Päivämäärän muuttaminen |
Kuvaus |
---|---|
10/24/2024 |
Päivitetty teksti selkeyden vuoksi "Toimi" -osion vaiheessa 2, "Täyden pakotustilan" kuvauksessa "Windows-päivitysten aikajana" ja muokattu rekisteriavaimen (Key Distribution Center, KDC) rekisteriavaimen ja Varmenteen varmuuskopioinnin rekisteriavain -aiheiden päivämäärätietoja Rekisteriavaimen tiedot -osassa. |
9/10/2024 |
Muutit Windows-päivitysten ajoitukset -osion täyden pakotustilan kuvauksen vastaamaan uusia päivämääriä. 11. helmikuuta 2025 siirtää laitteet pakotustilaan, mutta jättää tuen siirtyäkseen takaisin yhteensopivuustilaan. Täydellinen rekisteriavaimen tuki päättyy nyt 10. syyskuuta 2025. |
7/5/2024 |
Lisätty tietoja SID-laajennuksesta Avainten jakelukeskuksen (KDC) rekisteriavaimeen Rekisteriavaimen tiedot -osassa. |
10.10.2023 |
Lisätty tietoja vahvojen yhdistämismääritysten oletusmuutoksista kohdassa "Windows Päivitykset aikajana" |
6/30/2023 |
Muutettu täydet pakotustilat päivämäärästä 14.11.2023 11.2.2025 (nämä päivämäärät on aiemmin lueteltu 19. toukokuuta 2023 ja 14. marraskuuta 2023). |
1/26/2023 |
Poistettu käytöstä -tilan poistaminen 14. helmikuuta 2023 ja 11. huhtikuuta 2023 |
Yhteenveto
CVE-2022-34691,CVE-2022-26931 ja CVE-2022-26923 korjaavat käyttöoikeuksien haavoittuvuutta, joka voi ilmetä, kun Kerberos Key Distribution Center (KDC) tukee varmennepohjaista todennuspyyntöä. Ennen 10.5.2022 julkaistua suojauspäivitystä varmenteeseen perustuva todennus ei merkinnut dollarimerkkiä ($) koneen nimen lopussa. Tämä mahdollisti toisiinsa liittyvien varmenteiden emuloidun (väärennetyn) eri tavoin. Lisäksi käyttäjien päänimien (UPN) ja sAMAccountNamein väliset ristiriidat toi mukanaan muita emuloinnin (huijaus) haavoittuvuuksia, joita korjaamme myös tämän suojauspäivityksen yhteydessä.
Toimi
Voit suojata ympäristösi suorittamalla seuraavat varmenteeseen perustuvan todentamisen vaiheet:
-
Päivitä 10. toukokuuta 2022 julkaistulla päivityksellä kaikki palvelimet, joissa on Käytössä Active Directory -varmennepalvelut ja Windowsin toimialueen ohjauskoneet, jotka palvelevat varmennepohjaista todentamista (katso Yhteensopivuustila). 10. toukokuuta 2022 -päivitys tarjoaa valvontatapahtumia , jotka tunnistavat varmenteet, jotka eivät ole yhteensopivia täyden pakotustilan kanssa.
-
Jos toimialueen ohjauskoneisiin ei luoda valvontatapahtumalokeja kuukauden ajan päivityksen asentamisen jälkeen, jatka täyden pakotustilan käyttöönottoa kaikissa toimialueen ohjauskoneissa. Helmikuuhun 2025 mennessä, jos StrongCertificateBindingEnforcement -rekisteriavainta ei ole määritetty, toimialueen ohjauskoneet siirtyvät Täysi pakotus -tilaan. Muussa tapauksessa rekisteriavainten yhteensopivuustilan asetusta kunnioitetaan edelleen. Jos varmenne epäonnistuu täydessä pakotustilassa vahvan (suojatun) määrityksen ehdoissa (katso Varmenteiden yhdistämismääritykset), todennus hylätään. Mahdollisuus siirtyä takaisin yhteensopivuustilaan säilyy kuitenkin syyskuuhun 2025 asti.
Tapahtumien valvonta
Windows 10. toukokuuta 2022 -päivitys lisää seuraavat tapahtumalokit.
Vahvoja varmenteiden yhdistämismäärityksiä ei löytynyt, eikä varmenteella ollut uutta suojaustunnistetta (SID), jonka KDC pystyi vahvistamaan.
Tapahtumaloki |
Järjestelmä |
Tapahtumalaji |
Varoitus, jos KDC on yhteensopivuustilassa Virhe, jos KDC on pakotustilassa |
Tapahtumalähde |
Kdcsvc |
Tapahtumatunnus |
39 41 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2) |
Tapahtuman teksti |
Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Tällaiset varmenteet on joko vaihdettava tai yhdistettävä suoraan käyttäjään eksplisiittisen yhdistämisen avulla. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925. Käyttäjä: <päänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydellinen toimialuenimi (FQDN)> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki |
Varmenne on myönnetty käyttäjälle ennen käyttäjän olemassaoloa Active Directoryssa, eikä vahvaa yhdistämismääritystä löytynyt. Tämä tapahtuma kirjataan lokiin vain, kun KDC on yhteensopivuustilassa.
Tapahtumaloki |
Järjestelmä |
Tapahtumalaji |
Virhe |
Tapahtumalähde |
Kdcsvc |
Tapahtumatunnus |
40 48 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2 |
Tapahtuman teksti |
Avainten jakelukeskus (KDC) kohtasi käyttäjävarmenteen, joka oli kelvollinen, mutta jota ei voitu yhdistää käyttäjään vahvalla tavalla (esimerkiksi eksplisiittisen yhdistämisen, avainten luottamusmäärityksen tai SID:n avulla). Varmenne on myös vanhentunut käyttäjälle, jonka se on yhdistänyt, joten se hylättiin. Lisätietoja on artikkelissa https://go.microsoft.com/fwlink/?linkid=2189925. Käyttäjä: <päänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki Varmenteen myöntämisaika: varmenteen> <FILETIME Tilin luontiaika: <AD-> pääobjektin FILETIME |
Käyttäjien varmenteen uudessa laajennuksessa oleva SID ei vastaa käyttäjien SID-tunnusta, mikä viittaa siihen, että varmenne on myönnetty toiselle käyttäjälle.
Tapahtumaloki |
Järjestelmä |
Tapahtumalaji |
Virhe |
Tapahtumalähde |
Kdcsvc |
Tapahtumatunnus |
41 49 (Windows Server 2008 R2 SP1 ja Windows Server 2008 SP2) |
Tapahtuman teksti |
Avainten jakelukeskus (KDC) kohtasi kelvollisen käyttäjävarmenteen, joka sisälsi eri SID-tunnuksen kuin käyttäjä, johon se on määrittänyt. Tämän seurauksena varmennetta koskeva pyyntö epäonnistui. Lisätietoja on artikkelissa https://go.microsoft.cm/fwlink/?linkid=2189925. Käyttäjä: <päänimi> User SID: <SID todennuspäänimi> Varmenteen aihe: <aiheen nimi Varmenne-> Varmenteen myöntäjä: <myöntäjän täydelliset toimialuenimen> Varmenteen sarjanumero: <varmenteen sarjanumero> Varmenteen peukalonjälki: <varmenteen> peukalonjälki Certificate SID: <SID löytyi uudesta varmennelaajennuksesta> |
Varmenteiden yhdistämismääritykset
Toimialueen järjestelmänvalvojat voivat yhdistää varmenteet manuaalisesti käyttäjälle Active Directoryssa käyttämällä käyttäjien objektin altSecurityIdentities-määritettä . Määritteelle on kuusi tuettua arvoa, ja kolmea karttaa pidetään heikkoina (epävarmoina) ja kolmea muuta vahvaa. Yleensä yhdistämistyyppejä pidetään vahvoina, jos ne perustuvat tunnisteisiin, joita ei voi käyttää uudelleen. Siksi kaikkia käyttäjänimiin ja sähköpostiosoitteisiin perustuvia yhdistämistyyppejä pidetään heikkoina.
Yhdistämismääritys |
Esimerkki |
Type (Tyyppi) |
Huomautuksia |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Heikko |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Heikko |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Heikko |
Sähköpostiosoite |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Vahva |
Suositellut |
X509SKI |
"X509:<SKI>123456789abcdef" |
Vahva |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Vahva |
Jos asiakkaat eivät voi luoda varmenteita uudelleen uudella SID-tunnisteella, suosittelemme, että luot manuaalisen yhdistämisen käyttämällä jotakin yllä kuvatuista vahvoista yhdistämismäärityksistä. Voit tehdä tämän lisäämällä sopivan yhdistämismerkkijonon käyttäjien altSecurityIdentities-määritteeseen Active Directoryssa.
Huomautus:Tietyt kentät, kuten Myöntäjä, Aihe ja Sarjanumero, raportoidaan välitysmuodossa. Tämä muoto on muutettava käänteiseksi, kun lisäät yhdistämismerkkijonon altSecurityIdentities-määritteeseen . Jos esimerkiksi haluat lisätä X509IssuerSerialNumber-yhdistämismäärityksen käyttäjälle, etsi sen varmenteen Myöntäjä- ja Sarjanumero-kentistä, jonka haluat yhdistää käyttäjään. Katso alla oleva esimerkkitulos.
-
Myöntäjä: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Sarjanumero: 2B0000000011AC0000000012
Päivitä sitten käyttäjän AltSecurityIdentities-määrite Active Directoryssa seuraavalla merkkijonolla:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"
Jos haluat päivittää tämän määritteen Powershellin avulla, voit käyttää alla olevaa komentoa. Muista, että oletusarvoisesti vain toimialueen järjestelmänvalvojilla on oikeus päivittää tämä määrite.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Huomaa, että kun kumoat sarjanumeron, sinun on pidettävä tavujärjestys. Tämä tarkoittaa, että järjestysnumeron "A1B2C3" peruuttamisen pitäisi johtaa merkkijonoon "C3B2A1" eikä "3C2B1A". Lisätietoja on ohjeaiheessa HowTo: Käyttäjän yhdistäminen varmenteeseen kaikilla vaihtoehtoisenSecurityIdentities-määritteen menetelmillä.
Windows-päivitysten aikajana
Tärkeää Käyttöönottovaihe alkaa Windowsin 11. huhtikuuta 2023 julkaistuilla päivityksillä, jotka ohittavat Käytöstä poistetun tilan rekisteriavaimen asetuksen.
Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, laitteet ovat yhteensopivuustilassa. Jos varmenne voidaan yhdistää vahvasti käyttäjään, todennus tapahtuu odotetulla tavalla. Jos varmenne voidaan yhdistää vain käyttäjään heikosti, todennus tapahtuu odotetulla tavalla. Varoitussanoma kirjataan kuitenkin lokiin, ellei varmenne ole käyttäjää vanhempi. Jos varmenne on vanhempi kuin käyttäjä ja varmenteen varmuuskopioinnin rekisteriavainta ei ole tai alue on varmuuskopioinnin korvaamisen ulkopuolella, todennus epäonnistuu ja virhesanoma kirjataan lokiin. Jos Varmenteen varmuuskopioinnin rekisteriavain on määritetty, se kirjaa varoitussanoman tapahtumalokiin, jos päivämäärät kuuluvat varmuuskopioinnin kompensaatioon.
Kun olet asentanut 10. toukokuuta 2022 julkaistut Windows-päivitykset, katso mahdolliset varoitusviestit, jotka saattavat näkyä kuukauden tai useamman kuukauden kuluttua. Jos varoitussanomia ei ole, suosittelemme vahvasti, että otat täyden pakotustilan käyttöön kaikissa toimialueen ohjauskoneissa varmennepohjaisen todentamisen avulla. Voit ottaa täyden pakotustilan käyttöön KDC-rekisteriavaimen avulla.
Ellei sitä päivitetä valvontatilaan tai pakotustilaan StrongCertificateBindingEnforcement-rekisteriavaimen avulla aiemmin, toimialueen ohjauskoneet siirtyvät täyden pakotuksen tilaan, kun helmikuun 2025 Windowsin suojauspäivitys on asennettu. Todennus hylätään, jos varmennetta ei voi yhdistää vahvasti. Yhteensopivuustilaan siirtyminen säilyy syyskuuhun 2025 asti. Tämän päivämäärän jälkeen StrongCertificateBindingEnforcement-rekisteriavainta ei enää tueta
Jos varmennepohjainen todennus perustuu heikkoon yhdistämismääritykseen, jota ei voi siirtää ympäristöstä, voit asettaa toimialueen ohjauskoneet käytöstä poistettuun tilaan rekisteriavainasetuksen avulla. Microsoft ei suosittele tätä, ja poistamme käytöstä poistetun tilan 11. huhtikuuta 2023.
Kun olet asentanut 13.2.2024 tai uudemmat Windows-päivitykset Server 2019:ään ja uudemmissa versioissa ja tuettuja asiakkaita, joihin on asennettu valinnainen RSAT-ominaisuus, Active Directory Users & Computers -sovelluksen varmenteiden yhdistämismääritykset valitsevat oletusarvoisesti vahvat yhdistämismääritykset X509IssuerSerialNumberin avulla X509IssuerSubjectin heikon yhdistämismäärityksen sijaan. Asetusta voi edelleen muuttaa haluamallasi tavalla.
Vianmääritys
-
Käytä kyseisen tietokoneen Kerberos Operational -lokia sen määrittämiseen, mikä toimialueen ohjauskone epäonnistuu kirjautumisessa. Siirry kohtaan Tapahtumienvalvonta > Sovellukset ja palvelut -lokit\Microsoft \Windows\Security-Kerberos\Operational.
-
Etsi osuvia tapahtumia toimialueen ohjauskoneen Järjestelmän tapahtumalokista, jota vastaan tili yrittää todentaa.
-
Jos varmenne on tiliä vanhempi, luo varmenne uudelleen tai lisää tiliin suojattu altSecurityId-kohteiden yhdistämismääritys (katso Varmenteiden yhdistämismääritykset).
-
Jos varmenne sisältää SID-tunnisteen, varmista, että SID vastaa tiliä.
-
Jos varmennetta käytetään useiden eri tilien todennusta varten, jokaiselle tilille on määritettävä erillinen altSecurityId-entiteettien määritys.
-
Jos varmenteessa ei ole suojattua yhdistämismääritystä tiliin, lisää se tai jätä toimialue yhteensopivuustilaan, kunnes se voidaan lisätä.
Esimerkki TLS-varmenteiden yhdistämisestä on IIS intranet -verkkosovelluksen käyttäminen.
-
CVE-2022-26391- ja CVE-2022-26923-suojausten asentamisen jälkeen näissä skenaarioissa käytetään oletusarvoisesti Kerberos Certificate Service For User (S4U) -protokollaa varmenteiden yhdistämiseen ja todentamiseen.
-
Kerberos Certificate S4U -protokollassa todennuspyyntö siirtyy sovelluspalvelimesta toimialueen ohjauskoneeseen, ei asiakkaasta toimialueen ohjauskoneeseen. Siksi olennaiset tapahtumat ovat sovelluspalvelimessa.
Rekisteriavaimen tiedot
Kun olet asentanut CVE-2022-26931- ja CVE-2022-26923-suojaukset 10.5.2022–10.9.2025 tai uudemmissa versioissa julkaistuihin Windows-päivityksiin, seuraavat rekisteriavaimet ovat käytettävissä.
Tätä rekisteriavainta ei tueta sen jälkeen, kun syyskuussa 2025 tai sen jälkeen julkaistut Windows-päivitykset on asennettu.
Tärkeää
Tämän rekisteriavaimen käyttäminen on tilapäinen vaihtoehtoinen menetelmä ympäristöille, jotka edellyttävät sitä ja jotka on tehtävä varoen. Tämän rekisteriavaimen käyttäminen tarkoittaa ympäristöllesi seuraavaa:
-
Tämä rekisteriavain toimii yhteensopivuustilassa vain 10.5.2022 julkaistuista päivityksistä alkaen.
-
Tätä rekisteriavainta ei tueta 10. syyskuuta 2025 julkaistujen Windows-päivitysten asentamisen jälkeen.
-
Strong Certificate Binding Enforcement -toiminnon käyttämä SID-tunnisteen tunnistus ja kelpoisuustarkistus on riippuvainen KDC-rekisteriavaimen UseSubjectAltName-arvosta . SID-tunnistetta käytetään, jos rekisteriarvoa ei ole tai jos arvoksi on määritetty 0x1. SID-tunnistetta ei käytetä, jos UseSubjectAltName on olemassa ja arvoksi on määritetty 0x0.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Arvo |
StrongCertificateBindingEnforcement |
Tietotyyppi |
REG_DWORD |
Tiedot |
1 – Tarkistaa, onko varmenteen yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä tunnistetta ei ole, todennus on sallittu, jos käyttäjätili on varmenteen edeltävä. 2 – Tarkistaa, onko varmenteiden yhdistäminen vahvaa. Jos kyllä, todennus on sallittu. Muussa tapauksessa KDC tarkistaa, onko varmenteella uusi SID-laajennus, ja vahvistaa sen. Jos tätä laajennusta ei ole, todennus on estetty. 0 – Poistaa vahvan varmenteiden yhdistämistarkistuksen käytöstä. Ei suositella, koska tämä poistaa käytöstä kaikki suojausparannukset. Jos määrität arvoksi 0, sinun on myös määritettävä CertificateMappingMethods-arvoksi 0x1F alla olevassa Schannel-rekisteriavainosassa kuvatulla tavalla, jotta tietokonevarmennepohjainen todentaminen onnistuu.. |
Uudelleenkäynnistys Pakollinen? |
Ei |
Kun palvelinsovellus edellyttää asiakkaan todennusta, Schannel yrittää automaattisesti yhdistää varmenteen, jonka TLS-asiakas toimittaa käyttäjätilille. Voit todentaa käyttäjät, jotka kirjautuvat sisään asiakasvarmenteella, luomalla yhdistämismäärityksiä, jotka yhdistävät varmennetiedot Windows-käyttäjätiliin. Kun olet luonut varmenteen yhdistämismäärityksen ja ottanut sen käyttöön aina, kun asiakas esittää asiakasvarmenteen, palvelinsovellus liittää kyseisen käyttäjän automaattisesti oikeaan Windows-käyttäjätiliin.
Schannel yrittää yhdistää jokaisen käytössä olevan varmenteen yhdistämismenetelmän, kunnes se onnistuu. Schannel yrittää ensin yhdistää Service-For-User-To-Self (S4U2Self) -määritykset. Aihe-/myöntäjä-, myöntäjä- ja UPN-varmenteiden yhdistämismääritykset ovat nyt heikkoja, ja ne on oletusarvoisesti poistettu käytöstä. Valittujen asetusten bittikarttasumma määrittää käytettävissä olevien varmenteiden yhdistämismenetelmien luettelon.
SChannel-rekisteriavaimen oletusasetus oli 0x1F ja on nyt 0x18. Jos schannel-pohjaisissa palvelinsovelluksissa ilmenee todennusvirheitä, suosittelemme, että suoritat testin. Lisää tai muokkaa CertificateMappingMethods-rekisteriavainarvoa toimialueen ohjauskoneeseen ja määritä se 0x1F ja katso, korjaantyyko ongelma. Lisätietoja on tässä artikkelissa luetelluista virheistä toimialueen ohjauskoneen Järjestelmän tapahtumalokeissa. Muista, että SChannel-rekisteriavaimen arvon muuttaminen takaisin edelliseen oletusarvoon (0x1F) palautuu heikoilla varmenteiden yhdistämismenetelmillä.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Arvo |
CertificateMappingMethods |
Tietotyyppi |
DWORD |
Tiedot |
0x0001 – Subject/Issuer certificate mapping (heikko – oletusarvoisesti poissa käytöstä) 0x0002 – Myöntäjän varmenteen yhdistäminen (heikko – oletusarvoisesti poissa käytöstä) 0x0004 – UPN-varmenteiden yhdistäminen (heikko – oletusarvoisesti poissa käytöstä) 0x0008 – S4U2Self-varmenteiden yhdistäminen (vahva) 0x0010 – S4U2Sel eksplisiittinen varmenteiden yhdistäminen (strong) |
Uudelleenkäynnistys Pakollinen? |
Ei |
Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.
Kun olet asentanut päivitykset, joiden osoite on CVE-2022-26931 ja CVE-2022-26923, todennus saattaa epäonnistua tapauksissa, joissa käyttäjävarmenteet ovat vanhempia kuin käyttäjien luontiaika. Tämä rekisteriavain mahdollistaa onnistuneen todentamisen, kun käytät heikkoja varmenteiden yhdistämismäärityksiä ympäristössäsi ja varmenneaika on ennen käyttäjän luontiaikaa määritetyllä alueella. Tämä rekisteriavain ei vaikuta käyttäjiin tai koneisiin, joilla on vahva varmenteiden yhdistäminen, koska varmenteen aikaa ja käyttäjän luontiaikaa ei tarkisteta vahvoilla varmenteiden yhdistämismäärityksillä. Tämä rekisteriavain ei vaikuta, kun StrongCertificateBindingEnforcement-asetuksena on 2.
Tämän rekisteriavaimen käyttäminen on tilapäinen vaihtoehtoinen menetelmä ympäristöille, jotka edellyttävät sitä ja jotka on tehtävä varoen. Tämän rekisteriavaimen käyttäminen tarkoittaa ympäristöllesi seuraavaa:
-
Tämä rekisteriavain toimii yhteensopivuustilassa vain 10.5.2022 julkaistuista päivityksistä alkaen. Todennus sallitaan korvaavan kompensaatiopoikkeuksen aikana, mutta heikon sidonnan vuoksi kirjataan tapahtumalokivaroitus.
-
Tämän rekisteriavaimen käyttöönotto mahdollistaa käyttäjän todentamisen, kun varmenteen aika on ennen käyttäjän luontiaikaa määritetyllä alueella heikkona yhdistämismäärityksenä. Heikkoja yhdistämismäärityksiä ei tueta, kun windows-päivitykset on asennettu syyskuussa 2025 tai sen jälkeen.
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Arvo |
CertificateBackdatingCompensation |
Tietotyyppi |
REG_DWORD |
Data (Tiedot) |
Vaihtoehtoisen menetelmän arvot noin vuosissa:
Huomautus: Jos tiedät varmenteiden käyttöiän ympäristössäsi, määritä tämän rekisteriavaimen arvoksi hieman pidempi kuin varmenteen elinkaari. Jos et tiedä ympäristösi varmenteen käyttöikää, määritä tämän rekisteriavaimen arvoksi 50 vuotta. Oletusarvo on 10 minuuttia, kun tämä avain ei ole näkyvissä, mikä vastaa Active Directory -varmennepalveluja (ADCS). Suurin arvo on 50 vuotta (0x5E0C89C0). Tämä näppäin määrittää sekunteina aikaeron, jonka avainten jakelukeskus (KDC) ohittaa todennusvarmenteen myöntämisajan ja käyttäjä-/konetilien luontiajan välillä. Tärkeää Määritä tämä rekisteriavain vain, jos ympäristö edellyttää sitä. Tämän rekisteriavaimen käyttäminen poistaa suojaustarkistuksen käytöstä. |
Uudelleenkäynnistys Pakollinen? |
Ei |
Yrityksen varmenteiden myöntäjät
Enterprise Certificate Authorities (CA) alkaa lisätä uutta ei-kriittistä tunnistetta objektitunnisteella (OID) (1.3.6.1.4.1.311.25.2) oletusarvoisesti kaikkiin varmenteisiin, jotka on myönnetty online-malleja vastaan Windows-päivityksen asentamisen jälkeen 10. toukokuuta 2022. Voit lopettaa tämän laajennuksen lisäämisen määrittämällä 0x00080000-bittisen arvon vastaavan mallin msPKI-Enrollment-Flag-arvossa .
Suorita seuraava varmennekomento , jos haluat estää käyttäjämallin varmenteita saamasta uutta laajennusta.
-
Kirjaudu varmenteen myöntäjän palvelimeen tai toimialueeseen liitettyun Windows 10 asiakasohjelmaan yrityksen järjestelmänvalvojalla tai vastaavilla tunnistetiedoilla.
-
Avaa komentokehote ja valitse Suorita järjestelmänvalvojana.
-
Suorita certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Tämän laajennuksen lisäämisen poistaminen käytöstä poistaa uuden laajennuksen tarjoaman suojauksen. Harkitse tätä vain jonkin seuraavan jälkeen:
-
Vahvistat, että vastaavat varmenteet eivät ole hyväksyttäviä PKINIT (Public Key Cryptography for Initial Authentication) -salauksessa KDC:n Kerberos Protocol -todennuksessa
-
Vastaavilla varmenteilla on muita vahvoja varmenteiden yhdistämismäärityksiä määritettynä
Ympäristöjä, joissa on muita kuin Microsoft CA -käyttöönottoja, ei suojata uudella SID-laajennuksella 10. toukokuuta 2022 julkaistun Windows-päivityksen asentamisen jälkeen. Asiakkaiden, joita ongelma koskee, tulee tehdä yhteistyötä vastaavien varmenteiden myöntäjien toimittajien kanssa tämän ratkaisemiseksi tai harkita muiden yllä kuvattujen vahvojen varmenteiden yhdistämismääritysten käyttöä.
Lisätietoja lisäresursseista ja tuesta on Lisäresurssit-osassa.
Usein kysyttyjä kysymyksiä
Ei, uusimista ei tarvita. Varmenteiden myöntäjä toimitetaan yhteensopivuustilassa. Jos haluat vahvan yhdistämisen ObjectSID-laajennuksen avulla, tarvitset uuden varmenteen.
11. helmikuuta 2025 julkaistussa Windows-päivityksessä laitteet, jotka eivät ole vielä käytössä (StrongCertificateBindingEnforcement-rekisteriarvo on 2), siirretään pakotteisiin. Jos todennus on estetty, näkyviin tulee Tapahtumatunnus 39 (tai Tapahtumatunnus 41 Windows Server 2008 R2 SP1:lle ja Windows Server 2008 SP2:lle). Tässä vaiheessa voit määrittää rekisteriavaimen arvon takaisin arvoksi 1 (yhteensopivuustila).
10. syyskuuta 2025 julkaistussa Windows-päivityksessä StrongCertificateBindingEnforcement-rekisteriarvoa ei enää tueta.
Lisäresursseja
Lisätietoja TLS-asiakasvarmenteiden yhdistämisestä on seuraavissa artikkeleissa: