Zmień datę |
Opis |
---|---|
9/10/2024 |
Zmieniono opis trybu pełnego wymuszania w sekcji "Chronometraż aktualizacji systemu Windows", aby odzwierciedlał nowe daty. 11 lutego 2025 r. przeniesie urządzenia do trybu wymuszania, ale pozostawi obsługę, aby wrócić do trybu zgodności. Pełna obsługa kluczy rejestru zakończy się 10 września 2025 r. |
7/5/2024 |
Dodano informacje o rozszerzeniu SID klucza rejestru Centrum dystrybucji kluczy (KDC) w sekcji "Informacje o kluczach rejestru". |
10.10.2023 |
Dodano informacje o silnych zmianach domyślnych mapowania w obszarze "Oś czasu systemu Windows Aktualizacje" |
6/30/2023 |
Zmieniono datę trybu pełnego wymuszania z 14 listopada 2023 r. na 11 lutego 2025 r. (daty te były wcześniej wymienione jako 19 maja 2023 r. do 14 listopada 2023 r.). |
1/26/2023 |
Zmieniono tryb wyłączony z 14 lutego 2023 r. na 11 kwietnia 2023 r. |
Podsumowanie
CVE-2022-34691,CVE-2022-26931 i CVE-2022-26923 usuwają lukę w zabezpieczeniach, która może wystąpić, gdy Centrum dystrybucji kluczy Kerberos (KDC) obsługuje żądanie uwierzytelniania oparte na certyfikacie. Przed aktualizacją zabezpieczeń z 10 maja 2022 r. uwierzytelnianie oparte na certyfikacie nie będzie oznaczać znaku dolara ($) na końcu nazwy komputera. Dzięki temu powiązane certyfikaty mogły być emulowane (sfałszowane) na różne sposoby. Ponadto konflikty między nazwami głównymi użytkowników (UPN) i sAMAccountName wprowadziły inne luki w zabezpieczeniach emulacji (spoofingu), które również usuwamy w tej aktualizacji zabezpieczeń.
Podejmij działanie
Aby chronić środowisko, wykonaj następujące czynności związane z uwierzytelnianiem opartym na certyfikatach:
-
Zaktualizuj wszystkie serwery, na których są uruchomione usługi Active Directory Certificate Services i kontrolery domeny systemu Windows, które obsługują uwierzytelnianie oparte na certyfikatach za pomocą aktualizacji z 10 maja 2022 r. (zobacz Tryb zgodności). Aktualizacja z 10 maja 2022 r. będzie udostępniać zdarzenia inspekcji identyfikujące certyfikaty, które nie są zgodne z trybem pełnego wymuszania.
-
Jeśli po zainstalowaniu aktualizacji na kontrolerach domeny nie są tworzone żadne dzienniki zdarzeń inspekcji przez miesiąc, kontynuuj włączanie trybu pełnego wymuszania na wszystkich kontrolerach domeny. Do 11 lutego 2025 r. wszystkie urządzenia zostaną zaktualizowane do trybu pełnego wymuszania. W tym trybie, jeśli certyfikat nie spełnia silnych (bezpiecznych) kryteriów mapowania (zobacz Mapowania certyfikatów), uwierzytelnianie zostanie odrzucone. Jednak opcja powrotu do trybu zgodności pozostanie do 10 września 2025 r.
Inspekcja zdarzeń
Aktualizacja systemu Windows z 10 maja 2022 r. dodaje następujące dzienniki zdarzeń.
Nie można było odnaleźć silnych mapowań certyfikatów, a certyfikat nie miał nowego rozszerzenia identyfikatora zabezpieczeń (SID), które mogłoby zostać zweryfikowane przez centrum danych biznesowych.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie, jeśli usługa łączności danych biznesowych jest w trybie zgodności Błąd, jeśli usługa KDC jest w trybie wymuszania |
Źródło zdarzenia |
Kdcsvc |
Identyfikator zdarzenia |
39 41 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2) |
Tekst zdarzenia |
W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Takie certyfikaty powinny zostać zastąpione lub zamapowane bezpośrednio do użytkownika za pomocą jawnego mapowania. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej. Użytkownik:> <głównej nazwy użytkownika Temat certyfikatu: <nazwę tematu w> certyfikatu Wystawca certyfikatu: <w pełni kwalifikowana nazwa domeny (FQDN) > Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate> |
Certyfikat został wystawiony użytkownikowi, zanim użytkownik istniał w usłudze Active Directory i nie można było odnaleźć żadnego silnego mapowania. To zdarzenie jest rejestrowane tylko wtedy, gdy funkcja KDC jest w trybie zgodności.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Kdcsvc |
Identyfikator zdarzenia |
40 48 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2 |
Tekst zdarzenia |
W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Certyfikat również wstępnie wstępnie użytkownik zamapowany na, więc został odrzucony. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej. Użytkownik:> <głównej nazwy użytkownika Temat certyfikatu: <nazwę tematu w> certyfikatu Emitent certyfikatu:> FQDN emitenta < Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate> Czas wydawania certyfikatu: <FILETIME certyfikatu> Czas tworzenia konta: <FILETIME obiektu głównego w> AD |
Identyfikator SID zawarty w nowym rozszerzeniu certyfikatu użytkownika nie odpowiada identyfikatorowi SID użytkowników, co oznacza, że certyfikat został wystawiony innemu użytkownikowi.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
Kdcsvc |
Identyfikator zdarzenia |
41 49 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2) |
Tekst zdarzenia |
Centrum dystrybucji kluczy napotkało certyfikat użytkownika, który był prawidłowy, ale zawierał inny identyfikator SID niż użytkownik, do którego został zamapowany. W wyniku tego żądanie dotyczące certyfikatu nie powiodło się. Aby dowiedzieć się więcej, zobacz https://go.microsoft.cm/fwlink/?linkid=2189925. Użytkownik:> <głównej nazwy użytkownika User SID: <SID uwierzytelniającego> głównej Temat certyfikatu: <nazwę tematu w> certyfikatu Emitent certyfikatu:> FQDN emitenta < Numer seryjny certyfikatu: <numer seryjny certyfikatu> Certificate Thumbprint: <Thumbprint of Certificate> Certyfikat SID: <SID znaleziona w nowym> rozszerzenia certyfikatu |
Mapowania certyfikatów
Administratorzy domeny mogą ręcznie mapować certyfikaty na użytkownika w usłudze Active Directory przy użyciu atrybutu altSecurityIdentities obiektu użytkowników. Dla tego atrybutu jest obsługiwanych sześć wartości z trzema mapowaniami uważanymi za słabe (niezabezpieczone), a pozostałe trzy za silne. Ogólnie rzecz biorąc, typy map są uznawane za silne, jeśli są oparte na identyfikatorach, których nie można ponownie użyć. Dlatego wszystkie typy map na podstawie nazw użytkowników i adresów e-mail są uznawane za słabe.
Mapowanie |
Przykład |
Typ |
Uwagi |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Słaby |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Słaby |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Słaby |
Adres e-mail |
X509IssuerSerialNumber |
"X509:<I>Nazwa Emitenta<SR>1234567890" |
Silny |
Proponowane |
X509SKI |
"X509:<SKI>123456789abcdef" |
Silny |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Silny |
Jeśli klienci nie mogą ponownie tworzyć certyfikatów z nowym rozszerzeniem SID, zalecamy utworzenie ręcznego mapowania przy użyciu jednego z silnych mapowań opisanych powyżej. Możesz to zrobić, dodając odpowiedni ciąg mapowania do atrybutu altSecurityIdentities w usłudze Active Directory.
Nuta Niektóre pola, takie jak Emitent, Temat i Numer seryjny, są zgłaszane w formacie "do przodu". Należy odwrócić ten format, dodając ciąg mapowania do atrybutu altSecurityIdentities . Aby na przykład dodać mapowanie X509IssuerSerialNumber do użytkownika, przeszukaj pola "Wystawcy" i "Numer seryjny" certyfikatu, który chcesz zamapować na użytkownika. Zobacz przykładowe dane wyjściowe poniżej.
-
Wystawca: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Numer seryjny: 2B0000000011AC000000012
Następnie zaktualizuj atrybut altSecurityIdentities użytkownika w usłudze Active Directory za pomocą następującego ciągu:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"
Aby zaktualizować ten atrybut przy użyciu programu Powershell, możesz użyć poniższego polecenia. Pamiętaj, że domyślnie tylko administratorzy domeny mają uprawnienia do aktualizowania tego atrybutu.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Zwróć uwagę, że po odwróceniu numeru seryjnego należy zachować kolejność bajtów. Oznacza to, że odwrócenie numeru seryjnego "A1B2C3" powinno spowodować ciąg "C3B2A1", a nie "3C2B1A". Aby uzyskać więcej informacji, zobacz HowTo: Mapowanie użytkownika na certyfikat za pomocą wszystkich metod dostępnych w atrybucie altSecurityIdentities.
Oś czasu dla aktualizacji systemu Windows
Ważne Faza włączania rozpoczyna się od aktualizacji systemu Windows z 11 kwietnia 2023 r., które ignorują ustawienie klucza rejestru Tryb wyłączony.
Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. urządzenia będą w trybie zgodności. Jeśli certyfikat można silnie zamapować na użytkownika, uwierzytelnianie będzie wykonywane zgodnie z oczekiwaniami. Jeśli certyfikat może być słabo zamapowany tylko na użytkownika, uwierzytelnianie odbywa się zgodnie z oczekiwaniami. Jednak komunikat ostrzegawczy zostanie zarejestrowany, chyba że certyfikat jest starszy od użytkownika. Jeśli certyfikat jest starszy niż użytkownik, a klucz rejestru Backdating certyfikatu nie jest obecny lub zakres znajduje się poza rekompensatą, uwierzytelnianie zakończy się niepowodzeniem i zostanie zarejestrowany komunikat o błędzie. Jeśli klucz rejestru Backdating certyfikatu jest skonfigurowany, zarejestruje komunikat ostrzegawczy w dzienniku zdarzeń, jeśli daty mieszczą się w kompensacji.
Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. watch wszelkich komunikatów ostrzegawczych, które mogą pojawić się po upływie co najmniej miesiąca. Jeśli nie ma żadnych komunikatów ostrzegawczych, zdecydowanie zalecamy włączenie trybu pełnego wy wymuszania na wszystkich kontrolerach domeny przy użyciu uwierzytelniania opartego na certyfikatach. Aby włączyć tryb pełnego wy wymuszania, można użyć klucza rejestru usługi łączności danych biznesowych .
O ile nie zostaną wcześniej zaktualizowane do tego trybu, do 11 lutego 2025 r. lub później zaktualizujemy wszystkie urządzenia do trybu pełnego wyciszenia. Jeśli nie można silnie zamapować certyfikatu, zostanie odrzucone uwierzytelnianie. Opcja powrotu do trybu zgodności pozostanie do 10 września 2025 r. Po tej dacie wartość rejestru StrongCertificateBindingEnforcement nie będzie już obsługiwana.
Jeśli uwierzytelnianie oparte na certyfikatach korzysta ze słabego mapowania, które nie umożliwia przenoszenia się ze środowiska, można umieścić kontrolery domeny w trybie wyłączonym przy użyciu ustawienia klucza rejestru. Firma Microsoft tego nie zaleca , a tryb wyłączony zostanie wyłączony 11 kwietnia 2023 r.
Po zainstalowaniu aktualizacji systemu Windows z 13 lutego 2024 r. lub nowszych w systemie Server 2019 i nowszych oraz obsługiwanych klientach z zainstalowaną funkcją opcjonalną RSAT mapowanie certyfikatów w witrynie Użytkownicy usługi Active Directory & Komputery będzie domyślnie wybierać silne mapowanie przy użyciu X509IssuerSerialNumber zamiast słabego mapowania przy użyciu X509IssuerSubject. Nadal można zmienić to ustawienie zgodnie z potrzebami.
Rozwiązywanie problemów
-
Użyj dziennika operacyjnego Kerberos na odpowiednim komputerze, aby określić, który kontroler domeny kończy się niepowodzeniem logowania. Przejdź do Podgląd zdarzeń > Dzienniki aplikacji i usług\Microsoft \Windows\Security-Kerberos\Operational.
-
Poszukaj odpowiednich zdarzeń w dzienniku zdarzeń systemowych na kontrolerze domeny, przeciwko któremu konto próbuje się uwierzytelnić.
-
Jeśli certyfikat jest starszy od konta, ponownie zaimów certyfikat lub dodaj bezpieczne mapowanie wartości altSecurityIdentities na konto (zobacz Mapowania certyfikatów).
-
Jeśli certyfikat zawiera rozszerzenie SID, sprawdź, czy identyfikator SID jest zgodny z kontem.
-
Jeśli certyfikat jest używany do uwierzytelniania kilku różnych kont, każde konto będzie potrzebowało oddzielnego mapowania altSecurityIdentities .
-
Jeśli certyfikat nie ma bezpiecznego mapowania na konto, dodaj ją lub pozostaw domenę w trybie zgodności, dopóki nie będzie można dodać tej domeny.
Przykładem mapowania certyfikatów TLS jest użycie intranetowej aplikacji sieci Web usługi IIS.
-
Po zainstalowaniu zabezpieczeń CVE-2022-26391 i CVE-2022-26923 te scenariusze domyślnie używają protokołu Usługi certyfikatów Kerberos dla użytkownika (S4U) do mapowania certyfikatów i uwierzytelniania.
-
W protokole S4U certyfikatu Kerberos żądanie uwierzytelniania przepływa z serwera aplikacji do kontrolera domeny, a nie z klienta do kontrolera domeny. W związku z tym odpowiednie zdarzenia będą na serwerze aplikacji.
Informacje o kluczu rejestru
Po zainstalowaniu zabezpieczeń CVE-2022-26931 i CVE-2022-26923 w aktualizacjach systemu Windows wydanych między 10 maja 2022 r. a 10 września 2025 r. lub nowszym dostępne są następujące klucze rejestru.
Ten klucz rejestru zmienia tryb wymuszania usługi łączności danych biznesowych na tryb wyłączony, tryb zgodności lub tryb pełnego wymuszania.
Ważne
Użycie tego klucza rejestru jest tymczasowym obejściem dla środowisk, które tego wymagają i należy to zrobić z zachowaniem ostrożności. Użycie tego klucza rejestru oznacza następujące znaczenie dla twojego środowiska:
-
Ten klucz rejestru działa tylko w trybie zgodności, począwszy od aktualizacji wydanych 10 maja 2022 r.
-
Ten klucz rejestru nie będzieobsługiwać po zainstalowaniu aktualizacji systemu Windows wydanych 10 września 2025 r.
-
Wykrywanie i sprawdzanie poprawności rozszerzenia SID używane przez wymuszanie mocnego powiązania certyfikatu jest zależne od klucza rejestru usługi łączności danych biznesowych UseSubjectAltName . Rozszerzenie SID będzie używane, jeśli wartość rejestru nie istnieje lub jeśli wartość jest ustawiona na wartość 0x1. Rozszerzenie SID nie będzie używane, jeśli istnieje UseSubjectAltName i wartość jest ustawiona na 0x0.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Wartość |
StrongCertificateBindingEnforcement |
Typ danych |
REG_DWORD |
dane |
1. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa łączności danych biznesowych sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, uwierzytelnianie jest dozwolone, jeśli konto użytkownika poprzedza certyfikat. 2. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa łączności danych biznesowych sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, zostanie odrzucone uwierzytelnianie. 0 — wyłącza silne sprawdzanie mapowania certyfikatów. Niezalecane, ponieważ spowoduje to wyłączenie wszystkich ulepszeń zabezpieczeń. Jeśli ustawiono wartość 0, musisz również ustawić dla usługi CertificateMappingMethods wartość 0x1F zgodnie z opisem w sekcji klucza rejestru Schannel poniżej, aby uwierzytelnianie oparte na certyfikatach komputera zakończyło się pomyślnie. |
Wymagane ponowne uruchomienie? |
Nie |
Gdy aplikacja serwera wymaga uwierzytelniania klienta, Schannel automatycznie próbuje zamapować certyfikat dostarczony przez klienta TLS na konto użytkownika. Możesz uwierzytelnić użytkowników, którzy logują się za pomocą certyfikatu klienta, tworząc mapowania, które wiążą informacje o certyfikatach z kontem użytkownika systemu Windows. Po utworzeniu i włączeniu mapowania certyfikatów za każdym razem, gdy klient przedstawi certyfikat klienta, aplikacja serwera automatycznie skojarzy tego użytkownika z odpowiednim kontem użytkownika systemu Windows.
Narzędzie Schannel spróbuje zamapować każdą włączoną metodę mapowania certyfikatów, dopóki się nie powiedzie. Schannel próbuje najpierw zamapować mapowania usługi Service-For-User-To-Self (S4U2Self). Mapowania certyfikatów podmiotu/emitenta, emitenta i głównej nazwy użytkownika są obecnie uważane za słabe i zostały domyślnie wyłączone. Suma wybranych opcji z wyświetlonym monitem bitm określa listę dostępnych metod mapowania certyfikatów.
Klucz rejestru SChannel był domyślnie 0x1F i jest teraz 0x18. Jeśli wystąpią błędy uwierzytelniania w aplikacjach serwerowych opartych na architekturze Schannel, zalecamy wykonanie testu. Dodaj lub zmodyfikuj wartość klucza rejestru CertificateMappingMethods na kontrolerze domeny i ustaw ją na 0x1F i sprawdź, czy rozwiązuje to problem. Aby uzyskać więcej informacji, zobacz Dzienniki zdarzeń systemowych na kontrolerze domeny pod kątem błędów wymienionych w tym artykule. Należy pamiętać, że zmiana wartości klucza rejestru SChannel z powrotem na poprzednią domyślną (0x1F) spowoduje powrót do korzystania ze słabych metod mapowania certyfikatów.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Wartość |
CertificateMappingMethods |
Typ danych |
DWORD |
dane |
0x0001 — mapowanie certyfikatów podmiotu/wystawców (słabe — domyślnie wyłączone) 0x0002 — mapowanie certyfikatów wystawców (słabe — domyślnie wyłączone) 0x0004 — mapowanie certyfikatów UPN (słabe — domyślnie wyłączone) 0x0008 — mapowanie certyfikatów S4U2Self (strong) 0x0010 — S4U2Self jawne mapowanie certyfikatów (silne) |
Wymagane ponowne uruchomienie? |
Nie |
Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".
Po zainstalowaniu aktualizacji dotyczących cve-2022-26931 i CVE-2022-26923 uwierzytelnianie może zakończyć się niepowodzeniem w przypadkach, gdy certyfikaty użytkowników są starsze niż czas tworzenia użytkowników. Ten klucz rejestru umożliwia pomyślne uwierzytelnianie podczas używania słabych mapowań certyfikatów w środowisku, a czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie. Ten klucz rejestru nie wpływa na użytkowników ani komputery z silnymi mapowaniami certyfikatów, ponieważ czas certyfikatu i czas tworzenia użytkowników nie są sprawdzane przy użyciu silnych mapowań certyfikatów. Ten klucz rejestru nie ma żadnego wpływu, gdy wartość StrongCertificateBindingEnforcement jest ustawiona na wartość 2.
Użycie tego klucza rejestru jest tymczasowym obejściem dla środowisk, które tego wymagają i należy to zrobić z zachowaniem ostrożności. Użycie tego klucza rejestru oznacza następujące znaczenie dla twojego środowiska:
-
Ten klucz rejestru działa tylko w trybie zgodności , począwszy od aktualizacji wydanych 10 maja 2022 r. Uwierzytelnianie będzie dozwolone w ramach kompensacji odwrotnej, ale zostanie zarejestrowane ostrzeżenie dziennika zdarzeń dla słabego powiązania.
-
Włączenie tego klucza rejestru umożliwia uwierzytelnianie użytkownika, gdy czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie jako słabe mapowanie. Słabe mapowania nie będą obsługiwane po zainstalowaniu aktualizacji dla systemu Windows wydanych 10 września 2025 r.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Wartość |
CertificateBackdatingCompensation |
Typ danych |
REG_DWORD |
dane |
Wartości obejścia w przybliżonych latach:
Uwaga Jeśli znasz okres istnienia certyfikatów w środowisku, ustaw ten klucz rejestru na nieco dłuższy niż okres istnienia certyfikatu. Jeśli nie znasz okresów istnienia certyfikatu dla środowiska, ustaw ten klucz rejestru na 50 lat. Domyślnie wynosi 10 minut, gdy ten klucz nie jest obecny, co odpowiada usługom certyfikatów active directory (ADCS). Maksymalna wartość to 50 lat (0x5E0C89C0). Ten klucz określa w sekundach różnicę czasową ignorowaną przez Centrum dystrybucji kluczy między godziną wydania certyfikatu uwierzytelniania a czasem utworzenia konta dla kont użytkowników/komputerów. Ważne Ten klucz rejestru można ustawić tylko wtedy, gdy środowisko tego wymaga. Użycie tego klucza rejestru powoduje wyłączenie sprawdzania zabezpieczeń. |
Wymagane ponowne uruchomienie? |
Nie |
Urzędy certyfikacji przedsiębiorstwa
Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. urzędy certyfikacji przedsiębiorstwa zaczną dodawać nowe rozszerzenie niekrytyczny z identyfikatorem obiektu (OID) (1.3.6.1.4.1.311.25.2). Możesz zatrzymać dodawanie tego rozszerzenia, ustawiając bit 0x00080000 w wartości msPKI-Enrollment-Flag odpowiedniego szablonu.
Uruchom następujące polecenie certutil , aby wykluczyć certyfikaty szablonu użytkownika z uzyskiwania nowego rozszerzenia.
-
Zaloguj się na serwerze urząd certyfikacji lub kliencie przyłączonym do domeny Windows 10 przy użyciu administratora przedsiębiorstwa lub równoważnych poświadczeń.
-
Otwórz wiersz polecenia i wybierz polecenie Uruchom jako administrator.
-
Uruchom certutil -dstemplate użytkownika msPKI-Enrollment-Flag +0x00080000.
Wyłączenie dodawania tego rozszerzenia spowoduje usunięcie ochrony zapewnianej przez nowe rozszerzenie. Rozważ wykonanie tej czynności tylko po jednej z następujących czynności:
-
Potwierdzasz, że odpowiadające im certyfikaty są nie do przyjęcia dla kryptografii klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT) w uwierzytelnianiu protokołu Kerberos w usłudze KDC
-
Odpowiednie certyfikaty mają skonfigurowane inne silne mapowania certyfikatów
Środowiska z wdrożeniami innych niż Microsoft CA nie będą chronione przy użyciu nowego rozszerzenia SID po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. Klienci, których dotyczy problem, powinni współpracować z odpowiednimi dostawcami urzędu certyfikacji, aby rozwiązać ten problem, lub rozważyć użycie innych silnych mapowań certyfikatów opisanych powyżej.
Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".
Często zadawane pytania
Nie, odnowienie nie jest wymagane. Urząd certyfikacji zostanie wyświetlony w trybie zgodności. Jeśli chcesz mieć silne mapowanie przy użyciu rozszerzenia ObjectSID, będziesz potrzebować nowego certyfikatu.
W aktualizacji systemu Windows z 11 lutego 2025 r. urządzenia, które nie są jeszcze w wymuszaniu (wartość rejestru StrongCertificateBindingEnforcement jest ustawiona na 2), zostaną przeniesione do sekcji Wymuszanie. Jeśli zostanie odrzucone uwierzytelnianie, zostanie wyświetlony identyfikator zdarzenia 39 (lub identyfikator zdarzenia 41 dla systemów Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2). Na tym etapie będzie można ustawić wartość klucza rejestru z powrotem na 1 (tryb zgodności).
W aktualizacji systemu Windows z 10 września 2025 r. wartość rejestru StrongCertificateBindingEnforcement nie będzie już obsługiwana.
Dodatkowe zasoby
Aby uzyskać więcej informacji na temat mapowania certyfikatów klienta TLS, zobacz następujące artykuły:
-
Ustawienia rejestru protokołu Transport Layer Security (TLS)
-
Uwierzytelnianie mapowania certyfikatów klienta iIS <iisClientCertificateMappingAuthentication>
-
Konfigurowanie mapowania certyfikatów klienta jeden-do-jednego
-
Usługi certyfikatów usługi Active Directory: Architektura urzędu certyfikacji przedsiębiorstwa