Datuma maiņa |
Apraksts |
---|---|
9/10/2024 |
Mainīja full enforcement režīma aprakstu sadaļā "Hronometrāža Windows atjauninājumiem", lai atspoguļotu jaunos datumus. 2025. gada 11. februāris pārvirzīs ierīces uz ieviešanas režīmu, taču atstājiet atbalstu, lai tas pārietu atpakaļ uz saderības režīmu. Pilnīga reģistra atslēgu atbalsts tiks pārtraukts 2025. gada 10. septembrī. |
7/5/2024 |
Pievienota informācija par SID paplašinājumu atslēgas adresātu centra (KDC) reģistra atslēgai sadaļā "Reģistra atslēgas informācija". |
10/10/2023 |
Pievienota informācija par stipriem kartējumiem Noklusējuma izmaiņas sadaļā "Laika grafiks operētājsistēmai Windows Atjauninājumi" |
6/30/2023 |
Mainīts pilnekrāna režīma datums no 2023. gada 14. novembra uz 2025. gada 11. februāri (šie datumi iepriekš tika norādīti kā 2023. gada 19. maijs–2023. gada 14. novembris). |
1/26/2023 |
Mainīta atspējotā režīma noņemšana no 2023. gada 14. februāra uz 2023. gada 11. aprīli |
Kopsavilkums
CVE-2022-34691,CVE-2022-26931 un CVE-2022-26923 adresē privilēģiju ievainojamības pacēlumu, kas var rasties, ja Kerberos atslēgu adresātu centrs (KDC) apkalpošanas sertifikāta autentifikācijas pieprasījumu. Pirms 2022. gada 10. maija drošības atjauninājuma autentifikācijai, kuras pamatā ir sertifikāts, datora nosaukuma beigās nebūs dolāra zīmes ($) konts. Līdz ar to saistītie sertifikāti tika dažādos veidos atsēroti (izlikšanās). Turklāt konflikti starp pamatnosaukumu (User Principal Names — UPN) un sAMAccountName ieviesa citas ikonsulēšanas (izlikšanās) ievainojamības, uz kurām vērsts arī šis drošības atjauninājums.
Rīcība
Lai aizsargātu savu vidi, veiciet šādas darbības autentifikācijai, kuras pamatā ir sertifikāts:
-
Ar 2022. gada 10. maija atjauninājumu atjauniniet visus serverus, kas izmanto Active Directory sertifikātu pakalpojumus un Windows domēna kontrollerus, kuru pakalpojuma sertifikāta autentifikācija ir pamatota (skatiet saderības režīmu). 2022. gada 10. maija atjauninājums nodrošinās audita notikumus, kas identificē sertifikātus, kas nav saderīgi ar pilnīgas ieviešanas režīmu.
-
Ja domēna kontrolleros vienu mēnesi pēc atjauninājuma instalēšanas netiek izveidoti audita notikumu žurnāli, turpiniet ar pilnīgas ieviešanas režīma iespējošanu visiem domēna kontrolleriem. Līdz 2025. gada 11. februārim visas ierīces tiks atjauninātas pilnās ieviešanas režīmā. Šajā režīmā, ja sertifikāts neatbilst stiprajiem (drošajiem) kartēšanas kritērijiem (skatiet sadaļu Sertifikātu kartējumi), autentifikācija tiks liegta. Tomēr opcija, lai pārietu atpakaļ uz saderības režīmu, paliks līdz 2025. gada 10. septembrim.
Auditēšanas notikumi
2022. gada 10. maija Windows atjauninājums pievieno šādus notikumu žurnālus.
Nevar atrast nevienu stipru sertifikātu kartējumu, un sertifikātam nav jaunā drošības identifikatora (SID) paplašinājuma, ko KDC varētu validēt.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums, ja KDC ir saderības režīmā Kļūda, ja KDC ir ieviešanas režīmā |
Notikuma avots |
Kdcsvc |
Notikuma ID |
39 41 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2) |
Notikuma teksts |
Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Šādi sertifikāti ir vai nu jānomaina vai jākartē tieši lietotājam, veicot tiešu kartēšanu. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <pilnā domēna nosaukuma (FQDN)> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana> |
Sertifikāts tika izsniegts lietotājam, pirms lietotājs pastāvēja pakalpojumā Active Directory, un nevarēja atrast stipru kartēšanu. Šis notikums tiek reģistrēts tikai tad, ja KDC ir saderības režīmā.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
Kdcsvc |
Notikuma ID |
40 48 (sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2) |
Notikuma teksts |
Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Sertifikāts bija arī pirms lietotāja, ar kuru tas tika kartēts, tāpēc tas tika noraidīts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <izsniedzējs FQDN> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana> Sertifikāta izsniegšanas laiks: <sertifikāta izsniegšanas laiks FILETIME> Konta izveides laiks: <AD> FILETIME |
SID, kas iekļauts lietotāju sertifikāta jaunajā paplašinājumā, neatbilst lietotāja SID failam, tas norāda, ka sertifikāts ir izsniegts citam lietotājam.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
Kdcsvc |
Notikuma ID |
41 49 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2) |
Notikuma teksts |
Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, taču saturēja citu SID numuru, nevis lietotāju, kuram tas tika kartēts. Rezultātā pieprasījums, kas saistīti ar sertifikātu, neizdevās. Papildinformāciju https://go.microsoft.cm/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija. Lietotājs: <pamatnosaucvārds> Lietotāja SID: <autentificēšanas pamatsummas> Sertifikāta tēma: <tēmas nosaukums sertifikāta> Sertifikāta izdevējs: <izsniedzējs FQDN> Sertifikāta sērijas numurs: <sērijas numurs> Sertifikāta īkšķis: <īkšķa nospiešana> Sertifikāts SID: <SID ir atrodams jaunajā sertifikāta paplašinājuma> |
Sertifikātu kartējumi
Domēna administratori var manuāli kartēt sertifikātus lietotājam pakalpojumā Active Directory, izmantojot lietotāju objekta atribūtu altSecurityIdentities . Šim atribūtam ir sešas atbalstītās vērtības, trīs kartējumi tika uzskatīti par vāju (nedrošu), bet pārējie trīs tika uzskatīti par stipriem. Parasti kartējuma tipi tiek uzskatīti par stipriem, ja to pamatā ir identifikatori, ko nevar izmantot atkārtoti. Tāpēc visi kartējuma tipi, kuru pamatā ir lietotājvārdi un e-pasta adreses, tiek uzskatīti par vāju.
Kartēšanas |
Piemērs |
Veids |
Piezīmes |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Vārgs |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Vārgs |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Vārgs |
E-pasta adrese |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Stiprs |
Ieteicams |
X509SKI |
"X509:<SKI>123456789abcdef" |
Stiprs |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Stiprs |
Ja klienti nevar atkārtoti izdot sertifikātus ar jauno paplašinājums SID, ieteicams izveidot manuālu kartēšanu, izmantojot kādu no iepriekš aprakstītajiem stiprajiem kartējumiem. To var izdarīt, pievienojot lietotājam atbilstošo kartējuma virkni atribūtam altSecurityIdentities pakalpojumā Active Directory.
Piezīme Par noteiktiem laukiem, piemēram, Izdevējs, Tēma un Sērijas numurs, tiek ziņots "pārsūtīšanas" formātā. Šis formāts ir jāatgriež, kad pievienojat kartējuma virkni atribūtam altSecurityIdentities . Piemēram, lai lietotājam pievienotu X509IssuerSerialNumber kartējumu, meklējiet tā sertifikāta laukus "Izdevējs" un "Sērijas numurs", ko vēlaties kartēt lietotājam. Skatiet tālāko paraugu izvadi.
-
Izdevējs: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Sērijas numurs: 2B0000000011AC0000000012
Pēc tam atjauniniet lietotāja atribūtu altSecurityIdentities pakalpojumā Active Directory ar šādu virkni:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"
Lai atjauninātu šo atribūtu, izmantojot Powershell, varat izmantot tālāk norādīto komandu. Ņemiet vērā, ka pēc noklusējuma tikai domēnu administratoriem ir atļauja atjaunināt šo atribūtu.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}
Ievērojiet, ka, apvērsot SerialNumber, baitu secība ir jāsaglabā. Tas nozīmē, ka, ja seriālais_skaitlis ir "A1B2C3", tiek izraisīta virkne "C3B2A1", nevis " 3C2B1A". Papildinformāciju skatiet rakstā HowTo: lietotāja kartēšana uz sertifikātu, izmantojot visas metodēm, kas pieejamas atribūtā altSecurityIdentities.
Windows atjauninājumu laika grafiks
Svarīgi Iespējošanas posms sākas ar 2023. gada 11. aprīļa atjauninājumiem operētājsistēmai Windows, kas ignorē atspējotā režīma reģistra atslēgas iestatījumu.
Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas ierīces būs saderības režīmā. Ja sertifikātu var stingri kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Ja sertifikātu var tikai vājš kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Tomēr tiek reģistrēts brīdinājuma ziņojums, ja vien sertifikāts nav vecāks par lietotāju. Ja sertifikāts ir vecāks par lietotāju, bet sertifikāta atpakaļ sūtīšanas reģistra atslēga nav pieejama vai diapazons atrodas ārpus neveiksmju kompensāciju, autentifikācija neizdosies un tiks reģistrēts kļūdas ziņojums. Ja ir konfigurēta reģistra atslēga Sertifikāts backdating, tas notikumu žurnālā reģistrēs brīdinājuma ziņojumu, ja datumi atbilst atpakaļešanas kompensācijas ziņojumam.
Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas skatieties, vai nav brīdinājuma ziņojumu, kas var tikt parādīts pēc mēneša vai ilgāka atjauninājuma. Ja nav brīdinājuma ziņojumu, iesakām iespējot pilnekrāna režīmu visiem domēna kontrolleriem, izmantojot sertifikāta autentifikāciju. Lai iespējotu pilnekrāna režīmu, varat izmantot KDC reģistra atslēgu.
Ja vien šis režīms netiks atjaunināts iepriekš, mēs atjaunināsim visas ierīces uz pilnekrāna režīmu līdz 2025. gada 11. februārim vai jaunākai versijai. Ja sertifikātu nevar stingri kartēt, autentifikācija tiks liegta. Opcija, lai pārietu atpakaļ uz saderības režīmu, paliks līdz 2025. gada 10. septembrim. Pēc šī datuma reģistra vērtība StrongCertificateBindingEnforcement vairs netiks atbalstīta.
Ja autentifikācija, kuras pamatā ir sertifikāts, izmanto vājš kartējumu, ko nevar pārvietot no vides, varat novietot domēnu kontrollerus atspējotā režīmā, izmantojot reģistra atslēgas iestatījumu. Microsoft to neiesaka , un 2023. gada 11. aprīlī mēs noņemiet atspējoto režīmu.
Pēc 2024. gada 13. februāra vai jaunākas versijas Windows atjauninājumu instalēšanas serverī 2019 un jaunākās versijās un atbalstītajiem klientiem, kuros instalēts RSAT neobligātais līdzeklis, sertifikātu kartēšanas pakalpojumā Active Directory lietotāji & Datori noklusējuma izvēlēsies stipru kartēšanu, izmantojot X509IssuerSerialNumber, nevis vāju kartēšanu, izmantojot X509IssuerSubject. Iestatījumu joprojām var mainīt pēc vajadzības.
Problēmu novēršana
-
Izmantojiet Kerberos darbības žurnālu attiecīgajā datorā, lai noteiktu, kurā domēna kontrollerī neizdodas pierakstīties. Dodieties uz Notikumu skatītājs > Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.
-
Meklējiet atbilstošus notikumus domēna kontrollera sistēmas notikumu žurnālā, pret kuru konts mēģina autentificēties.
-
Ja sertifikāts ir vecāks par kontu, atkārtoti izsniedziet sertifikātu vai kontam pievienojiet drošu altSecurityIdentities kartējumu (skatiet rakstu Sertifikātu kartējumi).
-
Ja sertifikātā ir SID paplašinājums, pārliecinieties, vai SID atbilst kontam.
-
Ja sertifikāts tiek izmantots, lai autentificētu vairākus atšķirīgus kontus, katram kontam ir nepieciešama atsevišķa altSecurityIdentities kartēšana .
-
Ja sertifikātam nav drošas kartēšanas uz kontu, pievienojiet to vai atstājiet domēnu saderības režīmā, līdz to var pievienot.
TLS sertifikāta kartēšanas piemērs izmanto IIS iekštīkla tīmekļa lietojumprogrammu.
-
Pēc CVE-2022-26391 un CVE-2022-26923 aizsardzības instalēšanas šajos scenārijos tiek izmantots Kerberos sertifikātu pakalpojuma lietotājam (S4U) protokols sertifikātu kartēšanai un autentifikācijai pēc noklusējuma.
-
Kerberos sertifikāta S4U protokols autentifikācijas pieprasījums plūst no lietojumprogrammas servera uz domēna kontrolleri, nevis no klienta uz domēna kontrolleri. Tāpēc lietojumprogrammu serverī būs atbilstoši notikumi.
Reģistra atslēgas informācija
Pēc CVE-2022-26931 un CVE-2022-26923 aizsardzības instalēšanas Windows atjauninājumos, kas izlaisti no 2022. gada 10. maija līdz 2025. gada 10. septembrim, vai jaunākām versijām, ir pieejamas šādas reģistra atslēgas.
Šī reģistra atslēga maina KDC ieviešanas režīmu uz atspējoto režīmu, saderības režīmu vai pilnekrāna režīmu.
Svarīgi
Šīs reģistra atslēgas izmantošana ir pagaidu risinājums vidēm, kurām tas ir nepieciešams, un tas ir jāveic piesardzīgi. Izmantojot šo reģistra atslēgu, jūsu videi ir šādi līdzekļi:
-
Šī reģistra atslēga darbojas tikai saderības režīmā, sākot ar 2022. gada 10. maijā izlaistajiem atjauninājumiem.
-
Šī reģistra atslēga netiks atbalstīta pēc tam, kad būs instalēti 2025. gada 10. septembrī izlaistie Windows atjauninājumi.
-
SID paplašinājuma noteikšana un validācija, ko izmanto stipra sertifikātu saistīšanas ieviešana, ir atkarīga no KDC reģistra atslēgas UseSubjectAltName vērtības. SID paplašinājums tiks izmantots, ja reģistra vērtība nepastāv vai ja vērtība ir iestatīta kā 0x1. SID paplašinājums netiks izmantots, ja pastāv UseSubjectAltName un vērtība ir iestatīta kā 0x0.
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Vērtība |
StrongCertificateBindingEnforcement |
Datu tips |
REG_DWORD |
Dati |
1. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir atļauta, ja lietotāja konts ir pirms sertifikāta. 2. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir liegta. 0. Atspējo stipru sertifikātu kartēšanas pārbaudi. Nav ieteicams, jo tiks atspējoti visi drošības uzlabojumi. Ja šī vērtība ir iestatīta kā 0, ir jāiestata arī iestatījums CertificateMappingMethods uz 0x1F kā aprakstīts tālāk sadaļā Schannel reģistra atslēga, lai autentifikācija, kuras pamatā ir dators, būtu veiksmīga. |
Vai restartēt obligāti? |
Nē |
Ja servera lietojumprogrammai ir nepieciešama klienta autentifikācija, Schannel automātiski mēģina kartēt sertifikātu, ko TLS klienta krājumi ir kartēti lietotāja kontam. Lietotājus, kuri pierakstās ar klienta sertifikātu, var autentificēt, izveidojot kartējumus, kas saista sertifikāta informāciju ar Windows lietotāja kontu. Kad esat izveidojis un iespējojis sertifikāta kartēšanu, ikreiz, kad klients prezentē klienta sertifikātu, servera lietojumprogramma automātiski saista lietotāju ar atbilstošo Windows lietotāja kontu.
Schannel mēģinās kartēt katru iespējoto sertifikāta kartēšanas metodi līdz brīdim, kad būs veiksmīga. Schannel vispirms mēģina kartēt kartējumus Service-For-User-To-Self (S4U2Self). Tēmas/izdevēja, izdevēja un UPN sertifikātu kartējumi tagad tiek uzskatīti par vāju un pēc noklusējuma ir atspējoti. Atlasīto opciju bitmasked summa nosaka pieejamo sertifikātu kartēšanas metožu sarakstu.
Reģistra atslēga SChannel tika pēc noklusējuma 0x1F ir 0x18. Ja autentifikācijas kļūmes rodas ar Schannel servera lietojumprogrammām, ieteicams veikt pārbaudi. Pievienojiet vai modificējiet certificateMappingMethods reģistra atslēgas vērtību domēna kontrollerī un iestatiet to kā 0x1F kā arī pārbaudiet, vai problēma tiek novērsta. Papildinformāciju skatiet domēna kontrollera sistēmas notikumu žurnālos, lai uzzinātu par visām šajā rakstā uzskaitītajām kļūdām. Ņemiet vērā, ka, mainot SChannel reģistra atslēgas vērtību atpakaļ uz iepriekšējo noklusējuma (0x1F) versiju, tiks atjaunota pāreja uz vājām sertifikātu kartēšanas metodēm.
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Vērtība |
CertificateMappingMethods |
Datu tips |
DWORD |
Dati |
0x0001 — tēmas/izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma) 0x0002 - izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma) 0x0004 - UPN sertifikāta kartēšana (vāja — atspējota pēc noklusējuma) 0x0008 - S4U2Self sertifikāta kartēšana (stipra) 0x0010 - S4U2Self tieša sertifikāta kartēšana (stipra) |
Vai restartēt obligāti? |
Nē |
Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".
Kad esat instalējis atjauninājumus, kas adresē CVE-2022-26931 un CVE-2022-26923, autentifikācija var neizdoties gadījumos, kad lietotāju sertifikāti ir vecāki par lietotāju izveides laiku. Šī reģistra atslēga ļauj veikt veiksmīgu autentifikāciju, ja vidē izmantojat vājus sertifikātu kartējumus un sertifikāta laiks ir pirms lietotāja izveides laika noteiktā diapazonā. Šī reģistra atslēga neietekmē lietotājus vai datorus ar stipriem sertifikātu kartējumiem, jo sertifikāta laiks un lietotāju izveides laiks netiek pārbaudīts ar stipru sertifikātu kartējumu. Šī reģistra atslēga nedarbojas, ja StrongCertificateBindingEnforcement ir iestatīts uz 2.
Šīs reģistra atslēgas izmantošana ir pagaidu risinājums vidēm, kurām tas ir nepieciešams, un tas ir jāveic piesardzīgi. Izmantojot šo reģistra atslēgu, jūsu videi ir šādi līdzekļi:
-
Šī reģistra atslēga darbojas tikai saderības režīmā, sākot ar 2022. gada 10. maijā izlaistajiem atjauninājumiem. Autentifikācija tiks atļauta atpakaļnoteikšanās kompensācijas nobīdē, bet par vājo saistījumu tiks reģistrēts notikumu žurnāla brīdinājums.
-
Iespējojot šo reģistra atslēgu, var autentificēt lietotāju, kad sertifikāta laiks ir pirms lietotāja izveides laika iestatītā diapazonā kā vāja kartēšana. 2025. gada 10. septembrī izlaistie Windows atjauninājumi netiks atbalstīti.
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Vērtība |
CertificateBackdatingCompensation |
Datu tips |
REG_DWORD |
Dati |
Risinājuma vērtības aptuvenos gados:
Piezīme Ja zināt, ka sertifikātu darbības laiks jūsu vidē ir ilgāks par sertifikāta darbības laiku, iestatiet šo reģistra atslēgu. Ja nezināt, cik sertifikātu ilgums ir jūsu vidē, iestatiet šo reģistra atslēgu uz 50 gadiem. Noklusējums ir 10 minūtes, ja šī atslēga nav pieejama, kas atbilst Active Directory sertifikātu pakalpojumiem (ADCS). Maksimālā vērtība ir 50 gadi (0x5E0C89C0). Šī atslēga iestata laika atšķirību sekundēs, ko atslēgu adresātu centrs (KDC) ignorēs starp autentifikācijas sertifikāta problēmas laiku un konta izveides laiku lietotāja/datora kontiem. Svarīgi Iestatiet šo reģistra atslēgu tikai tad, ja tā ir nepieciešama jūsu vidē. Izmantojot šo reģistra atslēgu, tiek atspējota drošības pārbaude. |
Vai restartēt obligāti? |
Nē |
Uzņēmuma sertificēšanas iestādes
Uzņēmuma sertificēšanas iestādes (CA) pēc noklusējuma pievienos jaunu paplašinājumu, kas nav kritisks, ar objekta identifikatoru (OID) (1.3.6.1.4.1.311.25.2) visos sertifikāti, kas izdoti tiešsaistes veidnēs pēc 2022. gada 10. maija Windows atjauninājuma instalēšanas. Varat pārtraukt šī paplašinājuma papildinājumu, iestatot 0x00080000 bits atbilstošās veidnes vērtībā msPKI-Enrollment-Flag .
Izpildiet šo komandu certutil , lai izslēgtu sertifikātus lietotāja veidnē no jauna paplašinājuma iegūšanas.
-
Pierakstieties sertificēšanas iestādes serverī vai domēnam savienotā klienta ar Windows 10 administratoram vai līdzvērtīgiem akreditācijas datiem.
-
Atveriet komandu uzvedni un izvēlieties Palaist kā administratoram.
-
Run certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Atspējojot šī paplašinājuma papildinājumu, tiek noņemta jaunā paplašinājuma nodrošinātā aizsardzība. Apsveriet iespēju to izdarīt tikai pēc vienas no šīm darbībām:
-
Jūs apstiprināt, ka atbilstošie sertifikāti nav pieņemami sākotnējās autentifikācijas (Public Key Cryptography – PKINIT) publiskās atslēgas šifrēšanai Kerberos protokola autentifikācijā KDC
-
Attiecīgajiem sertifikātiem ir konfigurēti citi stipru sertifikātu kartējumi
Vides, kurās ir izvietojumi ārpus Microsoft CA, pēc 2022. gada 10. maija Windows atjauninājuma instalēšanas netiks aizsargātas, izmantojot jauno SID paplašinājumu. Ietekmētajiem klientiem ir jādarbojas ar atbilstošajiem CA piegādātājiem, lai to novērstu, vai arī ir jāapsver iespēja izmantot citus iepriekš aprakstītos stipros sertifikātu kartējumus.
Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".
Bieži uzdotie jautājumi
Nē, atjaunošana nav nepieciešama. CA tiks piegādāta saderības režīmā. Ja vēlaties stipru kartēšanu, izmantojot paplašinājumu ObjectSID, būs nepieciešams jauns sertifikāts.
2025. gada 11. februāra Windows atjauninājumā ierīces, kas vēl nav ieviešanas ierīcēs (StrongCertificateBindingEnforcement reģistra vērtība tiek iestatīta kā 2), tiks pārvietotas uz lietojumprogrammu. Ja autentifikācija ir liegta, redzēsit notikuma ID 39 (vai notikuma ID 41 operētājsistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2). Šajā posmā jums ir iespēja iestatīt reģistra atslēgas vērtību atpakaļ uz 1 (saderības režīmu).
2025. gada 10. septembra Windows atjauninājumā reģistra vērtība StrongCertificateBindingEnforcement vairs netiks atbalstīta.
Papildu resursi
Papildinformāciju par TLS klienta sertifikātu kartēšanu skatiet šādos rakstos: