Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

تغيير التاريخ

الوصف

10/24/2024

النص المحدث للوضوح في الخطوة 2 من قسم "اتخاذ إجراء"، في وصف "وضع الإنفاذ الكامل" لقسم "اليوميات لتحديثات Windows"، وراجع معلومات التاريخ لموضوعات "مفتاح تسجيل مركز توزيع المفاتيح (KDC) و"مفتاح التسجيل المدعوم للشهادة" في قسم "معلومات مفتاح التسجيل".

9/10/2024

تغيير وصف وضع الإنفاذ الكامل في قسم "توقيت تحديثات Windows" ليعكس التواريخ الجديدة. 11 فبراير 2025 سينقل الأجهزة إلى وضع الإنفاذ ولكنه يترك الدعم للانتقال مرة أخرى إلى وضع التوافق. سينتهي الآن دعم مفتاح التسجيل الكامل في 10 سبتمبر 2025.

7/5/2024

تمت إضافة معلومات حول ملحق SID إلى مفتاح تسجيل مركز توزيع المفاتيح (KDC) في قسم "معلومات مفتاح التسجيل".

10/10/2023

تمت إضافة معلومات حول التغييرات الافتراضية للتعيينات القوية ضمن "المخطط الزمني ل Windows التحديثات"

6/30/2023

تم تغيير تاريخ وضع التنفيذ الكامل من 14 نوفمبر 2023 إلى 11 فبراير 2025 (تم إدراج هذه التواريخ سابقا في 19 مايو 2023 إلى 14 نوفمبر 2023).

1/26/2023

تم تغيير إزالة الوضع معطل من 14 فبراير 2023 إلى 11 أبريل 2023

الملخص

يعالج CVE-2022-34691وCVE-2022-26931وCVE-2022-26923 رفع الثغرة الأمنية في الامتيازات التي يمكن أن تحدث عندما يقوم مركز توزيع مفتاح Kerberos (KDC) بخدمة طلب مصادقة مستند إلى الشهادة. قبل تحديث الأمان في 10 مايو 2022، لن تمثل المصادقة المستندة إلى الشهادة علامة الدولار ($) في نهاية اسم الجهاز. سمح هذا بمحاكاة الشهادات ذات الصلة (تزييفها) بطرق مختلفة. بالإضافة إلى ذلك، قدمت التعارضات بين أسماء المستخدمين الأساسية (UPN) وsAMAccountName ثغرات أمنية أخرى للمحاكاة (تزييف الهوية) التي نعالجها أيضا مع تحديث الأمان هذا. 

اتخاذ الإجراء المناسب

لحماية بيئتك، أكمل الخطوات التالية للمصادقة المستندة إلى الشهادة:

  1. قم بتحديث جميع الخوادم التي تقوم بتشغيل خدمات شهادات Active Directory ووحدات تحكم مجال Windows التي تقوم بخدمة المصادقة المستندة إلى الشهادة مع تحديث 10 مايو 2022 (راجع وضع التوافق). سيوفر تحديث 10 مايو 2022 أحداث تدقيق تحدد الشهادات غير المتوافقة مع وضع الإنفاذ الكامل.

  2. إذا لم يتم إنشاء سجلات أحداث تدقيق على وحدات التحكم بالمجال لمدة شهر واحد بعد تثبيت التحديث، فانتقل إلى تمكين وضع الإنفاذ الكامل على جميع وحدات التحكم بالمجال. بحلول فبراير 2025، إذا لم يتم تكوين مفتاح التسجيل StrongCertificateBindingEnforcement، فستنتقل وحدات التحكم بالمجال إلى وضع الإنفاذ الكامل. وإلا، سيستمر احترام إعداد وضع التوافق لمفاتيح التسجيل. في وضع الإنفاذ الكامل، إذا فشلت الشهادة في معايير التعيين القوية (الآمنة) (راجع تعيينات الشهادة)، رفض المصادقة. ومع ذلك، سيبقى خيار العودة إلى وضع التوافق حتى سبتمبر 2025. ​​​​​​​

أحداث التدقيق

يضيف تحديث Windows في 10 مايو 2022 سجلات الأحداث التالية.

تعذر العثور على تعيينات شهادات قوية، ولم يكن للشهادة ملحق معرف الأمان الجديد (SID) الذي يمكن أن يتحقق KDC من صحته.

سجل الأحداث

النظام

نوع الحدث

تحذير إذا كان KDC في وضع التوافق

خطأ إذا كان KDC في وضع الإنفاذ

مصدر الحدث

Kdcsvc

معرف الحدث

39

41 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2)

نص الحدث

واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكن تعذر تعيينها إلى مستخدم بطريقة قوية (مثل التعيين الصريح أو تعيين الثقة الرئيسية أو معرف الأمان). يجب استبدال هذه الشهادات أو تعيينها مباشرة إلى المستخدم من خلال التعيين الصريح. راجع https://go.microsoft.com/fwlink/?linkid=2189925 لمعرفة المزيد.

المستخدم:> الاسم الأساسي <

موضوع الشهادة: اسم الموضوع <في> الشهادة

مصدر الشهادة: <اسم المجال المؤهل بالكامل (FQDN) >

الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة

بصمة إبهام الشهادة: <بصمة إبهام الشهادة>

تم إصدار الشهادة للمستخدم قبل وجود المستخدم في Active Directory ولم يتم العثور على تعيين قوي. يتم تسجيل هذا الحدث فقط عندما يكون KDC في وضع التوافق.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Kdcsvc

معرف الحدث

40

48 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2

نص الحدث

واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكن تعذر تعيينها إلى مستخدم بطريقة قوية (مثل التعيين الصريح أو تعيين الثقة الرئيسية أو معرف الأمان). كما أن الشهادة تسبق المستخدم الذي تم تعيينه إليه، لذلك تم رفضها. راجع https://go.microsoft.com/fwlink/?linkid=2189925 لمعرفة المزيد.

المستخدم:> الاسم الأساسي <

موضوع الشهادة: اسم الموضوع <في> الشهادة

مصدر الشهادة: <مصدر FQDN>

الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة

بصمة إبهام الشهادة: <بصمة إبهام الشهادة>

وقت إصدار الشهادة: <FILETIME> الشهادة

وقت إنشاء الحساب: <FILETIME للكائن الأساسي في AD>

لا يتطابق SID المضمن في الملحق الجديد لشهادة المستخدمين مع معرف الأمان للمستخدمين، مما يعني أنه تم إصدار الشهادة لمستخدم آخر.

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

Kdcsvc

معرف الحدث

41

49 (ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2)

نص الحدث

واجه مركز توزيع المفاتيح (KDC) شهادة مستخدم صالحة ولكنها تحتوي على SID مختلف عن المستخدم الذي تم تعيينه إليه. ونتيجة لذلك، فشل الطلب الذي يتضمن الشهادة. راجع https://go.microsoft.cm/fwlink/?linkid=2189925 لمعرفة المزيد.

المستخدم:> الاسم الأساسي <

معرف الأمان للمستخدم: <SID> الأساسي المصادق عليه

موضوع الشهادة: اسم الموضوع <في> الشهادة

مصدر الشهادة: <مصدر FQDN>

الرقم التسلسلي للشهادة: <الرقم التسلسلي> الشهادة

بصمة إبهام الشهادة: <بصمة إبهام الشهادة>

الشهادة SID: <تم العثور على SID في ملحق الشهادة الجديد>

تعيينات الشهادات

يمكن لمسؤولي المجال تعيين الشهادات يدويا إلى مستخدم في Active Directory باستخدام السمة altSecurityIdentities لعنصر المستخدمين. هناك ست قيم مدعومة لهذه السمة، مع ثلاث تعيينات تعتبر ضعيفة (غير آمنة) وتعتبر الثلاث الأخرى قوية. بشكل عام، تعتبر أنواع التعيين قوية إذا كانت تستند إلى معرفات لا يمكنك إعادة استخدامها. لذلك، تعتبر جميع أنواع التعيينات المستندة إلى أسماء المستخدمين وعناوين البريد الإلكتروني ضعيفة.

تعيين

مثال

النوع

ملاحظات

X509IssuerSubject

"X509:<أنا>IssuerName<S>SubjectName"

ضعيف

X509SubjectOnly

"X509:<S>SubjectName"

ضعيف

X509RFC822

"X509:<RFC822>user@contoso.com"

ضعيف

عنوان البريد الإلكتروني

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

قوي

المستحسنة

X509SKI

"X509:<التزلج>123456789abcdef"

قوي

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

قوي

إذا لم يتمكن العملاء من إعادة إصدار الشهادات باستخدام ملحق SID الجديد، نوصي بإنشاء تعيين يدوي باستخدام أحد التعيينات القوية الموضحة أعلاه. يمكنك القيام بذلك عن طريق إضافة سلسلة التعيين المناسبة إلى سمة المستخدمين altSecurityIdentities في Active Directory.

ملاحظة يتم الإبلاغ عن بعض الحقول، مثل المصدر والموضوع والرقم التسلسلي، بتنسيق "إعادة توجيه". يجب عكس هذا التنسيق عند إضافة سلسلة التعيين إلى السمة altSecurityIdentities . على سبيل المثال، لإضافة تعيين X509IssuerSerialNumber إلى مستخدم، ابحث في حقلي "المصدر" و"الرقم التسلسلي" للشهادة التي تريد تعيينها للمستخدم. راجع إخراج العينة أدناه.

  • المصدر: CN=CONTOSO-DC-CA، DC=contoso، DC=com

  • الرقم التسلسلي: 2B00000000011AC0000000012

بعد ذلك، قم بتحديث سمة altSecurityIdentities الخاصة بالمستخدم في Active Directory بالسلسلة التالية:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

لتحديث هذه السمة باستخدام Powershell، يمكنك استخدام الأمر أدناه. ضع في اعتبارك أن مسؤولي المجال فقط، بشكل افتراضي، لديهم الإذن لتحديث هذه السمة.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

لاحظ أنه عند عكس الرقم التسلسلي، يجب الاحتفاظ بترتيب البايت. وهذا يعني أن عكس الرقم التسلسلي "A1B2C3" يجب أن يؤدي إلى السلسلة "C3B2A1" وليس "3C2B1A". لمزيد من المعلومات، راجع HowTo: تعيين مستخدم إلى شهادة عبر جميع الأساليب المتوفرة في السمة altSecurityIdentities.

المخطط الزمني لتحديثات Windows

مهم تبدأ مرحلة التمكين بتحديثات 11 أبريل 2023 لنظام التشغيل Windows، والتي ستتجاهل إعداد مفتاح التسجيل معطل. 

بمجرد تثبيت تحديثات Windows في 10 مايو 2022، ستكون الأجهزة في وضع التوافق. إذا كان من الممكن تعيين شهادة بقوة إلى مستخدم، فستحدث المصادقة كما هو متوقع. إذا كان من الممكن تعيين شهادة إلى مستخدم بشكل ضعيف فقط، فستحدث المصادقة كما هو متوقع. ومع ذلك، سيتم تسجيل رسالة تحذير ما لم تكن الشهادة أقدم من المستخدم. إذا كانت الشهادة أقدم من المستخدم ولم يكن مفتاح التسجيل Certificate Backdating موجودا أو كان النطاق خارج التعويض المدعوم، فستفشل المصادقة، وسيتم تسجيل رسالة خطأ.  إذا تم تكوين مفتاح التسجيل Certificate Backdating، فسيسجل رسالة تحذير في سجل الأحداث إذا كانت التواريخ تقع ضمن التعويض الاحتياطي.

بعد تثبيت تحديثات Windows في 10 مايو 2022، شاهد أي رسالة تحذير قد تظهر بعد شهر أو أكثر. إذا لم تكن هناك رسائل تحذير، نوصي بشدة بتمكين وضع الإنفاذ الكامل على جميع وحدات التحكم بالمجال باستخدام المصادقة المستندة إلى الشهادة. يمكنك استخدام مفتاح تسجيل KDC لتمكين وضع الإنفاذ الكامل.

ما لم يتم تحديثه إلى وضع التدقيق أو وضع الإنفاذ باستخدام مفتاح التسجيل StrongCertificateBindingEnforcement في وقت سابق، ستنتقل وحدات التحكم بالمجال إلى وضع الإنفاذ الكامل عند تثبيت تحديث أمان Windows لشهر فبراير 2025. سيتم رفض المصادقة إذا تعذر تعيين شهادة بقوة. سيبقى خيار العودة إلى وضع التوافق حتى سبتمبر 2025. بعد هذا التاريخ، لن يتم دعم مفتاح التسجيل StrongCertificateBindingEnforcement

إذا كانت المصادقة المستندة إلى الشهادة تعتمد على تعيين ضعيف لا يمكنك نقله من البيئة، يمكنك وضع وحدات التحكم بالمجال في الوضع معطل باستخدام إعداد مفتاح التسجيل. لا توصي Microsoft بذلك، وسنزيل الوضع معطل في 11 أبريل 2023.

بمجرد تثبيت تحديثات Windows في 13 فبراير 2024 أو أحدث على Server 2019 وما فوق والعملاء المدعومين مع تثبيت ميزة RSAT الاختيارية، سيتم تعيين الشهادة في Active Directory Users & Computers افتراضيا لتحديد تعيين قوي باستخدام X509IssuerSerialNumber بدلا من التعيين الضعيف باستخدام X509IssuerSubject. لا يزال من الممكن تغيير الإعداد حسب الرغبة.

استكشاف الأخطاء وإصلاحها

  • استخدم سجل Kerberos Operational على الكمبيوتر ذي الصلة لتحديد وحدة التحكم بالمجال التي تفشل في تسجيل الدخول. انتقل إلى عارض الأحداث > Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

  • ابحث عن الأحداث ذات الصلة في سجل أحداث النظام على وحدة تحكم المجال التي يحاول الحساب المصادقة عليها.

  • إذا كانت الشهادة أقدم من الحساب، فقم بإعادة إصدار الشهادة أو إضافة تعيين altSecurityIdentities آمن إلى الحساب (راجع تعيينات الشهادة).

  • إذا كانت الشهادة تحتوي على ملحق SID، فتحقق من تطابق SID مع الحساب.

  • إذا تم استخدام الشهادة لمصادقة عدة حسابات مختلفة، فسيحتاج كل حساب إلى تعيين altSecurityIdentities منفصل.

  • إذا لم يكن لدى الشهادة تعيين آمن للحساب، أضف واحدا أو اترك المجال في وضع التوافق حتى يمكن إضافة مجال.

مثال على تعيين شهادة TLS هو استخدام تطبيق ويب IIS إنترانت.

  • بعد تثبيت الحماية CVE-2022-26391وCVE-2022-26923 ، تستخدم هذه السيناريوهات بروتوكول خدمة شهادات Kerberos للمستخدم (S4U) لتعيين الشهادات والمصادقة بشكل افتراضي.

  • في بروتوكول Kerberos Certificate S4U، يتدفق طلب المصادقة من خادم التطبيق إلى وحدة تحكم المجال، وليس من العميل إلى وحدة تحكم المجال. لذلك، ستكون الأحداث ذات الصلة على خادم التطبيق.

معلومات مفتاح التسجيل

بعد تثبيت الحماية CVE-2022-26931 وCVE-2022-26923 في تحديثات Windows التي تم إصدارها بين 10 مايو 2022 و10 سبتمبر 2025 أو أحدث، تتوفر مفاتيح التسجيل التالية.

لن يتم دعم مفتاح التسجيل هذا بعد تثبيت تحديثات Windows التي تم إصدارها في سبتمبر 2025 أو بعده.

هام

يعد استخدام مفتاح التسجيل هذا حلا مؤقتا للبيئات التي تتطلب ذلك ويجب إجراؤه بحذر. يعني استخدام مفتاح التسجيل هذا ما يلي لبيئتك:

  • يعمل مفتاح التسجيل هذا فقط في وضع التوافق بدءا من التحديثات التي تم إصدارها في 10 مايو 2022.

  • لن يتم دعم مفتاح التسجيل هذا بعد تثبيت تحديثات Windows التي تم إصدارها في 10 سبتمبر 2025.

  • يحتوي الكشف عن ملحق SID والتحقق من الصحة المستخدم من قبل فرض ربط الشهادة القوية على قيمة مفتاح تسجيل KDC UseSubjectAltName . سيتم استخدام ملحق SID إذا لم تكن قيمة التسجيل موجودة أو إذا تم تعيين القيمة إلى قيمة 0x1. لن يتم استخدام ملحق SID إذا كان UseSubjectAltName موجودا، ويتم تعيين القيمة إلى 0x0.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

القيمة

StrongCertificateBindingEnforcement

نوع البيانات

REG_DWORD

البيانات

1 - التحقق من وجود تعيين شهادة قوي. إذا كانت الإجابة بنعم، يتم السماح بالمصادقة. وإلا، سيتحقق KDC مما إذا كانت الشهادة تحتوي على ملحق SID الجديد والتحقق من صحتها. إذا لم يكن هذا الملحق موجودا، يتم السماح بالمصادقة إذا كان حساب المستخدم يسبق الشهادة.

2 - التحقق من وجود تعيين قوي للشهادة. إذا كانت الإجابة بنعم، يتم السماح بالمصادقة. وإلا، سيتحقق KDC مما إذا كانت الشهادة تحتوي على ملحق SID الجديد والتحقق من صحتها. إذا لم يكن هذا الملحق موجودا، يتم رفض المصادقة.

0 - يعطل فحص تعيين الشهادة القوي. غير مستحسن لأن هذا سيؤدي إلى تعطيل جميع تحسينات الأمان.

إذا قمت بتعيين هذا إلى 0، يجب عليك أيضا تعيين CertificateMappingMethods إلى 0x1F كما هو موضح في قسم مفتاح تسجيل Schannel أدناه حتى تنجح المصادقة المستندة إلى شهادة الكمبيوتر..

هل إعادة التشغيل مطلوبة؟

لا

عندما يتطلب تطبيق خادم مصادقة العميل، يحاول Schannel تلقائيا تعيين الشهادة التي يوفرها عميل TLS لحساب مستخدم. يمكنك مصادقة المستخدمين الذين يسجلون الدخول باستخدام شهادة عميل عن طريق إنشاء تعيينات تربط معلومات الشهادة بحساب مستخدم Windows. بعد إنشاء تعيين شهادة وتمكينه، في كل مرة يقدم فيها العميل شهادة عميل، يربط تطبيق الخادم هذا المستخدم تلقائيا بحساب مستخدم Windows المناسب.

سيحاول Schannel تعيين كل أسلوب تعيين شهادة قمت بتمكينه حتى ينجح واحد. يحاول Schannel تعيين تعيينات Service-For-User-to-Self (S4U2Self) أولا. تعتبر تعيينات شهادات الموضوع/المصدر والمصدر و UPN ضعيفة الآن وقد تم تعطيلها بشكل افتراضي. يحدد المجموع النقطي للخيارات المحددة قائمة أساليب تعيين الشهادات المتوفرة.

تم 0x1F مفتاح تسجيل SChannel الافتراضي وهو الآن 0x18. إذا واجهت فشلا في المصادقة مع تطبيقات الخادم المستندة إلى Schannel، فإننا نقترح عليك إجراء اختبار. إضافة قيمة مفتاح التسجيل CertificateMappingMethods أو تعديلها على وحدة تحكم المجال وتعيينها إلى 0x1F ومعرفة ما إذا كان ذلك يعالج المشكلة. ابحث في سجلات أحداث النظام على وحدة تحكم المجال عن أي أخطاء مدرجة في هذه المقالة لمزيد من المعلومات. ضع في اعتبارك أن تغيير قيمة مفتاح تسجيل SChannel مرة أخرى إلى الافتراضي السابق (0x1F) سيعود إلى استخدام أساليب تعيين الشهادات الضعيفة.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

القيمة

CertificateMappingMethods

نوع البيانات

DWORD

البيانات

0x0001 - تعيين شهادة الموضوع/المصدر (ضعيف – معطل بشكل افتراضي)

0x0002 - تعيين شهادة المصدر (ضعيف – معطل بشكل افتراضي)

0x0004 - تعيين شهادة UPN (ضعيف – معطل بشكل افتراضي)

0x0008 - تعيين شهادة S4U2Self (قوي)

0x0010 - تعيين شهادة صريحة S4U2Self (قوي)

هل إعادة التشغيل مطلوبة؟

لا

للحصول على موارد ودعم إضافيين، راجع قسم "موارد إضافية".

بعد تثبيت التحديثات التي تتناول CVE-2022-26931وCVE-2022-26923، قد تفشل المصادقة في الحالات التي تكون فيها شهادات المستخدم أقدم من وقت إنشاء المستخدمين. يسمح مفتاح التسجيل هذا بالمصادقة الناجحة عند استخدام تعيينات شهادات ضعيفة في بيئتك ويكون وقت الشهادة قبل وقت إنشاء المستخدم ضمن نطاق معين. لا يؤثر مفتاح التسجيل هذا على المستخدمين أو الأجهزة ذات تعيينات شهادات قوية، حيث لا يتم التحقق من وقت الشهادة ووقت إنشاء المستخدم باستخدام تعيينات شهادات قوية. لا يكون لمفتاح التسجيل هذا أي تأثير عند تعيين StrongCertificateBindingEnforcement إلى 2.

يعد استخدام مفتاح التسجيل هذا حلا مؤقتا للبيئات التي تتطلب ذلك ويجب إجراؤه بحذر. يعني استخدام مفتاح التسجيل هذا ما يلي لبيئتك:

  • يعمل مفتاح التسجيل هذا فقط في وضع التوافق بدءا من التحديثات التي تم إصدارها في 10 مايو 2022. سيتم السماح بالمصادقة ضمن إزاحة التعويض المدعوم ولكن سيتم تسجيل تحذير سجل الأحداث للربط الضعيف.

  • يسمح تمكين مفتاح التسجيل هذا بمصادقة المستخدم عندما يكون وقت الشهادة قبل وقت إنشاء المستخدم ضمن نطاق معين كرسم تخطيط ضعيف. لن يتم دعم التعيينات الضعيفة بعد تثبيت تحديثات Windows التي تم إصدارها في سبتمبر 2025 أو بعده.

مفتاح التسجيل الفرعي

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

قيمة

CertificateBackdatingCompensation

نوع البيانات

REG_DWORD

البيانات

قيم الحل البديل في السنوات التقريبية:

  • 50 عاما: 0x5E0C89C0

  • 25 عاما: 0x2EFE0780

  • 10 سنوات: 0x12CC0300

  • 5 سنوات: 0x9660180

  • 3 سنوات: 0x5A39A80

  • سنة واحدة: 0x1E13380

ملاحظة إذا كنت تعرف عمر الشهادات في بيئتك، فقم بتعيين مفتاح التسجيل هذا إلى أطول قليلا من عمر الشهادة.  إذا كنت لا تعرف مدة بقاء الشهادة لبيئتك، فقم بتعيين مفتاح التسجيل هذا إلى 50 عاما. يتم تعيينه افتراضيا إلى 10 دقائق عندما لا يكون هذا المفتاح موجودا، والذي يطابق خدمات شهادات Active Directory (ADCS). الحد الأقصى للقيمة هو 50 عاما (0x5E0C89C0).

يعين هذا المفتاح فرق الوقت، بالثوان، الذي سيتجاهله مركز توزيع المفاتيح (KDC) بين وقت إصدار شهادة المصادقة ووقت إنشاء الحساب لحسابات المستخدم/الجهاز.

مهم قم بتعيين مفتاح التسجيل هذا فقط إذا كانت بيئتك تتطلب ذلك. يؤدي استخدام مفتاح التسجيل هذا إلى تعطيل فحص الأمان.

هل إعادة التشغيل مطلوبة؟

لا

المراجع المصدقة على مستوى المؤسسة

ستبدأ المراجع المصدقة للمؤسسات (CA) في إضافة ملحق جديد غير مهم باستخدام معرف الكائن (OID) (1.3.6.1.4.1.311.25.2) بشكل افتراضي في جميع الشهادات الصادرة مقابل القوالب عبر الإنترنت بعد تثبيت تحديث Windows في 10 مايو 2022. يمكنك إيقاف إضافة هذا الملحق عن طريق تعيين بت 0x00080000 في قيمة msPKI-Enrollment-Flag للقالب المقابل.

يمكنك تشغيل الأمر certutil التالي لاستبعاد شهادات قالب المستخدم من الحصول على الملحق الجديد.

  1. سجل الدخول إلى خادم المرجع المصدق أو عميل Windows 10 مرتبط بالمجال مع مسؤول المؤسسة أو بيانات الاعتماد المكافئة.

  2. افتح موجه الأوامر واختر تشغيل كمسؤول.

  3. قم بتشغيل certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

سيؤدي تعطيل إضافة هذا الملحق إلى إزالة الحماية التي يوفرها الملحق الجديد. ضع في اعتبارك القيام بذلك فقط بعد أحد الإجراءات التالية:

  1. تأكد من أن الشهادات المقابلة غير مقبولة لتشفير المفتاح العام للمصادقة الأولية (PKINIT) في مصادقات بروتوكول Kerberos في KDC

  2. تحتوي الشهادات المقابلة على تعيينات شهادات قوية أخرى تم تكوينها

لن تتم حماية البيئات التي تحتوي على عمليات توزيع غير Microsoft CA باستخدام ملحق SID الجديد بعد تثبيت تحديث Windows 10 مايو 2022. يجب أن يعمل العملاء المتأثرون مع موردي CA المقابلين لمعالجة ذلك أو يجب أن يفكروا في استخدام تعيينات الشهادات القوية الأخرى الموضحة أعلاه.

للحصول على موارد ودعم إضافيين، راجع قسم "موارد إضافية".

الأسئلة المتداولة

لا، التجديد غير مطلوب. سيتم شحن المرجع المصدق في وضع التوافق. إذا كنت تريد تعيينا قويا باستخدام ملحق ObjectSID، فستحتاج إلى شهادة جديدة.

في تحديث Windows في 11 فبراير 2025، سيتم نقل الأجهزة غير الموجودة بالفعل في الإنفاذ (تم تعيين قيمة سجل StrongCertificateBindingEnforcement إلى 2)، إلى الإنفاذ. إذا تم رفض المصادقة، فسترى معرف الحدث 39 (أو معرف الحدث 41 ل Windows Server 2008 R2 SP1 وWindows Server 2008 SP2). سيكون لديك خيار تعيين قيمة مفتاح التسجيل مرة أخرى إلى 1 (وضع التوافق) في هذه المرحلة.

في تحديث Windows في 10 سبتمبر 2025، لن يتم دعم قيمة سجل StrongCertificateBindingEnforcement . ​​​​​​​

موارد إضافية

لمزيد من المعلومات حول تعيين شهادة عميل TLS، راجع المقالات التالية:

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.