Dátum módosítása |
Leírás |
---|---|
10/24/2024 |
Frissült a szöveg az egyértelműség kedvéért a "Művelet végrehajtása" szakasz "Teljes kényszerítési mód" leírásában a "Windows-frissítések ütemterve" szakaszban, és módosította a "Kulcsterjesztési központ (KDC) beállításkulcsa" és a "Tanúsítvány-háttéralkalmazás beállításkulcsa" témakör dátumadatait a "Beállításkulcs-információk" szakaszban. |
9/10/2024 |
Módosította a Teljes kényszerítési mód leírását a "Windows-frissítések időzítése" szakaszban, hogy tükrözze az új dátumokat. 2025. február 11-én kényszerítési módba helyezi át az eszközöket, de a támogatásból visszatérhet a Kompatibilis módba. A beállításkulcsok teljes támogatása 2025. szeptember 10-én megszűnik. |
7/5/2024 |
A SID-bővítménnyel kapcsolatos információk hozzáadva a Kulcsterjesztési központ (KDC) beállításkulcsához a "Beállításkulcs adatai" szakaszban. |
2023. 10. 10. |
Az erős leképezések alapértelmezett módosításaival kapcsolatos információk hozzáadva a "Timeline for Windows Frissítések" (Windows Frissítések idővonala) területen |
6/30/2023 |
A teljes kényszerítési mód 2023. november 14-ről 2025. február 11-ére módosult (ezek a dátumok korábban 2023. május 19.-től 2023. november 14-ig voltak felsorolva). |
1/26/2023 |
A letiltott mód 2023. február 14-ről 2023. április 11-ére való eltávolítását módosítottuk |
Összefoglalás
A CVE-2022-34691,a CVE-2022-26931 és a CVE-2022-26923 olyan jogosultsági biztonsági rést old meg, amely akkor fordulhat elő, ha a Kerberos Key Distribution Center (KDC) tanúsítványalapú hitelesítési kérést kiszolgál. A 2022. május 10-i biztonsági frissítés előtt a tanúsítványalapú hitelesítés nem számol el dollárjelet ($) a gépnév végén. Ez lehetővé tette a kapcsolódó tanúsítványok különböző módon történő emulálását (hamisítását). Emellett az egyszerű felhasználónevek (UPN) és az sAMAccountName közötti ütközések más emulációs (hamisítási) biztonsági réseket is vezettek be, amelyeket ezzel a biztonsági frissítéssel is kezelünk.
Vágjon bele
A környezet védelméhez hajtsa végre a következő lépéseket a tanúsítványalapú hitelesítéshez:
-
A 2022. május 10-i frissítéssel frissítse az Active Directory tanúsítványszolgáltatást és a Windows-tartományvezérlőket futtató összes olyan kiszolgálót, amely tanúsítványalapú hitelesítést végez (lásd : Kompatibilitási mód). A 2022. május 10-i frissítés olyan naplózási eseményeket biztosít, amelyek azonosítják a teljes kényszerítési móddal nem kompatibilis tanúsítványokat.
-
Ha a frissítés telepítése után egy hónapig nem jönnek létre naplózási eseménynaplók a tartományvezérlőkön, folytassa a teljes kényszerítési mód engedélyezésével az összes tartományvezérlőn. Ha 2025 februárjáig a StrongCertificateBindingEnforcement beállításkulcs nincs konfigurálva, a tartományvezérlők teljes kényszerítési módba kerülnek. Ellenkező esetben a beállításkulcsok kompatibilitási módjának beállítása továbbra is érvényben marad. Teljes kényszerítési módban, ha egy tanúsítvány nem felel meg az erős (biztonságos) leképezési feltételeknek (lásd: Tanúsítványleképezések), a rendszer megtagadja a hitelesítést. A kompatibilitási módra való visszalépés lehetősége azonban 2025 szeptemberéig marad.
Események naplózása
A 2022. május 10-i Windows Update a következő eseménynaplókat adja hozzá.
Nem található erős tanúsítványleképezés, és a tanúsítvány nem rendelkezik a KDC által érvényesíthető új biztonsági azonosító (SID) kiterjesztéssel.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés, ha a KDC kompatibilis módban van Hiba, ha a KDC kényszerítési módban van |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
39 41 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén) |
Esemény szövege |
A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). Ezeket a tanúsítványokat vagy le kell cserélni, vagy közvetlenül a felhasználóhoz kell leképezni explicit leképezéssel. További információ: https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartományneve (FQDN)> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata |
A tanúsítványt azelőtt adták ki a felhasználónak, hogy a felhasználó létezett volna az Active Directoryban, és nem található erős leképezés. Ezt az eseményt csak akkor naplózza a rendszer, ha a KDC kompatibilis módban van.
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
40 48 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén |
Esemény szövege |
A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). A tanúsítvány azt a felhasználót is előre beállította, akire leképezték, ezért a rendszer elutasította. További információ: https://go.microsoft.com/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartománynevét> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata Tanúsítvány kiállításának ideje: <tanúsítványfájl-idő> Fióklétrehozási idő: <egyszerű objektum FILETIME-azonosítója az AD> |
A felhasználói tanúsítvány új bővítményében található SID nem egyezik meg a felhasználók SID-ével, ami azt jelenti, hogy a tanúsítványt egy másik felhasználónak adták ki.
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Eseményforrás |
Kdcsvc |
Eseményazonosító |
41 49 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén) |
Esemény szövege |
A kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de más SID-t tartalmazott, mint a felhasználó, amelyre leképezték. Ennek eredményeképpen a tanúsítványt érintő kérelem sikertelen volt. További információ: https://go.microsoft.cm/fwlink/?linkid=2189925. Felhasználó: <egyszerű név> Felhasználói biztonsági azonosító: a hitelesítő rendszerbiztonsági tag biztonsági azonosítója <> Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány> Tanúsítványkibocsátó: <kiállító teljes tartománynevét> Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma> Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata Tanúsítvány biztonsági azonosítója: <biztonsági azonosító található az új tanúsítványbővítmény-> |
Tanúsítványleképezések
A tartományi rendszergazdák manuálisan leképezhetik a tanúsítványokat az Active Directoryban lévő felhasználókra a users Objektum altSecurityIdentities attribútumával. Ehhez az attribútumhoz hat támogatott érték van, amelyek közül három gyenge (nem biztonságos) leképezést, a másik három pedig erősnek tekinthető. A leképezési típusok általában erősnek minősülnek, ha olyan azonosítókon alapulnak, amelyeket nem lehet újra felhasználni. Ezért a felhasználóneveken és e-mail-címeken alapuló leképezési típusok gyengenek minősülnek.
Leképezés |
Példa |
Type (Típus) |
Megjegyzések |
X509IssuerSubject |
"X509:<>IssuerName<S>SubjectName" |
Gyenge |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Gyenge |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Gyenge |
E-mail-cím |
X509IssuerSerialNumber |
"X509:<>IssuerName<SR>1234567890" |
Erős |
Ajánlott |
X509SKI |
"X509:<SKI>123456789abcdef" |
Erős |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Erős |
Ha az ügyfelek nem tudják újból kiadni a tanúsítványokat az új SID-bővítménnyel, javasoljuk, hogy hozzon létre manuális leképezést a fent leírt erős leképezések egyikével. Ezt úgy teheti meg, hogy hozzáadja a megfelelő leképezési sztringet egy felhasználók altSecurityIdentities attribútumához az Active Directoryban.
Megjegyzés Bizonyos mezők, például a Kiállító, a Tárgy és a Sorozatszám továbbítási formátumban vannak jelentve. Ezt a formátumot vissza kell fordítania, amikor hozzáadja a leképezési sztringet az altSecurityIdentities attribútumhoz. Ha például hozzá szeretné adni az X509IssuerSerialNumber leképezést egy felhasználóhoz, keresse meg a felhasználóhoz leképezendő tanúsítvány Kiállító és Sorozatszám mezőjét. Tekintse meg az alábbi mintakimenetet.
-
Kiállító: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B0000000011AC000000012
Ezután frissítse a felhasználó altSecurityIdentities attribútumát az Active Directoryban a következő sztringgel:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"
Az attribútum PowerShell-lel való frissítéséhez használhatja az alábbi parancsot. Ne feledje, hogy alapértelmezés szerint csak a tartományi rendszergazdák jogosultak frissíteni ezt az attribútumot.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}
Vegye figyelembe, hogy a SerialNumber megfordításakor meg kell őriznie a bájtsorrendet. Ez azt jelenti, hogy az "A1B2C3" SerialNumber visszafejtése a "C3B2A1" sztringet eredményezi, nem pedig a "3C2B1A" sztringet. További információ : Útmutató: Felhasználó hozzárendelése tanúsítványhoz az altSecurityIdentities attribútumban elérhető összes módszerrel.
Windows-frissítések idővonala
Fontos Az engedélyezési fázis a Windows 2023. április 11-i frissítéseivel kezdődik, amely figyelmen kívül hagyja a Letiltott mód beállításkulcs-beállítását.
A 2022. május 10-i Windows-frissítések telepítése után az eszközök kompatibilis módban lesznek. Ha egy tanúsítvány erősen leképezhető egy felhasználóra, a hitelesítés a várt módon történik. Ha egy tanúsítványt csak gyengén lehet leképezni egy felhasználóra, a hitelesítés a várt módon történik. A rendszer azonban egy figyelmeztető üzenetet naplóz, kivéve, ha a tanúsítvány régebbi a felhasználónál. Ha a tanúsítvány régebbi, mint a felhasználó, és a tanúsítvány-visszaküldés beállításkulcsa nem található, vagy a tartomány kívül esik a backdating kompenzáción, a hitelesítés sikertelen lesz, és a rendszer egy hibaüzenetet naplóz. Ha a tanúsítvány-visszatitkozás beállításkulcsa konfigurálva van, figyelmeztető üzenetet fog naplózni az eseménynaplóban, ha a dátumok a backdating kompenzációba tartoznak.
A 2022. május 10-i Windows-frissítések telepítése után watch minden olyan figyelmeztető üzenetre, amely egy hónap vagy több hónap elteltével jelenhet meg. Ha nincsenek figyelmeztető üzenetek, határozottan javasoljuk, hogy minden tartományvezérlőn engedélyezze a teljes kényszerítési módot tanúsítványalapú hitelesítéssel. A KDC beállításkulcsával engedélyezheti a teljes kényszerítési módot.
Ha a StrongCertificateBindingEnforcement beállításkulcsával korábban nem lett naplózási vagy kényszerítési módra frissítve, a tartományvezérlők a Windows 2025. februári biztonsági frissítésének telepítésekor teljes kényszerítési módba kerülnek. A rendszer megtagadja a hitelesítést, ha egy tanúsítványt nem lehet szigorúan leképezni. A kompatibilitási módra való visszalépés lehetősége 2025 szeptemberéig marad. Ezen dátum után a StrongCertificateBindingEnforcement beállításkulcs már nem támogatott
Ha a tanúsítványalapú hitelesítés gyenge leképezésre támaszkodik, amelyet nem tud áthelyezni a környezetből, a tartományvezérlőket letiltott módban helyezheti el beállításkulcs-beállítás használatával. A Microsoft nem javasolja ezt, és 2023. április 11-én eltávolítjuk a Letiltva módot.
Miután telepítette a 2024. február 13-i vagy újabb Windows-frissítéseket a Server 2019-en és annál újabb rendszereken, és telepítette az RSAT választható funkcióval rendelkező támogatott ügyfeleket, az Active Directory – felhasználók & számítógépek tanúsítványleképezése alapértelmezés szerint az X509IssuerSerialNumber használatával, az X509IssuerSubject használatával történő gyenge leképezés helyett az erős leképezést választja. A beállítás továbbra is módosítható igény szerint.
Hibaelhárítás
-
Használja a Kerberos operatív naplót a megfelelő számítógépen annak megállapításához, hogy melyik tartományvezérlőn hiúsul meg a bejelentkezés. Nyissa meg eseménymegtekintő> Alkalmazások és szolgáltatások naplói\Microsoft \Windows\Security-Kerberos\Operational lapot.
-
Keresse meg a megfelelő eseményeket a rendszer eseménynaplójában azon a tartományvezérlőn, amelyen a fiók hitelesítést kísérel meg.
-
Ha a tanúsítvány régebbi a fióknál, adja ki újra a tanúsítványt, vagy adjon hozzá egy biztonságos altSecurityIdentities leképezést a fiókhoz (lásd : Tanúsítványleképezések).
-
Ha a tanúsítvány tartalmaz SID-bővítményt, ellenőrizze, hogy az SID megegyezik-e a fiókkal.
-
Ha a tanúsítványt több különböző fiók hitelesítésére használják, minden fiókhoz külön altSecurityIdentities leképezésre lesz szükség.
-
Ha a tanúsítvány nem rendelkezik biztonságos leképezéssel a fiókhoz, adjon hozzá egyet, vagy hagyja meg a tartományt kompatibilitási módban, amíg hozzá nem adhatók.
A TLS-tanúsítványleképezésre példa egy IIS intranetes webalkalmazás használata.
-
A CVE-2022-26391 és a CVE-2022-26923 védelmi rendszerek telepítése után ezek a forgatókönyvek alapértelmezés szerint a Kerberos Tanúsítványszolgáltatás felhasználó számára (S4U) protokollt használják a tanúsítványleképezéshez és a hitelesítéshez.
-
A Kerberos Certificate S4U protokollban a hitelesítési kérés az alkalmazáskiszolgálóról a tartományvezérlőre áramlik, nem pedig az ügyfélről a tartományvezérlőre. Ezért a releváns események az alkalmazáskiszolgálón lesznek.
Beállításkulcs adatai
Miután telepítette a CVE-2022-26931 és a CVE-2022-26923 védelmet a 2022. május 10. és 2025. szeptember 10. közötti vagy újabb Windows-frissítésekben, a következő beállításkulcsok érhetők el.
Ez a beállításkulcs a 2025. szeptemberben vagy azt követően kiadott Windows-frissítések telepítése után nem támogatott.
Fontos
A beállításkulcs használata ideiglenes áthidaló megoldás az olyan környezetek esetében, amelyek megkövetelik, és körültekintően kell eljárni. A beállításkulcs használata a következőket jelenti a környezethez:
-
Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve.
-
Ez a beállításkulcs nem lesz támogatott, miután telepítette a Windows 2025. szeptember 10-én kiadott frissítéseit.
-
Az erős tanúsítványkötés kényszerítése által használt SID-bővítmény észlelése és érvényesítése függ a UseSubjectAltName KDC beállításkulcstól. A SID-bővítményt akkor használja a rendszer, ha a beállításazonosító nem létezik, vagy ha az érték 0x1 értékre van állítva. A SID-bővítmény nem lesz használva, ha a UseSubjectAltName létezik, és az érték 0x0 értékre van állítva.
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Érték |
StrongCertificateBindingEnforcement |
Adattípus: |
REG_DWORD |
Data (Adatok) |
1 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a hitelesítés akkor engedélyezett, ha a felhasználói fiók megelőzi a tanúsítványt. 2 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a rendszer megtagadja a hitelesítést. 0 – Letiltja az erős tanúsítványleképezés ellenőrzését. Nem ajánlott, mert ezzel letiltja az összes biztonsági fejlesztést. Ha ezt a beállítást 0-ra állítja, a tanúsítványalapú hitelesítés sikerességéhez a CertificateMappingMethods paramétert is 0x1F értékre kell állítania az alábbi Schannel beállításkulcs szakaszban leírtak szerint. |
Újraindítás szükséges? |
Nem |
Ha egy kiszolgálóalkalmazás ügyfél-hitelesítést igényel, az Schannel automatikusan megkísérli leképezni a TLS-ügyfél által biztosított tanúsítványt egy felhasználói fiókra. Az ügyféltanúsítvánnyal bejelentkező felhasználók hitelesítéséhez olyan leképezéseket hozhat létre, amelyek a tanúsítványadatokat egy Windows-felhasználói fiókhoz kapcsolják. Miután létrehozta és engedélyezte a tanúsítványleképezést, minden alkalommal, amikor egy ügyfél ügyféltanúsítványt mutat be, a kiszolgálóalkalmazás automatikusan társítja a felhasználót a megfelelő Windows-felhasználói fiókkal.
Az Schannel megpróbálja leképezni az összes engedélyezett tanúsítványleképezési módszert, amíg az egyik sikeres nem lesz. Az Schannel először a szolgáltatásfelhasználók közötti (S4U2Self) leképezéseket próbálja leképezni. A Tulajdonos/Kiállító, Kiállító és UPN tanúsítványleképezések most már gyengenak minősülnek, és alapértelmezés szerint le vannak tiltva. A kiválasztott beállítások bitmaszkolt összege határozza meg az elérhető tanúsítványleképezési módszerek listáját.
Az SChannel beállításkulcs alapértelmezett értéke 0x1F, és most már 0x18. Ha hitelesítési hibákat tapasztal az Schannel-alapú kiszolgálóalkalmazásokban, javasoljuk, hogy végezzen el egy tesztet. Adja hozzá vagy módosítsa a CertificateMappingMethods beállításkulcs értékét a tartományvezérlőn, majd állítsa be 0x1F, és ellenőrizze, hogy ez megoldotta-e a problémát. További információért tekintse meg az ebben a cikkben felsorolt hibákat a tartományvezérlő rendszeresemény-naplóiban. Ne feledje, hogy az SChannel beállításkulcs értékének az előző alapértelmezettre (0x1F) való visszaállítása gyenge tanúsítványleképezési módszerek használatára fog visszaállni.
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Érték |
CertificateMappingMethods |
Adattípus: |
DWORD |
Data (Adatok) |
0x0001 – Tulajdonos/kiállító tanúsítványleképezése (gyenge – Alapértelmezés szerint letiltva) 0x0002 – Kiállítói tanúsítvány leképezése (gyenge – Alapértelmezés szerint letiltva) 0x0004 – UPN-tanúsítványleképezés (gyenge – Alapértelmezés szerint letiltva) 0x0008 – S4U2Self tanúsítványleképezés (erős) 0x0010 – S4U2Kijelölés explicit tanúsítványleképezés (erős) |
Újraindítás szükséges? |
Nem |
További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.
Miután telepítette a CVE-2022-26931 és a CVE-2022-26923 címmel rendelkező frissítéseket, a hitelesítés meghiúsulhat olyan esetekben, amikor a felhasználói tanúsítványok régebbiek a felhasználók létrehozási idejénél. Ez a beállításkulcs lehetővé teszi a sikeres hitelesítést, ha gyenge tanúsítványleképezéseket használ a környezetben, és a tanúsítványidő a felhasználó megadott tartományon belüli létrehozási ideje előtt van. Ez a beállításkulcs nincs hatással az erős tanúsítványleképezéssel rendelkező felhasználókra vagy gépekre, mivel a tanúsítványidőt és a felhasználólétrehozási időt a rendszer nem ellenőrzi erős tanúsítványleképezésekkel. Ennek a beállításkulcsnak nincs hatása, ha a StrongCertificateBindingEnforcement értéke 2.
A beállításkulcs használata ideiglenes áthidaló megoldás az olyan környezetek esetében, amelyek megkövetelik, és körültekintően kell eljárni. A beállításkulcs használata a következőket jelenti a környezethez:
-
Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve. A hitelesítés engedélyezve lesz a backdating kompenzációs eltoláson belül, de a gyenge kötésre vonatkozó eseménynapló-figyelmeztetés lesz naplózva.
-
Ennek a beállításkulcsnak az engedélyezése lehetővé teszi a felhasználó hitelesítését, ha a tanúsítvány ideje a megadott tartományon belüli felhasználólétrehozási idő előtt van, gyenge leképezésként. A gyenge leképezések nem lesznek támogatottak a Windows 2025. szeptemberben vagy azt követően kiadott frissítéseinek telepítése után.
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Érték |
CertificateBackdatingCompensation |
Adattípus: |
REG_DWORD |
Data (Adatok) |
Megkerülő megoldás értékei körülbelül években:
Megjegyzés: Ha ismeri a környezetben lévő tanúsítványok élettartamát, állítsa ezt a beállításkulcsot valamivel hosszabbra, mint a tanúsítvány élettartama. Ha nem ismeri a környezet tanúsítványainak élettartamát, állítsa ezt a beállításkulcsot 50 évre. Alapértelmezés szerint 10 perc, ha ez a kulcs nincs jelen, amely megfelel az Active Directory Tanúsítványszolgáltatásoknak (ADCS). A maximális érték 50 év (0x5E0C89C0). Ez a kulcs másodpercben beállítja azt az időkülönbséget, amelyet a kulcsterjesztési központ (KDC) figyelmen kívül hagy a hitelesítési tanúsítvány kiállítási ideje és a felhasználói/gépi fiókok fióklétrehozásának ideje között. Fontos Csak akkor állítsa be ezt a beállításkulcsot, ha a környezet megköveteli. A beállításkulcs használata letiltja a biztonsági ellenőrzést. |
Újraindítás szükséges? |
Nem |
Vállalati hitelesítésszolgáltatók
A vállalati hitelesítésszolgáltatók (CA) alapértelmezés szerint elkezdenek hozzáadni egy új, nem kritikus bővítményt objektumazonosítóval (OID) (1.3.6.1.4.1.311.25.25.2) az online sablonokhoz kiadott összes tanúsítványhoz a 2022. május 10-i Windows-frissítés telepítése után. A bővítmény hozzáadásának leállításához állítsa be a 0x00080000 bitet a megfelelő sablon msPKI-Enrollment-Flag értékében.
A következő certutil parancs futtatásával kizárhatja a felhasználói sablon tanúsítványait az új bővítmény beszerzéséből.
-
Jelentkezzen be egy hitelesítésszolgáltató kiszolgálóra vagy egy tartományhoz csatlakoztatott Windows 10-ügyfélre vállalati rendszergazdával vagy azzal egyenértékű hitelesítő adatokkal.
-
Nyisson meg egy parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.
-
Futtassa a certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 parancsot.
A bővítmény hozzáadásának letiltása eltávolítja az új bővítmény által biztosított védelmet. Ezt csak az alábbiak valamelyike után érdemes megfontolni:
-
Győződjön meg arról, hogy a megfelelő tanúsítványok nem fogadják el a nyilvános kulcsú titkosítást a kezdeti hitelesítéshez (PKINIT) a Kerberos Protocol-hitelesítésekben a KDC-nél
-
A megfelelő tanúsítványokhoz más erős tanúsítványleképezések is konfigurálva vannak
A nem Microsoft hitelesítésszolgáltatói környezetekkel rendelkező környezetek nem lesznek védve az új SID-bővítménnyel a 2022. május 10-i Windows-frissítés telepítése után. Az érintett ügyfeleknek a megfelelő hitelesítésszolgáltatóval kell együttműködve kezelniük ezt a probléma megoldását, vagy érdemes megfontolni a fent leírt erős tanúsítványleképezések használatát.
További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.
Gyakori kérdések
Nem, a megújítás nem szükséges. A hitelesítésszolgáltató kompatibilitási módban lesz elküldve. Ha az ObjectSID bővítménnyel erős leképezést szeretne, új tanúsítványra lesz szüksége.
A 2025. február 11-i Windows-frissítésben azok az eszközök, amelyek még nem lettek kényszerítve (StrongCertificateBindingEnforcementbeállításazonosítója 2- ra van állítva), átkerülnek a Kényszerítés szolgáltatásba. Ha a hitelesítés megtagadva, a rendszer a 39-ös eseményazonosítót (vagy a Windows Server 2008 R2 SP1 és a Windows Server 2008 SP2 41-ös eseményazonosítóját) fogja látni. Ebben a szakaszban lehetősége van a beállításkulcs értékét 1-re (kompatibilitási mód) beállítani.
A 2025. szeptember 10-i Windows-frissítésben a StrongCertificateBindingEnforcement beállításazonosító már nem támogatott.
További erőforrások
A TLS-ügyféltanúsítvány-leképezésről az alábbi cikkekben talál további információt: