|
變更日期 |
描述 |
|---|---|
|
9/8/2025 |
新增了對「其他資源」部分的引用...在 Intune 憑證中實作強式對應。 |
|
7/29/2025 |
在「疑難排解」部分下新增了「已知問題」...群組原則物件可能會干擾「以名稱為基礎的對應」 |
|
10/24/2024 |
為了清楚起見,更新了「採取動作」一節的步驟 2 中「Windows 更新時間表」一節的「完整強制模式」描述中的文字,並修訂了「KDC) 登錄機碼 (金鑰發佈中心」和「憑證回溯登錄機碼」主題的日期資訊。 |
|
9/10/2024 |
更改了“Windows 更新時間”部分中的“完全強制模式描述”以反映新日期。 2025 年 2 月 11 日將裝置移至強制模式,但保留支援以移回相容性模式。 完整的註冊表項支援現已結束 2025 年 9 月 10 日。 |
|
7/5/2024 |
已將 SID 延伸模組的相關資訊新增至金鑰發佈中心 (KDC) 登錄機碼 在「登錄機碼資訊」區段中。 |
|
2023 年 10 月 10 日 |
在「Windows 匯報時間表」下新增了有關強式對應預設變更的資訊 |
|
6/30/2023 |
將全面強制執行模式日期從 2023 年 11 月 14 日變更為 2025 年 2 月 11 日, (這些日期先前列為 2023 年 5 月 19 日至 2023 年 11 月 14 日) 。 |
|
1/26/2023 |
將禁用模式的刪除從 2023 年 2 月 14 日更改為 2023 年 4 月 11 日 |
摘要
CVE-2022-34691、 CVE-2022-26931 和 CVE-2022-26923 解決了 Kerberos 金鑰分發中心 (KDC) 處理基於憑證的身份驗證請求時可能發生的權限提升漏洞。 在 2022 年 5 月 10 日安全性更新之前,憑證型驗證不會考慮電腦名稱結尾的美元符號 () 美元。 這允許以各種方式模擬 (欺騙) 相關證書。 此外,使用者主體名稱 (UPN) 與 sAMAccountName 之間的衝突引進了其他模擬 (詐騙) 弱點,我們也在此安全性更新中解決了這些弱點。
採取行動
若要保護您的環境,請完成下列憑證型鑑別步驟:
-
使用 2022 年 5 月 10 日更新更新執行 Active Directory 憑證服務的所有伺服器,以及提供憑證型驗證的 Windows 網域控制站, (請參閱 相容模式) 。 2022 年 5 月 10 日更新將提供 稽核事件 ,以識別與完整強制模式不相容的憑證。
-
如果安裝更新後一個月內未在網域控制站上建立稽核事件記錄檔,請繼續在所有網域控制站上啟用完整強制模式。 到 2025 年 2 月,如果未設定 StrongCertificateBindingEnforcement 登錄機碼,網域控制站將會移至完整強制執行模式。 否則,登錄機碼的 [相容模式] 設定將繼續接受。 在「完全強制」模式下,如果憑證未通過強式 (安全) 對應條件 (請參閱憑證對應) ,則會拒絕驗證。 但是,移回相容模式的選項將保留到 2025 年 9 月。
稽核事件
2022 年 5 月 10 日的 Windows 更新新增了以下事件日誌。
找不到強式憑證對應,而且憑證沒有 KDC 可以驗證的新安全性識別碼 (SID) 延伸模組。
|
事件記錄檔 |
系統 |
|
事件類型 |
如果 KDC 處於相容模式,則會發出警告 如果 KDC 處於強制模式,則發生錯誤 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
39 41 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2) |
|
事件文字 |
金鑰發佈中心 (KDC) 遇到有效的使用者憑證,但無法以強式方式對應至使用者,例如透過明確對應、金鑰信任對應或 SID) (。 這類憑證應該透過明確對應來取代或直接對應至使用者。 請參閱 https://go.microsoft.com/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者:<主體名稱> 憑證主體:憑證> 中的 <主體名稱 憑證簽發者:<簽發者完整網域名稱 (FQDN) > 憑證序號:<憑證> 序號 憑證指紋:憑證> 的 <指紋 |
憑證是在使用者存在於 Active Directory 中之前簽發給使用者,而且找不到強式對應。 只有在 KDC 處於相容性模式時,才會記錄此事件。
|
事件記錄檔 |
系統 |
|
事件類型 |
錯誤 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
40 48 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 |
|
事件文字 |
金鑰發佈中心 (KDC) 遇到有效的使用者憑證,但無法以強式方式對應至使用者,例如透過明確對應、金鑰信任對應或 SID) (。 憑證也早於它對應到的使用者,因此它被拒絕。 請參閱 https://go.microsoft.com/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者:<主體名稱> 憑證主體:憑證> 中的 <主體名稱 憑證簽發者:<簽發者 FQDN> 憑證序號:<憑證> 序號 憑證指紋:憑證> 的 <指紋 憑證發行時間:<憑證> 的FILETIME 帳戶建立時間:AD> 中主體物件的 <FILETIME |
使用者憑證的新延伸模組中包含的 SID 與使用者 SID 不符,表示憑證已發行給另一個使用者。
|
事件記錄檔 |
系統 |
|
事件類型 |
錯誤 |
|
事件來源 |
Kdcsvc |
|
事件識別碼 |
41 49 (適用於 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2) |
|
事件文字 |
金鑰發佈中心 (KDC) 遇到有效的使用者憑證,但包含與其對應之使用者不同的 SID。 因此,涉及憑證的要求失敗。 請參閱 https://go.microsoft.cm/fwlink/?linkid=2189925 以瞭解更多資訊。 使用者:<主體名稱> 使用者 SID:驗證主體> 的 <SID 憑證主體:憑證> 中的 <主體名稱 憑證簽發者:<簽發者 FQDN> 憑證序號:<憑證> 序號 憑證指紋:憑證> 的 <指紋 憑證 SID:在新的憑證延伸模組> 中找到 <SID |
憑證對應
網域系統管理員可以使用使用者物件的 altSecurityIdentities 屬性,手動將憑證對應至 Active Directory 中的使用者。 此屬性有六個支援的值,其中三個對應被視為弱 (不安全的) ,其他三個被視為強。 一般而言,如果對應類型是以您無法重複使用的識別碼為基礎,則會被視為強型對應類型。 因此,所有基於使用者名稱和電子郵件地址的映射類型都被認為是弱的。
|
對應 |
範例 |
Type (類型) |
註解 |
|
X509發行人主題 |
“X509:<我>IssuerName<S>SubjectName” |
弱 |
|
|
X509僅受試者 |
“X509:<S>主題名稱” |
弱 |
|
|
X509RFC822 |
“X509:<RFC822>user@contoso.com” |
弱 |
電子郵件地址 |
|
X509發行者序號 |
“X509:<我>IssuerName<SR>1234567890” |
強 |
推薦項目 |
|
X509SKI |
“X509:<滑雪>123456789abcdef” |
強 |
|
|
X509SHA1公開金鑰 |
“X509:<SHA1-PUKEY>123456789abcdef” |
強 |
如果客戶無法使用新的 SID 延伸模組重新發行憑證,建議您使用上述其中一個強式對應來建立手動對應。 您可以將適當的對應字串新增至 Active Directory 中的使用者 altSecurityIdentities 屬性來執行此動作。
注意事項 某些欄位 (例如「簽發者」、「主旨」和「序號」) 會以「轉遞」格式報告。 當您將對應字串新增至 altSecurityIdentities 屬性時,您必須反轉此格式。 例如,若要將 X509IssuerSerialNumber 對應新增至使用者,請搜尋您要對應至使用者之憑證的「簽發者」和「序號」欄位。 請參閱下面的範例輸出。
-
簽發者:CN=CONTOSO-DC-CA、DC=CONTOSO、DC=com
-
序列號: 2B0000000011AC0000000012
然後,使用下列字串更新 Active Directory 中使用者的 altSecurityIdentities 屬性:
-
「X509:<我>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B」
若要使用 Powershell 更新此屬性,您可以使用下列命令。 請記住,根據預設,只有網域管理員才有權限更新此屬性。
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= “X509:<我>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B”}
請注意,當您反轉 SerialNumber 時,您必須保留位元組順序。 這表示反轉序列號 “A1B2C3” 應該會產生字串 “C3B2A1” , 而不是 “3C2B1A”。 如需詳細資訊,請參閱 操作方法:透過 altSecurityIdentities 屬性中可用的所有方法,將使用者對應至憑證。
Windows 更新時間表
重要 啟用階段從 Windows 的 2023 年 4 月 11 日更新開始,該更新將忽略禁用模式登錄機碼設置。
安裝 2022 年 5 月 10 日 Windows 更新後,設備將處於兼容模式。 如果憑證可以強對應至使用者,則會如預期般進行驗證。 如果憑證只能弱對應至使用者,則會如預期般進行驗證。 不過,除非憑證比使用者舊,否則會記錄警告訊息。 如果憑證比使用者舊,且憑證回溯登錄機碼不存在,或範圍超出回溯補償,則驗證將會失敗,並記錄錯誤訊息。 如果已設定憑證回溯登錄機碼,如果日期落在回溯補償範圍內,它會在事件記錄檔中記錄警告訊息。
安裝 2022 年 5 月 10 日 Windows 更新之後,請留意一個月或更長時間後可能出現的任何警告訊息。 如果沒有警告訊息,強烈建議您在所有網域控制站上啟用完整強制模式,使用憑證型驗證。 您可以使用 KDC 登錄機碼 來啟用完整強制執行模式。
除非稍早使用 StrongCertificateBindingEnforcement 登錄機碼更新為稽核模式或強制模式,否則在安裝 2025 年 2 月 Windows 安全性更新時,網域控制站將會移至完整強制模式。 如果無法強式對應憑證,則會拒絕驗證。 移回相容模式的選項將保留到 2025 年 9 月。 在此日期之後,將不再支援 StrongCertificateBindingEnforcement 登錄機碼
如果憑證型驗證依賴您無法從環境中移動的弱式對應,您可以使用 登錄機碼設定將網域控制站置於 [停用] 模式。 Microsoft 不建議 這樣做,我們將在 2023 年 4 月 11 日刪除禁用模式。
在 Server 2019 和更新版本上安裝 2024 年 2 月 13 日或更新版本的 Windows 更新,並支援已安裝 RSAT 選擇性功能的用戶端之後,Active Directory 使用者 & 電腦中的憑證對應會預設為使用 X509IssuerSerialNumber 選取強式對應,而不是使用 X509IssuerSubject 的弱式對應。 該設置仍然可以根據需要更改。
疑難排解
症狀
Microsoft收到報告指出,群組原則物件「系統 > 管理範本 > 電腦設定 > 系統管理範本群組原則 >設定登錄原則處理」下的「即使群組原則物件尚未變更也處理」可能會間歇性干擾網域控制站上以名稱為基礎的對應。
因應措施
若要解決此問題,請在網域控制站上停用「即使群組原則物件尚未變更仍會處理」設定。 只有在需要「系統 > KDC > 系統管理範本 > 電腦設定 > 允許憑證的名稱型強式對應」群組原則中定義的名稱型對應時,才執行此動作。 如需詳細資訊,請參閱 在政府案例中啟用強式名稱型對應。
後續步驟
我們正在調查這些報告,並將在可用時提供更多信息。
-
使用相關電腦上的 Kerberos 作業記錄檔,判斷哪個網域控制站登入失敗。 移至事件檢視器 > 應用程式和服務記錄\Microsoft \Windows\Security-Kerberos\Operational。
-
在帳戶嘗試驗證的網域控制站上的系統事件記錄檔中尋找相關事件。
-
如果憑證比帳戶舊,請重新發行憑證,或將安全的 altSecurityIdentities 對應新增至帳戶 (請參閱 憑證對應) 。
-
如果憑證包含 SID 延伸模組,請確認 SID 符合帳戶。
-
如果憑證用於驗證數個不同的帳戶,則每個帳戶都需要個別的 altSecurityIdentities 對應。
-
如果憑證沒有帳戶的安全對應,請新增一個或將網域保留為相容模式,直到可以新增為止。
TLS 憑證對應的範例是使用 IIS 內部網路 Web 應用程式。
-
安裝 CVE-2022-26391 和 CVE-2022-26923 保護之後,這些案例預設會使用 Kerberos 憑證服務 For User (S4U) 通訊協定進行憑證對應和驗證。
-
在 Kerberos 憑證 S4U 通訊協定中,驗證要求會從應用程式伺服器流向網域控制站,而不是從用戶端流向網域控制站。 因此,相關事件將出現在應用程式伺服器上。
登錄機碼資訊
在 2022 年 5 月 10 日至 2025 年 9 月 10 日之間發行的 Windows 更新中安裝 CVE-2022-26931 和 CVE-2022-26923 保護之後,下列登錄機碼可供使用。
安裝 2025 年 9 月或之後發行的 Windows 更新後,將不受支援此登錄機碼。
重要
使用此登錄機碼是需要它的環境的暫時解決方法,必須謹慎執行。 使用此登錄機碼表示您的環境具有下列內容:
-
此登錄機碼僅適用於從 2022 年 5 月 10 日發行的更新開始的相容模式。
-
安裝 2025 年 9 月 10 日發行的 Windows 更新後,將不受支援此登錄機碼。
-
強式憑證繫結強制執行所使用的 SID 延伸模組偵測和驗證相依性是 KDC 登錄機碼 UseSubjectAltName 值。 如果登錄值不存在,或值設定為 0x1 的值,則會使用 SID 延伸模組。 如果 UseSubjectAltName 存在,且值設定為 0x0,則不會使用 SID 延伸模組。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
值 |
StrongCertificateBinding強制執行 |
|
資料類型 |
REG_DWORD |
|
資料 |
1 — 檢查是否有強式憑證對應。 如果是,則允許驗證。 否則,KDC 會檢查憑證是否有新的 SID 延伸模組,並驗證它。 如果此延伸模組不存在,則如果使用者帳戶早於憑證,則允許進行驗證。 2 – 檢查是否有強式憑證對應。 如果是,則允許驗證。 否則,KDC 會檢查憑證是否有新的 SID 延伸模組,並驗證它。 如果此擴充功能不存在,則會拒絕驗證。 0 – 停用強式憑證對應檢查。 不建議使用,因為這會停用所有安全性增強功能。 如果您將此設定為 0,您也必須將 CertificateMappingMethods 設定為 0x1F,如下列 Schannel 登錄機碼一節所述,電腦憑證型驗證才能成功。 |
|
需要重新啟動嗎? |
否 |
當伺服器應用程式需要用戶端驗證時,Schannel 會自動嘗試將 TLS 用戶端提供的憑證對應至使用者帳戶。 您可以建立將憑證資訊與 Windows 使用者帳戶相關聯的對應,以驗證使用用戶端憑證登入的使用者。 建立並啟用憑證對應之後,每次用戶端提供用戶端憑證時,您的伺服器應用程式都會自動將該使用者與適當的 Windows 使用者帳戶產生關聯。
Schannel 會嘗試對應您已啟用的每個憑證對應方法,直到成功為止。 Schannel 會先嘗試對應 Service-For-User-To-Self (S4U2Self) 對應。 主體/簽發者、簽發者和 UPN 憑證對應現在被視為弱,預設已停用。 所選選項的位遮罩總和會決定可用的憑證對映方法清單。
SChannel 登錄機碼預設值為 0x1F,現在已0x18。 如果您在使用 Schannel 型伺服器應用程式時遇到驗證失敗,建議您執行測試。 在網域控制站上新增或修改 CertificateMappingMethods 登錄機碼值,並將它設定為 0x1F,看看是否能解決問題。 如需詳細資訊,請在網域控制站上的系統事件記錄檔中查看本文中列出的任何錯誤。 請記住,將 SChannel 登錄機碼值變更回先前的預設 (0x1F) 將還原為使用弱式憑證對應方法。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
|
值 |
憑證對應方法 |
|
資料類型 |
DWORD |
|
資料 |
0x0001 - 主體/簽發者憑證對應 (弱 – 預設為停用) 0x0002 - 簽發者憑證對應 (弱 – 預設為停用) 0x0004 - UPN 憑證對應 (弱 – 預設為停用) 0x0008 - S4U2自我憑證對應 (強) 0x0010 - S4U2自明確憑證對應 (強) |
|
需要重新啟動嗎? |
否 |
如需其他資源和支援,請參閱「其他資源」一節。
安裝解決 CVE-2022-26931 和 CVE-2022-26923 的更新後,如果使用者憑證早於使用者建立時間,驗證可能會失敗。 當您在環境中使用弱 式憑證對應 ,且憑證時間在設定範圍內的使用者建立時間之前時,此登錄機碼可允許成功進行驗證。 此登錄機碼不會影響具有強式憑證對應的使用者或電腦,因為憑證時間和使用者建立時間不會使用強式憑證對應進行檢查。 當 StrongCertificateBindingEnforcement 設定為 2 時,此登錄機碼沒有任何作用。
使用此登錄機碼是需要它的環境的暫時解決方法,必須謹慎執行。 使用此登錄機碼表示您的環境具有下列內容:
-
此登錄機碼僅適用於從 2022 年 5 月 10 日發行的更新開始的 相容模式 。 將允許在回溯補償偏移內進行驗證,但會記錄弱繫結的事件記錄警告。
-
啟用此登錄機碼可允許在憑證時間早於設定範圍內的使用者建立時間時進行使用者驗證,作為弱對應。 安裝 2025 年 9 月或之後發行的 Windows 更新後,將不支援弱對應。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
值 |
憑證回溯補償 |
|
資料類型 |
REG_DWORD |
|
資料 |
以大約年份為單位的因應措施值:
附註 如果您知道環境中憑證的存留期,請將此登錄機碼設定為略長於憑證存留期。 如果您不知道環境的憑證存留期,請將此登錄機碼設定為 50 年。 當此金鑰不存在時,預設為 10 分鐘,這符合 Active Directory 憑證服務 (ADCS) 。 最大值為 50 年 (0x5E0C89C0) 。 此金鑰會設定金鑰發佈中心 (KDC) 將忽略驗證憑證簽發時間與使用者/電腦帳戶帳戶建立帳戶時間之間的時間差異 (以秒為單位)。 重要 只有在您的環境需要時,才設定此登錄機碼。 使用此登錄機碼會停用安全性檢查。 |
|
需要重新啟動嗎? |
否 |
企業憑證授權單位
在您安裝 2022 年 5 月 10 日 Windows 更新之後,企業憑證授權單位 (CA) 將開始在針對線上範本發行的所有憑證中,預設會新增物件識別碼 (OID) 非重要延伸模組,) (針對線上範本發出。 您可以在對應範本的 msPKI-Enrollment-Flag 值中設定 0x00080000 位,以停止新增此延伸模組。
您可以執行下列 certutil 命令,以排除 使用者 範本的憑證,使其無法取得新的延伸模組。
-
使用企業系統管理員或對等認證登入憑證授權單位伺服器或已加入網域的 Windows 10 用戶端。
-
開啟命令提示字元,然後選擇以 系統管理員身分執行。
-
執行 certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000。
停用此擴充功能的新增功能將會移除新擴充功能所提供的保護。 請考慮僅在執行下列其中一項之後執行此動作:
-
您確認對應的憑證不適用於 KDC 的 Kerberos 通訊協定驗證中的初始驗證 (PKINIT) 的公開金鑰加密
-
對應的憑證已配置其他強式憑證對應
安裝 2022 年 5 月 10 日 Windows 更新之後,具有非 Microsoft CA 部署的環境將不會使用新的 SID 延伸模組來保護。 受影響的客戶應該與對應的 CA 廠商合作來解決此問題,或應該考慮使用上述其他強式憑證對應。
如需其他資源和支援,請參閱「其他資源」一節。
常見問題集
不需要續訂。 CA 將以相容性模式出貨。 如果您想要使用 ObjectSID 延伸模組進行強式對應,您將需要新的憑證。
在 2025 年 2 月 11 日 Windows Update 中,尚未處於強制狀態 (StrongCertificateBindingEnforcement 登錄值設定為 2) 的裝置將會移至 [強制執行]。 如果驗證遭到拒絕,您會看到 Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2) 的事件標識碼 39 (或事件標識碼 41。 在此階段,您可以選擇將註冊表機碼值設定回 1 (相容模式) 。
在 2025 年 9 月 10 日 Windows 更新中,將不再支援 StrongCertificateBindingEnforcement 登錄值。
其他資源
如需 TLS 用戶端憑證對應的詳細資訊,請參閱下列文章:
