Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Keisti datą

Aprašas

10/24/2024

Atnaujintas tekstas dėl aiškumo skyriaus "Imtis veiksmų" 2 veiksme, skyriaus "Windows" naujinimų laiko planavimo juostos aprašas "Visiško vykdymo režimas" ir peržiūrėta "Rakto paskirstymo centro (KDC) registro rakto" ir "Sertifikato, kurio atsarginį registro raktą" temų datos informacija dalyje "Registro rakto informacija".

9/10/2024

Pakeitė visiško vykdymo režimo aprašą sekcijoje ""Windows" naujinimų laikas", kad būtų atspindėtos naujos datos. 2025 m. vasario 11 d. įrenginiai bus perkelti į vykdymo režimą, bet paliks palaikymą, kad grįžtumėte į suderinamumo režimą. Visas registro rakto palaikymas baigsis 2025 m. rugsėjo 10 d.

7/5/2024

Įtraukta informacija apie SID plėtinį į rakto paskirstymo centro (KDC) registro rakto skyriuje "Registro rakto informacija".

2023-10-10

Įtraukta informacija apie sudėtingus susiejimus, numatytuosius pakeitimus dalyje "Windows Naujinimai" laiko planavimo juosta"

6/30/2023

Viso vykdymo režimo data pasikeitė nuo 2023 m. lapkričio 14 d. iki 2025 m. vasario 11 d. (šios datos anksčiau buvo išvardytos kaip 2023 m. gegužės 19 d. iki 2023 m. lapkričio 14 d.).

1/26/2023

Pakeistas išjungimo režimo pašalinimas nuo 2023 m. vasario 14 d. iki 2023 m. balandžio 11 d.

Suvestinė

CVE-2022-34691,CVE-2022-26931 ir CVE-2022-26923 adresas dėl didesnių teisių pažeidžiamumo, kuris gali kilti, kai "Kerberos" rakto paskirstymo centras (KDC) aptarnauti sertifikatu pagrįstą autentifikavimo užklausą. Iki 2022 m. gegužės 10 d. saugos naujinimo sertifikatu pagrįstas autentifikavimas nepasirašys dolerio ženklo ($) kompiuterio pavadinimo pabaigoje. Tai leido įvairiais būdais imituoti susijusius sertifikatus (netikrą). Be to, konfliktai tarp sistemos vartotojų vardų (UPN) ir sAMAccountName pristatė kitus imitavimo (apsimetimo kitu vartotoju) pažeidžiamumus, kuriuos taip pat išsprendžiame su šiuo saugos naujinimu. 

Imkitės veiksmų

Norėdami apsaugoti savo aplinką, atlikite šiuos sertifikatu pagrįsto autentifikavimo veiksmus:

  1. Atnaujinkite visus serverius, kurie vykdo "Active Directory" sertifikatų tarnybą ir "Windows" domeno valdiklius, tarnybos sertifikatu pagrįstą autentifikavimą su 2022 m. gegužės 10 d. naujinimu (žr. Suderinamumo režimas). 2022 m. gegužės 10 d. naujinime bus pateikti audito įvykiai , identifikuojantys sertifikatus, nesuderinamus su visiško vykdymo režimu.

  2. Jei vieną mėnesį po naujinimo įdiegimo domeno valdikliuose nesukuriama audito įvykių žurnalų, pereikite prie viso vykdymo režimo įjungimo visuose domeno valdikliuose. Iki 2025 m. vasario mėn., jei "StrongCertificateBindingEnforcemen t"registro raktas nesukonfigūruotas, domeno valdikliai pereis į visiško vykdymo režimą. Kitu atveju ir toliau bus taikomas registro raktų suderinamumo režimo parametras. Visiško vykdymo režimu, jei sertifikatas nepavyksta nustatyti sudėtingų (saugių) susiejimo kriterijų (žr. Sertifikatų susiejimai), autentifikavimas bus atmestas. Tačiau parinktis grįžti į suderinamumo režimą liks iki 2025 m. rugsėjo mėn. ​​​​​​​

Audito įvykiai

2022 m. gegužės 10 d. "Windows Update" įtraukia šiuos įvykių žurnalus.

Nepavyko rasti sudėtingų sertifikatų susiejimų, o sertifikate nebuvo naujo saugos identifikatoriaus (SID) plėtinio, kurį KDC galėtų patvirtinti.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas, jei KDC veikia suderinamumo režimu

Klaida, jei KDC veikia vykdymo režimu

Įvykio šaltinis

Kdcsvc

Įvykio ID

39

41 ("Windows Server 2008 R2" SP1 ir "Windows Server 2008" SP2)

Įvykio tekstas

Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet negali būti stipriai susietas su vartotoju (pvz., naudojant tiesioginį susiejimą, rakto patikimumo susiejimą arba SID). Tokius sertifikatus reikia pakeisti arba tiesiogiai susieti su vartotoju naudojant tiesioginį susiejimą. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2189925.

Vartotojas: <sistemos pavadinimas>

Sertifikato tema: sertifikato> <temos pavadinimas

Sertifikato išdavėjas: <išdavėjas visiškai apibrėžtas domeno vardas (FQDN)>

Sertifikato serijos numeris: <sertifikato serijos numeris>

Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas>

Sertifikatas buvo išduotas vartotojui prieš vartotojui egzistuoti "Active Directory", todėl nepavyko rasti sudėtingo susiejimo. Šis įvykis užregistruojamas tik tada, kai KDC veikia suderinamumo režimu.

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

Kdcsvc

Įvykio ID

40

48 (Windows Server 2008 R2 SP1 ir Windows Server 2008 SP2

Įvykio tekstas

Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet negali būti stipriai susietas su vartotoju (pvz., naudojant tiesioginį susiejimą, rakto patikimumo susiejimą arba SID). Sertifikatas taip pat buvo susietas su vartotoju, todėl jis buvo atmestas. Norėdami sužinoti daugiau, žr. https://go.microsoft.com/fwlink/?linkid=2189925.

Vartotojas: <sistemos pavadinimas>

Sertifikato tema: sertifikato> <temos pavadinimas

Sertifikato išdavėjas: <išdavėjo FQDN>

Sertifikato serijos numeris: <sertifikato serijos numeris>

Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas>

Sertifikato išdavimo laikas: sertifikato> <FILETIME"

Paskyros kūrimo laikas: <PAGRINDINIO OBJEKTO AD> FILETIME

SID, esantis naujame vartotojų sertifikato plėtinyje, neatitinka vartotojų SID, o tai reiškia, kad sertifikatas buvo išduotas kitam vartotojui.

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

Kdcsvc

Įvykio ID

41

49 ("Windows Server 2008 R2" SP1 ir "Windows Server 2008" SP2)

Įvykio tekstas

Raktų paskirstymo centre (KDC) aptiktas vartotojo sertifikatas, kuris buvo galiojantis, bet turi kitą SID nei vartotojas, su kuriuo jis susietas. Todėl su sertifikatu susijusi užklausa nepavyko. Norėdami sužinoti daugiau, žr. https://go.microsoft.cm/fwlink/?linkid=2189925.

Vartotojas: <sistemos pavadinimas>

Vartotojo SID: autentifikavimo pagrindinio> <SID

Sertifikato tema: sertifikato> <temos pavadinimas

Sertifikato išdavėjas: <išdavėjo FQDN>

Sertifikato serijos numeris: <sertifikato serijos numeris>

Sertifikato nykščio atspaudas: <sertifikato nykščio atspaudas>

Sertifikato SID: <SID rastas naujame sertifikato plėtinio>

Sertifikatų susiejimai

Domeno administratoriai gali rankiniu būdu susieti sertifikatus su "Active Directory" vartotoju naudodami vartotojų objekto atributą altSecurityIdentities . Yra šešios palaikomos šio atributo reikšmės: trys susiejimai laikomi silpnais (nesaugiais), o kiti trys laikomi stipriais. Paprastai susiejimo tipai laikomi stipriais, jei jie pagrįsti identifikatoriais, kurių negalėsite pakartotinai naudoti. Todėl visi susiejimo tipai, pagrįsti vartotojo vardais ir el. pašto adresais, laikomi silpnais.

Kartografavimo

Pavyzdys

Tipas

Pastabos

X509IssuerSubject

"X509:<aš>IssuerName<S>SubjectName"

Silpnas

X509SubjectOnly

"X509:<S>SubjectName"

Silpnas

X509RFC822

"X509:<RFC822>user@contoso.com"

Silpnas

El. pašto adresas

X509IssuerSerialNumber

"X509:<aš>IssuerName<SR>1234567890"

Tvirtas

Rekomenduojama

X509SKI

"X509:<SKI>123456789abcdef"

Tvirtas

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Tvirtas

Jei klientai negali iš naujo sukurti sertifikatų su nauju SID plėtiniu, rekomenduojame sukurti neautomatinį susiejimą naudojant vieną iš sudėtingų anksčiau aprašytų susiejimų. Tai galite padaryti įtraukdami atitinkamą susiejimo eilutę į "Active Directory" vartotojų atributą altSecurityIdentities .

Pastaba Tam tikri laukai, pvz., leidėjas, tema ir serijos numeris, pateikiami "pirmyn" formatu. Turite atšaukti šį formatą, kai į atributą altSecurityIdentities įtraukiate susiejimo eilutę. Pvz., norėdami įtraukti X509IssuerSerialNumber susiejimą su vartotoju, ieškokite sertifikato, kurį norite susieti su vartotoju, laukuose "Išdavėjas" ir "Serijos numeris". Žr. toliau pateiktą išvesties pavyzdį.

  • Išdavėjas: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Serijos numeris: 2B0000000011AC000000012

Tada atnaujinkite vartotojo atributą altSecurityIdentities "Active Directory" naudodami šią eilutę:

  • "X509:<aš>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Norėdami atnaujinti šį atributą naudodami "PowerShell", galite naudoti toliau pateiktą komandą. Atminkite, kad pagal numatytuosius nustatymus tik domeno administratoriai turi teisę atnaujinti šį atributą.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<aš>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Atkreipkite dėmesį, kad atšaukę SerialNumber turite palikti baitų tvarką. Tai reiškia, kad pakeitus SerialNumber "A1B2C3" turėtų būti rodoma eilutė "C3B2A1", o ne "3C2B1A". Daugiau informacijos žr. HowTo: susieti vartotoją su sertifikatu naudojant visus metodus, pasiekiamus atribute altSecurityIdentities.

"Windows" naujinimų laiko planavimo juosta

Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. Įjungimo etapas prasideda nuo 2023 m. balandžio 11 d. naujinimų, skirtų "Windows", kurie nepaisys registro rakto parametro Išjungtas režimas. 

Įdiegus 2022 m. gegužės 10 d. "Windows" naujinimus, įrenginiai veiks suderinamumo režimu. Jei sertifikatą galima labai susieti su vartotoju, autentifikavimas įvyks taip, kaip tikėtasi. Jei sertifikatą galima susieti tik su vartotoju, autentifikavimas bus toks, kaip tikėtasi. Tačiau bus užregistruotas įspėjimo pranešimas, nebent sertifikatas yra senesnis nei vartotojas. Jei sertifikatas yra senesnis nei vartotojas ir sertifikato atsarginės kopijos registro rakto nėra arba diapazonas yra už atsarginės kopijos kompensacijos ribų, autentifikavimas nepavyks ir bus užregistruotas klaidos pranešimas.  Jei sertifikato atsarginės kopijos registro raktas yra sukonfigūruotas, jis užregistruos įspėjimo pranešimą įvykių žurnale, jei datos patenka į atsarginę kompensaciją.

Įdiegę 2022 m. gegužės 10 d. "Windows" naujinimus, laukite įspėjimo pranešimų, kurie gali pasirodyti po mėnesio ar daugiau. Jei nėra įspėjimo pranešimų, primygtinai rekomenduojame įjungti visiško vykdymo režimą visuose domeno valdikliuose naudojant sertifikatu pagrįstą autentifikavimą. Norėdami įjungti visiško vykdymo režimą, galite naudoti KDC registro raktą .

Jei neatnaujinta į audito režimą arba vykdymo režimą naudojant StrongCertificateBindingEnforcement registro raktą anksčiau, domeno valdikliai pereis į visiško vykdymo režimą, kai bus įdiegtas 2025 m. vasario mėn. "Windows" saugos naujinimas. Autentifikavimas bus atmestas, jei sertifikato negalima labai susieti. Parinktis grįžti į suderinamumo režimą liks iki 2025 m. rugsėjo mėn. Po šios datos "StrongCertificateBindingEnforcement" registro raktas nebebus palaikomas

Jei sertifikatu pagrįstas autentifikavimas priklauso nuo silpno susiejimo, kurio negalite perkelti iš aplinkos, galite įdėti domeno valdiklius į išjungimo režimą naudodami registro rakto parametrą. "Microsoft" to nerekomenduoja , o išjungimo režimą pašalinsime 2023 m. balandžio 11 d.

Įdiegus 2024 m. vasario 13 d. arba naujesnius "Windows" naujinimus "Server 2019" ir naujesnėse versijose ir palaikomus klientus, kuriuose įdiegta pasirinktinė RSAT funkcija, "Active Directory" vartotojų & kompiuteriuose sertifikatų susiejimas pagal numatytuosius parametrus bus parenkamas kaip stiprus susiejimas naudojant X509IssuerSerialNumber, o ne lengvas susiejimas naudojant X509IssuerSubject. Parametrą vis tiek galima keisti, kaip pageidaujate.

Trikčių diagnostika

  • Norėdami nustatyti, kuris domeno valdiklis nepavyksta prisijungti, atitinkamame kompiuteryje naudokite Kerberos operacijų žurnalą. Eikite į Įvykių peržiūros programa > programų ir paslaugų žurnalus\Microsoft \Windows\Security-Kerberos\Operational.

  • Raskite atitinkamus įvykius sistemos įvykių žurnale domeno valdiklyje, su kuriuo paskyra bando autentifikuoti.

  • Jei sertifikatas senesnis nei paskyra, iš naujo įveskite sertifikatą arba įtraukite saugų altSecurityIdentities susiejimą su paskyra (žr. Sertifikatų susiejimai).

  • Jei sertifikate yra SID plėtinys, patikrinkite, ar SID atitinka paskyrą.

  • Jei sertifikatas naudojamas autentifikuoti kelias skirtingas paskyras, kiekvienai paskyrai reikės atskiro altSecurityIdentities susiejimo.

  • Jei sertifikatas neturi saugaus susiejimo su paskyra, įtraukite vieną arba palikite domeną suderinamumo režimu, kol bus galima jį įtraukti.

TLS sertifikato susiejimo pavyzdys naudoja IIS intraneto žiniatinklio programą.

  • Įdiegus CVE-2022-26391 ir CVE-2022-26923 apsaugą, šie scenarijai naudoja Kerberos sertifikatų tarnybos vartotojo (S4U) protokolą sertifikatų susiejimui ir autentifikavimui pagal numatytuosius parametrus.

  • "Kerberos" sertifikato S4U protokole autentifikavimo užklausa teka iš taikomosios programos serverio į domeno valdiklį, o ne iš kliento į domeno valdiklį. Todėl susiję įvykiai bus programų serveryje.

Registro rakto informacija

Įdiegus CVE-2022-26931 ir CVE-2022-26923 apsaugą "Windows" naujinimuose, išleistuose nuo 2022 m. gegužės 10 d. iki 2025 m. rugsėjo 10 d. arba vėliau, galimi šie registro raktai.

Šis registro raktas bus nepalaikomas įdiegus "Windows" naujinimus, išleistus 2025 m. rugsėjo mėn. arba vėliau.

Svarbu

Šio registro rakto naudojimas yra laikinas aplinkose, kurioms jo reikia, sprendimas, todėl jį reikia atlikti atsargiai. Naudojant šį registro raktą jūsų aplinkai:

  • Šis registro raktas veikia tik suderinamumo režimu, pradedant nuo naujinimų, išleistų 2022 m. gegužės 10 d.

  • Šis registro raktas bus nepalaikomas įdiegus "Windows" naujinimus, išleistus 2025 m. rugsėjo 10 d.

  • SID plėtinio aptikimas ir tikrinimas, kurį naudoja griežtas sertifikato susiejimo vykdymas, priklauso nuo KDC registro rakto UseSubjectAltName reikšmės. SID plėtinys bus naudojamas, jei registro reikšmės nėra arba jei reikšmė nustatyta kaip 0x1 reikšmė. SID plėtinys nebus naudojamas, jei UseSubjectAltName yra, o reikšmė nustatyta kaip 0x0.

Registro dalinis raktas

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Reikšmė

StrongCertificateBindingEnforcement

Duomenų tipas

REG_DWORD

Duomenys

1 – tikrina, ar sertifikatų susiejimas yra sudėtingas. Jei taip, autentifikavimas leidžiamas. Kitu atveju KDC patikrins, ar sertifikatas turi naują SID plėtinį ir jį patikrins. Jei šio plėtinio nėra, autentifikavimas leidžiamas, jei vartotojo paskyra iš anksto įrašo sertifikatą.

2 – tikrina, ar yra griežtas sertifikatų susiejimas. Jei taip, autentifikavimas leidžiamas. Kitu atveju KDC patikrins, ar sertifikatas turi naują SID plėtinį ir jį patikrins. Jei šio plėtinio nėra, autentifikavimas atmetamas.

0 – išjungia sudėtingo sertifikato susiejimo patikrą. Nerekomenduojama, nes tai išjungs visus saugos patobulinimus.

Jei nustatysite 0, taip pat turite nustatyti CertificateMappingMethods 0x1F kaip aprašyta toliau skyriuje "Schannel" registro raktas, kad kompiuterio sertifikatu pagrįstas autentifikavimas būtų sėkmingas..

Reikia paleisti iš naujo?

Ne

Kai serverio programai reikia kliento autentifikavimo, "Schannel" automatiškai bando susieti sertifikatą, kurį TLS klientas pateikia vartotojo abonementui. Galite autentifikuoti vartotojus, kurie prisijungia naudodami kliento sertifikatą, kurdami susiejimus, kurie sieja sertifikato informaciją su "Windows" vartotojo paskyra. Sukūrus ir įgalinus sertifikatų susiejimą, kiekvieną kartą, kai klientas pateikia kliento sertifikatą, jūsų serverio programa automatiškai susieja tą vartotoją su atitinkama "Windows" vartotojo paskyra.

"Schannel" bandys susieti kiekvieną įgalintą sertifikato susiejimo metodą, kol bus sėkmingas. "Schannel" pirmiausia bando susieti "Service-For-User-To-Self" (S4U2Self) susiejimus. Temos / išdavėjo, išdavėjo ir UPN sertifikatų susiejimai dabar laikomi silpnais ir buvo išjungti pagal numatytuosius parametrus. Pasirinktų parinkčių šablonas nurodo galimų sertifikato susiejimo metodų sąrašą.

Numatytasis "SChannel" registro raktas buvo 0x1F ir dabar yra 0x18. Jei susiduriate su autentifikavimo trintukais naudodami "Schannel" pagrįstas serverio programas, rekomenduojame atlikti testą. Pridėkite arba modifikuokite CertificateMappingMethods registro rakto reikšmę domeno valdiklyje ir nustatykite ją kaip 0x1F ir patikrinkite, ar problema išspręsta. Jei reikia daugiau informacijos, peržiūrėkite sistemos įvykių žurnalus domeno valdiklyje, ar nėra šiame straipsnyje išvardytų klaidų. Atminkite, kad pakeitus "SChannel" registro rakto reikšmę į ankstesnę numatytąją (0x1F), bus grąžinta naudoti silpnus sertifikatų susiejimo metodus.

Registro dalinis raktas

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Reikšmė

CertificateMappingMethods

Duomenų tipas

DWORD

Duomenys

0x0001 – temos / išdavėjo sertifikato susiejimas (silpnas – išjungta pagal numatytuosius parametrus)

0x0002 – išdavėjo sertifikato susiejimas (silpnas – išjungtas pagal numatytuosius parametrus)

0x0004 – UPN sertifikatų susiejimas (silpnas – išjungtas pagal numatytuosius parametrus)

0x0008 – S4U2Sefono susiejimas (stiprus)

0x0010 – S4U2Išsamus sertifikatų susiejimas (sudėtingas)

Reikia paleisti iš naujo?

Ne

Jei reikia papildomų išteklių ir palaikymo, žr. skyrių "Papildomi ištekliai".

Įdiegus naujinimus, kurių adresas CVE-2022-26931 ir CVE-2022-26923, autentifikavimas gali nepavykti tais atvejais, kai vartotojo sertifikatai yra senesni nei vartotojų sukūrimo laikas. Šis registro raktas leidžia sėkmingai autentifikuoti, kai savo aplinkoje naudojate silpnus sertifikatų susiejimus , o sertifikato laikas yra prieš vartotojo kūrimo laiką nustatytame diapazone. Šis registro raktas neturi įtakos vartotojams ar kompiuteriams, turintiems sudėtingus sertifikatų susiejimus, nes sertifikato laikas ir vartotojo sukūrimo laikas nėra tikrinami naudojant sudėtingus sertifikatų susiejimus. Šis registro raktas neturi įtakos, kai StrongCertificateBindingEnforcement nustatyta į 2.

Šio registro rakto naudojimas yra laikinas aplinkose, kurioms jo reikia, sprendimas, todėl jį reikia atlikti atsargiai. Naudojant šį registro raktą jūsų aplinkai:

  • Šis registro raktas veikia tik suderinamumo režimu , pradedant nuo naujinimų, išleistų 2022 m. gegužės 10 d. Autentifikavimas bus leidžiamas kaip atsarginės kompensacijos poslinkis, tačiau bus užregistruotas silpno susiejimo įvykių žurnalo įspėjimas.

  • Įgalinus šį registro raktą, leidžiama autentifikuoti vartotoją, kai sertifikato laikas yra prieš vartotojo sukūrimo laiką nustatytame diapazone kaip silpnas susiejimas. Silpni susiejimai bus nepalaikomi įdiegus "Windows" naujinimus, išleistus 2025 m. rugsėjo mėn. arba vėliau.

Registro dalinis raktas

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Reikšmė

CertificateBackdatingCompensation

Duomenų tipas

REG_DWORD

Duomenys

Sprendimo reikšmės apytikslius metus:

  • 50 metų: 0x5E0C89C0

  • 25 metai: 0x2EFE0780

  • 10 metų: 0x12CC0300

  • 5 metai: 0x9660180

  • 3 metai: 0x5A39A80

  • 1 metai: 0x1E13380

Pastaba Jei žinote savo aplinkos sertifikatų galiojimo laiką, nustatykite šio registro rakto ilgį, nei sertifikato galiojimo laikas.  Jei nežinote savo aplinkos sertifikato gyvavimo laikotarpio, nustatykite šį registro raktą kaip 50 metų. Pagal numatytuosius parametrus šio rakto nėra , kuris atitinka "Active Directory" sertifikatų tarnybą (ADCS), numatytoji reikšmė yra 10 minučių. Didžiausia reikšmė yra 50 metų (0x5E0C89C0).

Šis raktas nustato laiko skirtumą sekundėmis, kad rakto paskirstymo centras (KDC) nepaisytų autentifikavimo sertifikato problemos laiko ir vartotojo / kompiuterio paskyrų kūrimo laiko.

Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. Nustatykite šį registro raktą tik jei to reikalauja jūsų aplinka. Naudojant šį registro raktą, išjungiama saugos patikra.

Reikia paleisti iš naujo?

Ne

Įmonės sertifikavimo institucijos

Įmonės sertifikavimo institucijos (CA) pradės įtraukti naują nekritinį plėtinį su objekto identifikatoriumi (OID) (1.3.6.1.4.1.311.25.2) pagal numatytuosius parametrus visuose sertifikatuose, išduotuose pagal internetinius šablonus, įdiegus 2022 m. gegužės 10 d. "Windows" naujinimą. Galite sustabdyti šio plėtinio įtraukimą nustatydami 0x00080000 bitą atitinkamo šablono msPKI-Enrollment-Flag reikšmėje.

Galite paleisti šią komandą certutil neįtraukti vartotojo šablono sertifikatų gauti naują plėtinį.

  1. Prisijunkite prie sertifikavimo institucijos serverio arba prie domeno prijungtame Windows 10 kliente su įmonės administratoriumi arba lygiaverčiais kredencialais.

  2. Atidarykite komandinę eilutę ir pasirinkite Paleisti administratoriaus teisėmis.

  3. Paleiskite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Išjungus šio plėtinio įtraukimą, bus pašalinta naujo plėtinio teikiama apsauga. Apsvarstykite galimybę tai atlikti tik po vienos iš šių veiksmų:

  1. Patvirtinate, kad atitinkami sertifikatai nėra priimtini viešojo rakto kriptografijos pradinis autentifikavimas (PKINIT) Kerberos protokolo autentifikavimo KDC

  2. Atitinkami sertifikatai turi kitus griežtus sertifikatų susiejimus, sukonfigūruotus

Aplinkos, kuriose yra ne "Microsoft" CA diegimų, nebus apsaugotos naudojant naują SID plėtinį įdiegus 2022 m. gegužės 10 d. "Windows" naujinimą. Paveikti klientai turėtų dirbti su atitinkamais CA tiekėjais, kad išspręstų šią problemą, arba turėtų apsvarstyti galimybę naudoti kitus sudėtingus sertifikatų susiejimus, aprašytus anksčiau.

Jei reikia papildomų išteklių ir palaikymo, žr. skyrių "Papildomi ištekliai".

Dažnai užduodami klausimai

Ne, atnaujinti nereikia. CA bus rodoma suderinamumo režimu. Jei norite sudėtingo susiejimo naudodami ObjectSID plėtinį, jums reikės naujo sertifikato.

2025 m. vasario 11 d. "Windows" naujinime įrenginiai, kurių dar nėra vykdymo programoje (StrongCertificateBindingEnforcement registro reikšmė nustatyta kaip 2), bus perkelti į Dalį Vykdymas. Jei autentifikavimas atmestas, matysite įvykio ID 39 (arba įvykio ID 41, skirtas "Windows Server 2008 R2" SP1 ir "Windows Server 2008" SP2). Šiame etape turėsite galimybę nustatyti registro rakto reikšmę atgal į 1 (suderinamumo režimas).

2025 m. rugsėjo 10 d. "Windows" naujinime "StrongCertificateBindingEnforcement " registro reikšmė nebebus palaikoma. ​​​​​​​

Papildomi ištekliai

Daugiau informacijos apie TLS kliento sertifikato susiejimas, ieškokite šiuose straipsniuose:

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.