Zmeniť dátum |
Popis |
---|---|
10/24/2024 |
Aktualizovaný text z dôvodu zrozumiteľnosti v kroku 2 časti "Vykonať akciu" v popise režimu úplného presadzovania v časti Aktualizácie časovej osi pre Windows a revidoval informácie o dátume kľúča databázy Registry "Key Distribution Center (KDC) Registry" a "Certificate Backdating Registry Key" v časti Informácie o kľúči databázy Registry. |
9/10/2024 |
V časti Časovanie aktualizácií windowsu sa zmenil popis režimu úplného vynútenia tak, aby odrážal nové dátumy. 11. februára 2025 sa zariadenia presunú do režimu presadzovania, ale ponechá podporu na prechod späť do režimu kompatibility. Úplná podpora kľúčov databázy Registry sa teraz skončí 10. septembra 2025. |
7/5/2024 |
Pridané informácie o rozšírení SID do kľúča databázy Registry Centra distribúcie kľúčov (KDC) v časti Informácie o kľúči databázy Registry. |
10. 10. 2023 |
Pridané informácie o predvolených zmenách silných priradení v časti Časová os pre Windows Aktualizácie |
6/30/2023 |
Zmenil sa dátum režimu úplného výkonu zo 14. novembra 2023 na 11. februára 2025 (tieto dátumy boli predtým uvedené ako 19. mája 2023 do 14. novembra 2023). |
1/26/2023 |
Zmenilo sa odstránenie režimu vypnutia zo 14. februára 2023 na 11. apríla 2023 |
Súhrn
CVE-2022-34691,CVE-2022-26931 a CVE-2022-26923 riešia zvýšenie nedostatočného zabezpečenia oprávnení, ktoré sa môže vyskytnúť, keď Centrum distribúcie kľúčov Kerberos (KDC) obsluhuje požiadavku na overenie na základe certifikátu. Pred aktualizáciou zabezpečenia z 10. mája 2022 by overenie založené na certifikáte neúčtilo na konci názvu počítača znak dolára ($). To umožnilo, aby boli súvisiace certifikáty rôznymi spôsobmi emulované (falošné). Okrem toho konflikty medzi hlavnými menami používateľov (UPN) a sAMAccountName zaviedli ďalšie chyby emulácie (predstierania iného odosielateľa), ktoré riešime aj touto aktualizáciou zabezpečenia.
Dajte sa do toho
Ak chcete chrániť svoje prostredie, vykonajte nasledujúce kroky pre overenie na základe certifikátu:
-
Pomocou aktualizácie z 10. mája 2022 aktualizujte všetky servery, na ktoré sa spúšťajú certifikačné služby Active Directory a radiče domény systému Windows (pozri režim kompatibility). Aktualizácia z 10. mája 2022 poskytne udalosti auditu , ktoré identifikujú certifikáty, ktoré nie sú kompatibilné s režimom úplného presadzovania.
-
Ak sa v radičoch domény nevytvoria žiadne denníky udalostí auditu po dobu jedného mesiaca po inštalácii aktualizácie, pokračujte povolením režimu úplného vynútenia vo všetkých radičoch domény. Ak kľúč databázy Registry StrongCertificateBindingEnforcemennie je nakonfigurovaný do februára 2025, radiče domény sa presunú do režimu úplného vynútenia. V opačnom prípade bude nastavenie režimu kompatibility kľúčov databázy Registry naďalej zachované. Ak certifikát zlyhá v režime úplného vynútenia, silné (zabezpečené) kritériá priradenia (pozri priradenia certifikátov), overovanie sa zamietne. Možnosť návratu do režimu kompatibility však zostane až do septembra 2025.
Udalosti auditu
Aktualizácia Windowsu z 10. mája 2022 pridáva nasledujúce denníky udalostí.
Nenašli sa žiadne silné priradenia certifikátov a certifikát nemal nové rozšírenie identifikátora zabezpečenia (SID), ktoré by mohlo overiť KDC.
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie, ak je katalóg pracovných údajov v režime kompatibility Chyba, ak je katalóg pracovných údajov v režime vynútenia |
Zdroj udalosti |
Kdcsvc |
Identifikačné číslo udalosti |
39 41 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2) |
Text udalosti |
V centre distribúcie kľúčov (KDC) sa vyskytol certifikát používateľa, ktorý bol platný, ale nemožno ho priradiť používateľovi silným spôsobom (napríklad prostredníctvom explicitného priradenia, mapovania dôveryhodnosti kľúča alebo identifikátora SID). Takéto certifikáty by sa mali nahradiť alebo priradiť priamo používateľovi prostredníctvom explicitného priradenia. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu: úplný názov domény vydavateľa <(FQDN)> Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu> |
Certifikát bol používateľovi vydaný predtým, ako používateľ existoval v službe Active Directory a nepodarilo sa nájsť žiadne silné priradenie. Táto udalosť sa zapisuje do denníka len vtedy, keď je katalóg pracovných údajov v režime kompatibility.
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
Kdcsvc |
Identifikačné číslo udalosti |
40 48 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2 |
Text udalosti |
V centre distribúcie kľúčov (KDC) sa vyskytol certifikát používateľa, ktorý bol platný, ale nemožno ho priradiť používateľovi silným spôsobom (napríklad prostredníctvom explicitného priradenia, mapovania dôveryhodnosti kľúča alebo identifikátora SID). Certifikát tiež predchádzal používateľovi, ku ktorého bol priradený, takže bol zamietnutý. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu:> FQDN vydavateľa < Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu> Čas vydania certifikátu: <FILETIME certifikátu> Čas vytvorenia konta: <FILETIME hlavného objektu v službe AD> |
Identifikátor SID obsiahnutý v novom rozšírení certifikátu používateľov sa nezhoduje s identifikátorom SID používateľov, čo znamená, že certifikát bol vydaný inému používateľovi.
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
Kdcsvc |
Identifikačné číslo udalosti |
41 49 (pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2) |
Text udalosti |
Centrum distribúcie kľúčov (KDC) narazilo na certifikát používateľa, ktorý bol platný, ale obsahoval iný identifikátor SID ako používateľ, ku ktorému bol priradený. V dôsledku toho požiadavka týkajúca sa certifikátu zlyhala. Ďalšie informácie nájdete v https://go.microsoft.cm/fwlink/?linkid=2189925. Používateľ: <hlavné meno> Identifikátor SID používateľa: <identifikátor SID overujúceho hlavného> Predmet certifikátu: <názov predmetu v> certifikátu Vydavateľ certifikátu:> FQDN vydavateľa < Sériové číslo certifikátu: <sériové číslo> certifikátu Odtlačok certifikátu: <odtlačok certifikátu> Identifikátor SID certifikátu: identifikátor SID <nájdený v novej> rozšírenia certifikátu |
Priradenia certifikátov
Správcovia domény môžu manuálne priradiť certifikáty používateľovi v službe Active Directory pomocou atribútu altSecurityIdentities objektu používateľov. Pre tento atribút existuje šesť podporovaných hodnôt, pričom tri priradenia sa považujú za slabé (nezabezpečené) a ďalšie tri sa považujú za silné. Vo všeobecnosti sa typy mapovania považujú za silné, ak sú založené na identifikátoroch, ktoré nie je možné opakovane použiť. Preto sa všetky typy mapovania založené na používateľských menách a e-mailových adresách považujú za slabé.
Priradenie |
Príklad |
Typ |
Poznámky: |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Slabý |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Slabý |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Slabý |
E-mailová adresa |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Silný |
Odporúčané |
X509SKI |
"X509:<SKI>123456789abcdef" |
Silný |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Silný |
Ak zákazníci nemôžu opätovne odoslať certifikáty s novým rozšírením SID, odporúčame vytvoriť manuálne priradenie pomocou niektorého zo silných priradení popísaných vyššie. Môžete to urobiť pridaním príslušného reťazca priradenia k atribútu altSecurityIdentities používateľov v službe Active Directory.
Poznámka Niektoré polia, ako napríklad Vydavateľ, Predmet a Sériové číslo, sa vykazujú vo formáte forward. Tento formát je potrebné vrátiť, keď pridáte reťazec priradenia do atribútu altSecurityIdentities . Ak chcete napríklad pridať priradenie X509IssuerSerialNumber používateľovi, vyhľadajte polia Vydavateľ a Sériové číslo certifikátu, ktoré chcete priradiť používateľovi. Pozrite si ukážkový výstup nižšie.
-
Vydavateľ: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B0000000011AC000000012
Potom aktualizujte atribút altSecurityIdentities používateľa v službe Active Directory nasledujúcim reťazcom:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"
Ak chcete aktualizovať tento atribút pomocou prostredia Powershell, môžete použiť príkaz nižšie. Majte na pamäti, že predvolene majú povolenie na aktualizáciu tohto atribútu iba správcovia domény.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Všimnite si, že keď obrátite serialnumber, musíte zachovať poradie bajtov. To znamená, že zvrátiť SerialNumber "A1B2C3" by malo mať za následok reťazec "C3B2A1" a nie "3C2B1A". Ďalšie informácie nájdete v téme HowTo: Priradenie používateľa k certifikátu prostredníctvom všetkých metód dostupných v atribúte altSecurityIdentities.
Časová os pre aktualizácie Windowsu
Dôležité Fáza povolenia sa začína aktualizáciami z 11. apríla 2023 pre Windows, ktoré budú ignorovať nastavenie kľúča databázy Registry v režime vypnutia.
Po nainštalovaní aktualizácií Windowsu z 10. mája 2022 budú zariadenia v režime kompatibility. Ak je možné certifikát výrazne priradiť používateľovi, overovanie sa uskutoční podľa očakávaní. Ak môže byť certifikát priradený používateľovi len slabo, overovanie sa uskutoční podľa očakávaní. Upozornenie sa však zapíše do denníka, pokiaľ certifikát nie je starší ako používateľ. Ak je certifikát starší ako kľúč používateľa a kľúč na spätnú aktualizáciu certifikátu nie je prítomný alebo sa rozsah nachádza mimo náhrady za spätnú aktualizáciu, overovanie zlyhá a zapíše sa chybové hlásenie. Ak je nakonfigurovaný kľúč backdating certifikátu databázy Registry, do denníka udalostí sa zapíše hlásenie s upozornením, ak dátumy spadajú do spätnej kompenzácie.
Po nainštalovaní aktualizácií Windowsu z 10. mája 2022 sledujte všetky upozornenia, ktoré sa môžu zobraziť po mesiaci alebo viacerých verziách. Ak sa nezobrazujú žiadne upozornenia, dôrazne odporúčame zapnúť režim úplného vynútenia vo všetkých radičoch domény pomocou overovania na základe certifikátu. Na povolenie režimu úplného vynútenia môžete použiť kľúč databázy Registry KDC .
Pokiaľ sa neaktualizuje na režim auditu alebo režim presadzovania pomocou kľúča databázy Registry StrongCertificateBindingEnforcement , radiče domény sa po nainštalovaní aktualizácie zabezpečenia windowsu z februára 2025 presunú do režimu úplného presadzovania. Overovanie sa zamietne, ak certifikát nie je možné pevne priradiť. Možnosť návratu do režimu kompatibility zostane do septembra 2025. Po tomto dátume už nebude kľúč databázy Registry StrongCertificateBindingEnforcement podporovaný
Ak overovanie na základe certifikátu využíva slabé priradenie, ktoré nie je možné presunúť z prostredia, radiče domény môžete umiestniť do režimu vypnutia pomocou nastavenia kľúča databázy Registry. Spoločnosť Microsoft túto možnosť neodporúča a 11. apríla 2023 odstránime režim vypnutia.
Po nainštalovaní aktualizácií Windowsu z 13. februára 2024 alebo novšej verzie na Serveri 2019 a novších verziách a podporovaných klientoch s nainštalovanou voliteľnou funkciou RSAT sa priraďovanie certifikátov používateľov služby Active Directory & Počítače predvolene vyberie pomocou funkcie X509IssuerSerialNumber namiesto slabého mapovania pomocou nástroja X509IssuerSubject. Nastavenie môžete podľa potreby aj naďalej meniť.
Riešenie problémov
-
Pomocou prevádzkového denníka protokolu Kerberos v príslušnom počítači určte, ktorý radič domény zlyháva pri prihlasovaní. Prejdite na Zobrazovač udalostí denníky aplikácií a služieb>\Microsoft \Windows\Security-Kerberos\Operational.
-
Vyhľadajte príslušné udalosti v denníku systémových udalostí v radiči domény, proti ktorému sa konto pokúša overiť.
-
Ak je certifikát starší ako konto, znova ho uložte alebo pridajte zabezpečené priradenie altSecurityIdentities ku kontu (pozri priradenia certifikátov).
-
Ak certifikát obsahuje rozšírenie SID, overte, či sa identifikátor SID zhoduje s kontom.
-
Ak sa certifikát používa na overenie niekoľkých rôznych kont, každé konto bude potrebovať samostatné priradenie altSecurityIdentities .
-
Ak certifikát nemá zabezpečené priradenie ku kontu, pridajte doménu alebo ju ponechajte v režime kompatibility, kým ju nebude možné pridať.
Príkladom priradenia certifikátov TLS je použitie intranetovej webovej aplikácie služby IIS.
-
Po inštalácii ochrany CVE-2022-26391 a CVE-2022-26923 používajú tieto scenáre protokol Kerberos Certificate Service For User (S4U) na predvolené mapovanie certifikátov a overovanie.
-
V protokole S4U certifikátu Kerberos toky požiadavky overovania z aplikačného servera do radiča domény, nie z klienta do radiča domény. Preto sa relevantné udalosti budú nachádzať na aplikačnom serveri.
Informácie o kľúči databázy Registry
Po inštalácii ochrany CVE-2022-26931 a CVE-2022-26923 v aktualizáciách Windowsu vydaných od 10. mája 2022 do 10. septembra 2025 alebo novšej verzie sú k dispozícii nasledujúce kľúče databázy Registry.
Tento kľúč databázy Registry nebude podporovaný po inštalácii aktualizácií pre Windows vydaných v septembri 2025 alebo po jeho skončení.
Dôležité
Použitie tohto kľúča databázy Registry je dočasné alternatívne riešenie pre prostredia, ktoré ho vyžadujú a musia byť vykonané opatrne. Použitie tohto kľúča databázy Registry znamená pre vaše prostredie nasledovné:
-
Tento kľúč databázy Registry funguje len v režime kompatibility, ktorý sa začína aktualizáciami vydanými 10. mája 2022.
-
Tento kľúč databázy Registry nebude podporovaný po inštalácii aktualizácií pre Windows vydaných 10. septembra 2025.
-
Zisťovanie a overovanie rozšírení SID používané vynútením väzby silného certifikátu závisí od kľúča databázy Registry KDC UseSubjectAltName . Rozšírenie SID sa použije, ak hodnota databázy Registry neexistuje alebo ak je hodnota nastavená na hodnotu 0x1. Rozšírenie SID sa nepoužije, ak useSubjectAltName existuje a hodnota je nastavená na 0x0.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Hodnota |
StrongCertificateBindingEnforcement |
Typ údajov |
REG_DWORD |
Údaje |
1 – Skontroluje, či existuje silné priradenie certifikátu. Ak áno, overovanie je povolené. V opačnom prípade bude KDC kontrolovať, či certifikát obsahuje nové rozšírenie SID a overiť ho. Ak toto rozšírenie nie je k dispozícii, overovanie je povolené, ak používateľské konto predchádza certifikátu. 2 – Skontroluje, či existuje silné priradenie certifikátov. Ak áno, overovanie je povolené. V opačnom prípade bude KDC kontrolovať, či certifikát obsahuje nové rozšírenie SID a overiť ho. Ak toto rozšírenie nie je k dispozícii, overovanie sa zamietne. 0 – Zakáže silnú kontrolu mapovania certifikátov. Neodporúča sa to, pretože tým sa zakážu všetky vylepšenia zabezpečenia. Ak nastavíte túto hodnotu na hodnotu 0, musíte nastaviť aj položku CertificateMappingMethods na 0x1F podľa popisu v časti kľúča databázy Registry Schannel nižšie, aby bolo overenie na základe certifikátu počítača úspešné. |
Vyžaduje sa reštartovanie? |
Nie |
Keď serverová aplikácia vyžaduje overenie klienta, Schannel sa automaticky pokúsi priradiť certifikát, ktorý klient TLS dodáva k používateľskému kontu. Môžete overiť používateľov, ktorí sa prihlasujú pomocou certifikátu klienta, vytvorením priradení, ktoré súvisia s informáciami o certifikáte s používateľským kontom Windowsu. Po vytvorení a povolení priradenia certifikátu zakaždým, keď klient zobrazí certifikát klienta, serverová aplikácia automaticky priradí daného používateľa k príslušnému používateľskému kontu Systému Windows.
Kanál Schannel sa pokúsi priradiť každú metódu priradenia certifikátu, ktorú ste povolili, kým jeden z nich neuspeje. Kanál Schannel sa najskôr pokúsi priradiť priradenia Služby pre používateľa k sebe (S4U2Self). Priradenia certifikátov Predmet/Vydavateľ, Vydavateľ a UPN sa teraz považujú za slabé a predvolene boli zakázané. Bitová maska súčtu vybratých možností určuje zoznam dostupných metód priradenia certifikátov.
Predvolená hodnota kľúča databázy Registry SChannel bola 0x1F a teraz je 0x18. Ak sa vyskytnú zlyhania overovania v serverových aplikáciách založených na kanáli, odporúčame vykonať test. Pridajte alebo upravte hodnotu kľúča databázy Registry CertificateMappingMethods na radiči domény a nastavte ju na 0x1F a zistite, či sa tým problém vyriešil. Ďalšie informácie nájdete v denníkoch systémových udalostí v radiči domény, kde nájdete všetky chyby uvedené v tomto článku. Majte na pamäti, že zmena hodnoty kľúča databázy Registry SChannel späť na predchádzajúcu predvolenú hodnotu (0x1F) sa vráti k používaniu slabých metód priradenia certifikátov.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Hodnota |
CertificateMappingMethods |
Typ údajov |
DWORD |
Údaje |
0x0001 – priradenie certifikátu predmetu alebo vydavateľa (slabé – predvolene vypnuté) 0x0002 – priradenie certifikátu vydavateľa (slabé – predvolene vypnuté) 0x0004 – priradenie certifikátov hlavného používateľa (slabé – predvolene vypnuté) 0x0008 – priradenie certifikátu S4U2Self (silné) 0x0010 - S4U2Self explicitné priradenie certifikátu (strong) |
Vyžaduje sa reštartovanie? |
Nie |
Ďalšie zdroje a podpora nájdete v časti Ďalšie zdroje.
Po inštalácii aktualizácií s adresou CVE-2022-26931 a CVE-2022-26923 môže overenie zlyhať v prípadoch, keď sú používateľské certifikáty staršie ako čas vytvorenia používateľov. Tento kľúč databázy Registry umožňuje úspešné overovanie pri používaní slabých priradení certifikátov vo vašom prostredí a čas vytvorenia certifikátu je pred časom vytvorenia používateľa v rámci nastaveného rozsahu. Tento kľúč databázy Registry neovplyvňuje používateľov ani počítače so silnými priradeniami certifikátov, pretože čas vytvorenia certifikátu a čas vytvorenia používateľa nie sú začiarknuté so silnými priradeniami certifikátov. Tento kľúč databázy Registry nemá žiadny vplyv, keď je položka StrongCertificateBindingEnforcement nastavená na hodnotu 2.
Použitie tohto kľúča databázy Registry je dočasné alternatívne riešenie pre prostredia, ktoré ho vyžadujú a musia byť vykonané opatrne. Použitie tohto kľúča databázy Registry znamená pre vaše prostredie nasledovné:
-
Tento kľúč databázy Registry funguje len v režime kompatibility , ktorý sa začína aktualizáciami vydanými 10. mája 2022. Overovanie bude povolené v rámci posunu kompenzácie zálohovania, ale upozornenie denníka udalostí sa zapíše do denníka pre slabú väzbu.
-
Povolenie tohto kľúča databázy Registry umožňuje overenie používateľa v prípade, že čas vytvorenia certifikátu je pred časom vytvorenia používateľa v rámci nastaveného rozsahu ako slabé priradenie. Slabé priradenia nebudú podporované po inštalácii aktualizácií pre Windows vydaných v septembri 2025 alebo po jeho skončení.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Hodnota |
CertificateBackdatingCompensation |
Typ údajov |
REG_DWORD |
Údaje |
Hodnoty alternatívneho riešenia v približných rokoch:
Poznámka: Ak poznáte životnosť certifikátov vo vašom prostredí, nastavte tento kľúč databázy Registry na o niečo dlhšie ako životnosť certifikátu. Ak nepoznáte životnosť certifikátov pre vaše prostredie, nastavte tento kľúč databázy Registry na 50 rokov. Predvolene sa nastaví na 10 minút, keď tento kľúč nie je prítomný, čo zodpovedá certifikačným službám Active Directory (ADCS). Maximálna hodnota je 50 rokov (0x5E0C89C0). Tento kľúč nastaví časový rozdiel v sekundách, ktorý bude centrum distribúcie kľúčov (KDC) ignorovať medzi časom vydania overovacieho certifikátu a časom vytvorenia konta pre kontá používateľa alebo počítača. Dôležité Tento kľúč databázy Registry nastavte iba vtedy, ak ho vaše prostredie vyžaduje. Pomocou tohto kľúča databázy Registry sa vypína kontrola zabezpečenia. |
Vyžaduje sa reštartovanie? |
Nie |
Podnikové certifikačné autority
Podnikové certifikačné autority (CA) začnú predvolene pridávať nové nekritické rozšírenie s identifikátorom objektu (OID) (1.3.6.1.4.1.311.25.2) vo všetkých certifikátoch vydaných v online šablónach po inštalácii aktualizácie Windowsu z 10. mája 2022. Pridanie tohto rozšírenia môžete zastaviť nastavením 0x00080000 bitu v hodnote msPKI-Enrollment-Flag príslušnej šablóny.
Spustením nasledujúceho príkazu certutil vylúčite certifikáty používateľskej šablóny zo získania nového rozšírenia.
-
Prihláste sa na server certifikačnej autority alebo do klienta Windows 10 pripojeného k doméne pomocou podnikového správcu alebo ekvivalentných poverení.
-
Otvorte príkazový riadok a vyberte položku Spustiť ako správca.
-
Spustite certutil -dstemplate používateľa msPKI-Enrollment-Flag +0x00080000.
Vypnutím pridania tohto rozšírenia sa odstráni ochrana poskytovaná novým rozšírením. Zvážte vykonanie tohto postupu až po vykonaní niektorého z týchto krokov:
-
Potvrdzujete, že príslušné certifikáty nie sú prijateľné pre kryptografiu verejných kľúčov pre počiatočné overovanie (PKINIT) v overovaní protokolu Kerberos v KDC
-
Príslušné certifikáty majú nakonfigurované iné silné priradenia certifikátov
Prostredia, ktoré majú nasadenia iné ako microsoft ca, nebudú chránené pomocou nového rozšírenia SID po inštalácii aktualizácie Windowsu z 10. mája 2022. Ovplyvnení zákazníci by mali spolupracovať s príslušnými dodávateľmi certifikačnej autority na riešení tohto problému alebo by mali zvážiť použitie iných silných priradení certifikátov popísaných vyššie.
Ďalšie zdroje a podpora nájdete v časti Ďalšie zdroje.
Najčastejšie otázky
Nie, obnovenie nie je povinné. Certifikačná autorita bude odosielať v režime kompatibility. Ak chcete silné priradenie pomocou rozšírenia ObjectSID, budete potrebovať nový certifikát.
V aktualizácii Windowsu z 11. februára 2025 sa zariadenia, ktoré ešte nie sú v exekúcii (hodnota databázy Registry StrongCertificateBindingEnforcement je nastavená na hodnotu 2), presunú na možnosť Vynútenie. Ak je overenie zamietnuté, zobrazí sa identifikácia udalosti 39 (alebo identifikácia udalosti 41 pre Windows Server 2008 R2 SP1 a Windows Server 2008 SP2). V tejto fáze budete mať možnosť nastaviť hodnotu kľúča databázy Registry späť na hodnotu 1 (režim kompatibility).
V aktualizácii Windowsu z 10. septembra 2025 už nebude podporovaná hodnota databázy Registry StrongCertificateBindingEnforcement .
Ďalšie zdroje informácií
Ďalšie informácie o mapovaní certifikátov klienta TLS nájdete v nasledujúcich článkoch: