити, і ми видалимо неактивний режим 11 квітня 2023 року.

Після інсталяції оновлень Windows від 13 лютого 2024 р. або пізніших версій на серверах Server 2019 і новіших і підтримуваних клієнтах з інстальованою додатковою функцією RSAT зіставлення сертифікатів у службі Active Directory Користувачі & Комп'ютери за замовчуванням вибиратимуть надійне зіставлення за допомогою X509IssuerSerialNumber замість слабкого зіставлення за допомогою X509IssuerSubject. Настройку можна змінити за бажанням.

• Скористайтеся журналом Kerberos Operational на відповідному комп'ютері, щоб визначити, який контролер домену не вдається ввійти. Перейдіть до засобу перегляду подій > журнали програм і служб\Microsoft \Windows\Security-Kerberos\Operational.

• Знайдіть відповідні події в журналі системних подій на контролері домену, що обліковий запис намагається автентифікувати проти.

• Якщо сертифікат старіший за обліковий запис, повторно визначте сертифікат або додайте безпечне зіставлення altSecurityIdentities з обліковим записом (див. статтю Зіставлення сертифікатів).

• Якщо сертифікат містить розширення SID, переконайтеся, що SID відповідає обліковому запису.

• Якщо сертифікат використовується для автентифікації кількох різних облікових записів, кожному обліковому запису знадобиться окреме зіставлення altSecurityIdentities .

• Якщо сертифікат не має безпечного зіставлення з обліковим записом, додайте його або залиште в режимі сумісності, доки його не можна додати.

Приклад зіставлення сертифіката TLS – використання веб-застосунку інтрамережі IIS.

• Після інсталяції засобів захисту CVE-2022-26391 і CVE-2022-26923 ці сценарії за замовчуванням використовують протокол Служби сертифікатів Kerberos для користувачів (S4U) для зіставлення сертифікатів і автентифікації.

• У протоколі S4U сертифіката Kerberos запит автентифікації передається від сервера програми до контролера домену, а не від клієнта до контролера домену. Таким чином, відповідні події будуть на сервері програм.

У цьому розділі реєстру режим примусового застосування KDC змінюється на Вимкнуто, Режим сумісності або Режим повного застосування.

Підрозділ реєстру	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Значення	StrongCertificateBindingEnforcement
Тип даних	REG_DWORD
Дані	1 – перевіряє, чи є надійне зіставлення сертифікатів. Якщо так, автентифікацію дозволено. В іншому разі KDC перевірить наявність нового розширення SID і перевірить його. Якщо це розширення відсутнє, автентифікацію дозволено, якщо обліковий запис користувача передує сертифікату. 2 . Перевіряє наявність надійного зіставлення сертифікатів. Якщо так, автентифікацію дозволено. В іншому разі KDC перевірить наявність нового розширення SID і перевірить його. Якщо це розширення відсутнє, автентифікацію заборонено. 0 – вимикає перевірку зіставлення сертифікатів. Не рекомендовано, оскільки це призведе до вимкнення всіх покращень безпеки. Якщо для цього параметра встановлено значення 0, потрібно також установити для параметра CertificateMappingMethods значення 0x1F, як описано в розділі розділу реєстру Schannel нижче, щоб автентифікація на основі сертифікатів комп'ютера була успішною.
Потрібне перезавантаження?	Ні

Коли серверна програма вимагає автентифікації клієнта, Schannel автоматично намагається зіставити сертифікат, який клієнт TLS надає обліковому запису користувача. Ви можете автентифікувати користувачів, які ввійшли за допомогою сертифіката клієнта, створивши зіставлення, які пов'язують відомості про сертифікат з обліковим записом користувача Windows. Після створення та ввімкнення зіставлення сертифікатів щоразу, коли клієнт презентує сертифікат клієнта, серверна програма автоматично пов'язує цього користувача з відповідним обліковим записом користувача Windows.

Schannel спробує зіставити кожен метод зіставлення сертифікатів, який ви ввімкнули, доки не вдасться виконати зіставлення сертифікатів. Schannel намагається спочатку зіставити зіставлення Service-For-User-To-Self (S4U2Self). Зіставлення сертифікатів Subject/Issuer, Issuer і UPN тепер вважаються слабкими, тому їх вимкнуто за замовчуванням. Сума вибраних параметрів із бітової маски визначає список доступних методів зіставлення сертифікатів.

Розділ реєстру SChannel за промовчанням 0x1F і тепер 0x18. Якщо у вас виникають помилки автентифікації в серверних програмах на основі Schannel, радимо виконати перевірку. Додайте або змініть значення розділу реєстру CertificateMappingMethods на контролері домену та встановіть для нього значення 0x1F і подивіться, чи вирішено це питання. Щоб отримати додаткові відомості, перегляньте журнали системних подій на контролері домену, щоб переглянути всі помилки, наведені в цій статті. Пам'ятайте, що змінення значення розділу реєстру SChannel назад до попереднього значення за промовчанням (0x1F) повернеться до використання слабких методів зіставлення сертифікатів.

Підрозділ реєстру	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel
Значення	Сертифікатидопоможніmethods
Тип даних	DWORD
Дані	0x0001 – зіставлення сертифіката суб'єкта або постачальника (слабке – вимкнуто за замовчуванням) 0x0002 – зіставлення сертифіката постачальника (слабкий – вимкнуто за замовчуванням) 0x0004 – зіставлення сертифікатів UPN (слабке – вимкнуто за замовчуванням) 0x0008 – S4U2 Зіставлення сертифіката для себе (сильне) 0x0010 – S4U2Викорисне зіставлення сертифіката (сильне)
Потрібне перезавантаження?	Ні

Додаткові ресурси та підтримка див. в розділі "Додаткові ресурси".

Після інсталяції оновлень, адрес яких CVE-2022-26931 і CVE-2022-26923, автентифікація може не вдатися у випадках, коли сертифікати користувача старіші за час створення користувачів. Цей розділ реєстру дозволяє успішну автентифікацію, якщо використовуються слабкі зіставлення сертифікатів у вашому середовищі, а час сертифіката передує часу створення користувача в межах указаного діапазону. Цей розділ реєстру не впливає на користувачів або комп'ютери з сильними зіставленнями сертифікатів, оскільки час створення сертифіката та час створення користувача не перевіряються за допомогою надійних зіставлень сертифікатів. Цей розділ реєстру не має ніякого ефекту, якщо для параметра StrongCertificateBindingEnforcement установлено значення 2.

Використання цього розділу реєстру є тимчасовим вирішенням для середовищ, які вимагають його і повинні бути зроблені з обережністю. Використання цього розділу реєстру означає таке для вашого середовища:

• Цей розділ реєстру працює лише в режимі сумісності, починаючи з оновлень, випущених 10 травня 2022 року. Автентифікацію буде дозволено в межах зсуву компенсації серверів, але попередження журналу подій буде записано для слабкого прив'язування.

• Увімкнення цього розділу реєстру дозволяє автентифікацію користувача, коли час створення сертифіката передує часу створення користувача в межах заданого діапазону як слабке зіставлення. Слабкі зіставлення будуть непідтримувані після інсталяції оновлень для Windows, випущених 11 лютого 2025 року, що дозволить режим повного застосування.

Підрозділ реєстру	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
Значення	Відхилення сертифіката: компенсація
Тип даних	REG_DWORD
Дані	Значення для тимчасового вирішення у приблизні роки: 50 років: 0x5E0C89C0 25 років: 0x2EFE0780 10 років: 0x12CC0300 5 років: 0x9660180 3 роки: 0x5A39A80 1 рік: 0x1E13380 Нотатка Якщо ви знаєте термін служби сертифікатів у вашому середовищі, установіть для цього розділу реєстру трохи довше, ніж термін служби сертифіката.  Якщо ви не знаєте терміни служби сертифікатів для свого середовища, установіть для цього розділу реєстру значення 50 років. За замовчуванням 10 хвилин, коли цей ключ відсутній, що відповідає службам сертифікатів Active Directory (ADCS). Максимальне значення – 50 років (0x5E0C89C0). Цей ключ визначає різницю часу (у секундах), яку Центр розподілу ключів (KDC) ігноруватиме між часом випуску сертифіката автентифікації та часом створення облікового запису для облікових записів користувача або комп'ютера. Увага! Установіть цей розділ реєстру, лише якщо це необхідно для вашого середовища. За допомогою цього розділу реєстру вимкнуто перевірку безпеки.
Потрібне перезавантаження?	Ні

Виконайте наведену нижче команду certutil , щоб виключити сертифікати користувача шаблону з отримання нового розширення.

1. Увійдіть на сервер центру сертифікації або Windows 10 клієнта, підключеного до домену, за допомогою адміністратора підприємства або еквівалентних облікових даних.

2. Відкрийте командний рядок і виберіть команду Запустити з правами адміністратора.

3. Запустіть certutil -dstemplate користувача msPKI-Enrollment-Flag +0x00080000. 

Якщо вимкнути додавання цього розширення, захист, наданий новим розширенням, буде видалено. Радимо робити це лише після однієї з таких дій:

1. Переконайтеся, що відповідні сертифікати неприйнятні для шифрування відкритого ключа для початкової автентифікації (PKINIT) протоколу Kerberos автентифікації на KDC

2. Для відповідних сертифікатів настроєно інші надійні зіставлення сертифікатів

Середовища, які не належать до microsoft CA розгортання не буде захищено за допомогою нового розширення SID після інсталяції оновлення Windows 10 травня 2022 р. Уражені клієнти мають працювати з відповідними постачальниками центру сертифікації, щоб вирішити цю проблему, або розглянути можливість використання інших надійних зіставлень сертифікатів, описаних вище.

Додаткові ресурси та підтримка див. в розділі "Додаткові ресурси".

Ні, поновлення не обов'язкове. Ca буде доставлено в режимі сумісності. Якщо ви хочете отримати надійне зіставлення з використанням розширення ObjectSID, знадобиться новий сертифікат.