Ändra datum |
Beskrivning |
---|---|
9/10/2024 |
Ändrade beskrivningen av fullständigt tvingande läge i avsnittet "Tidsinställning för Windows-uppdateringar" för att visa nya datum. 11 februari 2025 flyttar enheter till tvingande läge men lämnar stöd för att gå tillbaka till kompatibilitetsläget. Support för fullständiga registernycklar upphör nu 10 september 2025. |
7/5/2024 |
Information om SID-tillägg till KDC-registernyckeln (Key Distribution Center) har lagts till i avsnittet "Information om registernyckeln". |
2023-10-10 |
Lade till information om standardändringar för starka mappningar under "Tidslinje för Windows Uppdateringar" |
6/30/2023 |
Ändrade datumet för fullständigt tillämpningsläge från 14 november 2023 till 11 februari 2025 (dessa datum angavs tidigare som 19 maj 2023 till 14 november 2023). |
1/26/2023 |
Borttagning av inaktiverat läge från 14 februari 2023 till 11 april 2023 har ändrats |
Sammanfattning
CVE-2022-34691,CVE-2022-26931 och CVE-2022-26923 åtgärdar en säkerhetsrisk med ökad behörighet som kan uppstå när Kerberos Key Distribution Center (KDC) underhåller en certifikatbaserad autentiseringsbegäran. Före säkerhetsuppdateringen den 10 maj 2022 stod certifikatbaserad autentisering inte för ett dollartecken ($) i slutet av ett datornamn. Detta tillät att relaterade certifikat emuleras (förfalskas) på olika sätt. Konflikter mellan UPN (User Principal Names) och sAMAccountName medförde dessutom andra förfalskningsrisker som vi också åtgärdar med den här säkerhetsuppdateringen.
Vidta åtgärder
Följ anvisningarna för certifikatbaserad autentisering för att skydda miljön:
-
Uppdatera alla servrar som kör Active Directory Certificate Services och Windows-domänkontrollanter som hanterar certifikatbaserad autentisering med uppdateringen från 10 maj 2022 (se Kompatibilitetsläge). Uppdateringen från 10 maj 2022 innehåller granskningshändelser som identifierar certifikat som inte är kompatibla med läget Fullständig tillämpning.
-
Om inga granskningshändelseloggar skapas på domänkontrollanter under en månad efter att uppdateringen har installerats fortsätter du med att aktivera läget Fullständig tillämpning på alla domänkontrollanter. Senast den 11 februari 2025 kommer alla enheter att uppdateras till läget Fullständig tillämpning. Om ett certifikat i det här läget misslyckas med de starka (säkra) kartvillkoren (se Certifikatmappningar) nekas autentisering. Alternativet att gå tillbaka till kompatibilitetsläget finns dock kvar till den 10 september 2025.
Granska händelser
Windows-uppdateringen från 10 maj 2022 lägger till följande händelseloggar.
Inga starka certifikatmappningar hittades och certifikatet hade inte det nya SID-tillägg (Security Identifier) som KDC kunde verifiera.
Händelselogg |
System |
Händelsetyp |
Varning om KDC är i kompatibilitetsläge Fel om KDC är i tvingande läge |
Händelsekälla |
Kdcsvc |
Händelse-ID |
39 41 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2) |
Händelsetext |
Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som inte kunde mappas till en användare på ett starkt sätt (till exempel via explicit mappning, mappning av nyckelförtroende eller sid). Sådana certifikat bör antingen ersättas eller mappas direkt till användaren genom explicit mappning. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2189925. Användare: <huvudnamn> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <utfärdaren fullständigt kvalificerat domännamn (FQDN)> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate> |
Certifikatet utfärdades till användaren innan användaren fanns i Active Directory och ingen stark mappning kunde hittas. Händelsen loggas bara när KDC är i kompatibilitetsläge.
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
Kdcsvc |
Händelse-ID |
40 48 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2 |
Händelsetext |
Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som inte kunde mappas till en användare på ett starkt sätt (till exempel via explicit mappning, mappning av nyckelförtroende eller sid). Certifikatet fördaterade också användaren som det mappade till, så det avvisades. Mer information finns i https://go.microsoft.com/fwlink/?linkid=2189925. Användare: <huvudnamn> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <-utfärdaren FQDN-> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate> Certifikatutfärdningstid: <FILETIME för certifikat> Skapandetid för konto: <FILETIME för huvudobjekt i AD-> |
Sid som finns i den nya tillägget av användarcertifikatet överensstämmer inte med användarnas SID, vilket innebär att certifikatet har utfärdats till en annan användare.
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
Kdcsvc |
Händelse-ID |
41 49 (För Windows Server 2008 R2 SP1 och Windows Server 2008 SP2) |
Händelsetext |
Nyckeldistributionscentret (KDC) påträffade ett användarcertifikat som var giltigt men som innehöll ett annat SID än den användare som det mappade till. Begäran om certifikatet misslyckades därför. Mer information finns i https://go.microsoft.cm/fwlink/?linkid=2189925. Användare: <huvudnamn> Användar-SID: <SID för det autentiserande> Certifikatämne: <ämnesnamn i certifikatet> Certifikatutfärdare: <-utfärdaren FQDN-> Certifikatserienummer: <serienummer för certifikat> Certificate Thumbprint: <Thumbprint av Certificate> Certifikat-SID: <SID som finns i det nya> |
Certifikatmappningar
Domänadministratörer kan manuellt mappa certifikat till en användare i Active Directory med hjälp av altSecurityIdentities-attributet för users Object. Det finns sex värden som stöds för det här attributet, med tre mappningar som anses vara svaga (osäkra) och de andra tre som anses vara starka. I allmänhet anses mappningstyper vara starka om de baseras på identifierare som du inte kan återanvända. Därför anses alla karttyper som baseras på användarnamn och e-postadresser vara svaga.
Kartläggning |
Exempel |
Typ |
Anmärkningar |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Svag |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Svag |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Svag |
E-postadress |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Stark |
Rekommenderas |
X509SKI |
"X509:<SKI>123456789abcdef" |
Stark |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Stark |
Om kunderna inte kan återutge certifikat med det nya SID-tillägget rekommenderar vi att du skapar en manuell mappning med hjälp av någon av de starka mappningarna som beskrivs ovan. Det kan du göra genom att lägga till lämplig mappningssträng till ett altSecurityIden-attribut för användare i Active Directory.
Not Vissa fält, till exempel Utfärdaren, Ämne och Serienummer, rapporteras i formatet "vidarebefordran". Du måste vända det här formatet när du lägger till mappningssträngen i attributet altSecurityIdentities . Om du till exempel vill lägga till X509IssuerSerialNumber-mappningen till en användare söker du i fälten "Utfärdare" och "Serienummer" för certifikatet som du vill mappa till användaren. Se exempelresultatet nedan.
-
Utfärdare: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B000000011AC0000000012
Uppdatera sedan användarens altSecurityIdentities-attribut i Active Directory med följande sträng:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"
Om du vill uppdatera det här attributet med Powershell kan du använda kommandot nedan. Kom ihåg att som standard är det bara domänadministratörer som har behörighet att uppdatera det här attributet.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}
Observera att när du omvänder SerialNumber måste du behålla byteordningen. Det innebär att om du återställer SerialNumber "A1B2C3" ska strängen "C3B2A1" och inte "3C2B1A". Mer information finns i HowTo: Mappa en användare till ett certifikat via alla metoder som är tillgängliga i attributet altSecurityIdentities.
Tidslinje för Windows-uppdateringar
Viktigt! Aktiveringsfasen börjar med uppdateringarna för Windows den 11 april 2023, som ignorerar registernyckelinställningen Inaktiverat läge.
När du har installerat Windows-uppdateringarna från 10 maj 2022 är enheterna i kompatibilitetsläge. Om ett certifikat kan mappas starkt till en användare sker autentiseringen som förväntat. Om ett certifikat bara kan mappas svagt till en användare sker autentiseringen som förväntat. Ett varningsmeddelande loggas dock om inte certifikatet är äldre än användaren. Om certifikatet är äldre än registernyckeln för säkerhetskopiering av certifikat eller om området ligger utanför kompensationen för säkerhetskopieringen misslyckas autentiseringen och ett felmeddelande loggas. Om registernyckeln för säkerhetskopiering av certifikat har konfigurerats loggas ett varningsmeddelande i händelseloggen om datumen ligger inom kompensationen för säkerhetskopiering.
När du har installerat Windows-uppdateringarna från 10 maj 2022 watch för alla varningsmeddelanden som kan visas efter en månad eller mer. Om det inte finns några varningsmeddelanden rekommenderar vi starkt att du aktiverar läget Fullständig tillämpning för alla domänkontrollanter med certifikatbaserad autentisering. Du kan använda KDC-registernyckeln för att aktivera fullständigt tvingande läge.
Om vi inte har uppdaterat till det här läget tidigare uppdaterar vi alla enheter till läget Fullständig tillämpning senast den 11 februari 2025 eller senare. Om ett certifikat inte kan mappas starkt nekas autentisering. Alternativet för att återgå till kompatibilitetsläget finns kvar till den 10 september 2025. Efter detta datum stöds inte längre registervärdet StrongCertificateBindingEnforcement.
Om certifikatbaserad autentisering är beroende av en svag mappning som du inte kan flytta från miljön kan du placera domänkontrollanter i inaktiverat läge med hjälp av en registernyckelinställning. Microsoft rekommenderar inte detta och vi tar bort inaktiverat läge den 11 april 2023.
När du har installerat Windows-uppdateringarna från 13 februari 2024 eller senare på Server 2019 och senare samt klienter som stöds med den valfria RSAT-funktionen installerad, kommer certifikatmappningen i Active Directory-användare & datorer att välja stark mappning med X509IssuerSerialNumber i stället för svag mappning med hjälp av X509IssuerSubject. Du kan fortfarande ändra inställningen efter behov.
Felsökning
-
Använd Kerberos-loggen på den relevanta datorn för att avgöra vilken domänkontrollant som misslyckas med inloggningen. Gå till Loggboken > program- och tjänstloggar\Microsoft \Windows\Security-Kerberos\Operational.
-
Leta efter relevanta händelser i systemhändelseloggen på domänkontrollanten som kontot försöker autentisera mot.
-
Om certifikatet är äldre än kontot ska du återutge certifikatet eller lägga till en säker altSecurityIden-enhet som mappas till kontot (se Certifikatmappningar).
-
Om certifikatet innehåller ett SID-tillägg kontrollerar du att SID matchar kontot.
-
Om certifikatet används för att autentisera flera olika konton behöver varje konto en separat altSecurityIdentities-mappning .
-
Om certifikatet inte har någon säker mappning till kontot lägger du till en eller lämnar domänen i kompatibilitetsläge tills en kan läggas till.
Ett exempel på TLS-certifikatmappning är att använda ett IIS-intranätwebbprogram.
-
När du har installerat CVE-2022-26391 - och CVE-2022-26923-skydd använder dessa scenarier Kerberos S4U-protokoll (Certificate Service For User) för certifikatmappning och autentisering som standard.
-
I Kerberos Certificate S4U-protokollet flödar autentiseringsbegäran från programservern till domänkontrollanten, inte från klienten till domänkontrollanten. Relevanta händelser kommer därför att finnas på programservern.
Registernyckelinformation
När du har installerat CVE-2022-26931- och CVE-2022-26923-skydden i Windows-uppdateringarna som släpptes mellan 10 maj 2022 och 10 september 2025, eller senare, finns följande registernycklar tillgängliga.
Den här registernyckeln ändrar KDC:s tillämpningsläge till inaktiverat läge, kompatibilitetsläge eller fullständigt tvingande läge.
Viktigt
Att använda den här registernyckeln är en tillfällig lösning för miljöer som kräver det och som måste göras med försiktighet. Om du använder den här registernyckeln innebär det följande för din miljö:
-
Den här registernyckeln fungerar bara i kompatibilitetsläge från och med uppdateringar som släpptes 10 maj 2022.
-
Den här registernyckeln stöds inte efter installation av uppdateringar för Windows som släpptes 10 september 2025.
-
Identifiering och verifiering av SID-tillägg som används av Strong Certificate Binding Enforcement har ett beroende av KDC-registernyckeln UseSubjectAltName-värdet . SID-tillägget används om registervärdet inte finns eller om värdet är inställt på ett 0x1. SID-tillägget används inte om UseSubjectAltName finns och värdet är inställt på 0x0.
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Värde |
StrongCertificateBindingEnforcement |
Datatyp |
REG_DWORD |
Data |
1 – Kontrollerar om det finns en stark certifikatmappning. Om ja är autentisering tillåten. Annars kontrollerar KDC om certifikatet har det nya SID-tillägget och verifierar det. Om det här tillägget inte finns tillåts autentisering om användarkontot föregår certifikatet. 2 – Kontrollerar om det finns en stark certifikatmappning. Om ja är autentisering tillåten. Annars kontrollerar KDC om certifikatet har det nya SID-tillägget och verifierar det. Om det här tillägget inte finns nekas autentisering. 0 – Inaktiverar kontrollen av stark certifikatmappning. Rekommenderas inte eftersom detta inaktiverar alla säkerhetsförbättringar. Om du anger värdet 0 måste du också ange att CertificateMappingMethods ska 0x1F enligt beskrivningen i avsnittet Schannel-registernyckeln nedan för att datorcertifikatbaserad autentisering ska lyckas.. |
Omstart Krävs? |
Nej |
När ett serverprogram kräver klientautentisering försöker Schannel automatiskt mappa certifikatet som TLS-klienten tillhandahåller ett användarkonto. Du kan autentisera användare som loggar in med ett klientcertifikat genom att skapa mappningar som relaterar certifikatinformationen till ett Windows-användarkonto. När du har skapat och aktiverat en certifikatmappning associeras den användaren automatiskt med rätt Windows-användarkonto varje gång en klient presenterar ett klientcertifikat.
Schannel försöker mappa varje certifikatmappningsmetod som du har aktiverat tills en lyckas. Schannel försöker mappa S4U2Self-mappningarna först. Mappningarna ämne/utfärdare, utfärdare och UPN-certifikat anses nu vara svaga och har inaktiverats som standard. Den bitmaskerade summan av de valda alternativen bestämmer listan över tillgängliga certifikatmappningsmetoder.
Standardinställningen för SChannel-registernyckeln var 0x1F och är nu 0x18. Om du får autentiseringsfel med Schannel-baserade serverprogram föreslår vi att du utför ett test. Lägg till eller ändra registernyckelvärdet CertificateMappingMethods på domänkontrollanten och ange 0x1F och se om det löser problemet. Mer information finns i systemhändelseloggarna på domänkontrollanten efter eventuella fel som anges i den här artikeln. Tänk på att om du ändrar tillbaka SChannel-registernyckelvärdet till föregående standardvärde (0x1F) återgår du till att använda svaga metoder för certifikatmappning.
Registerundernyckel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Värde |
CertificateMappingMethods |
Datatyp |
DWORD |
Data |
0x0001 – Mappning av certifikat för ämne/utfärdare (svag – inaktiverad som standard) 0x0002 – mappning av utfärdarcertifikat (svag – inaktiverad som standard) 0x0004 – MAPPNING av UPN-certifikat (svag – inaktiverad som standard) 0x0008 – S4U2Self certificate mapping (strong) 0x0010 – S4U2Self explicit certifikatmappning (stark) |
Omstart Krävs? |
Nej |
Mer resurser och support finns i avsnittet "Ytterligare resurser".
När du har installerat uppdateringar som adresserar CVE-2022-26931 och CVE-2022-26923 kan autentisering misslyckas i de fall där användarcertifikaten är äldre än när användarna skapar. Den här registernyckeln tillåter lyckad autentisering när du använder svaga certifikatmappningar i din miljö och certifikattiden är innan användaren skapar tid inom ett angivet intervall. Den här registernyckeln påverkar inte användare eller datorer med starka certifikatmappningar eftersom certifikattiden och tiden för att skapa användare inte kontrolleras med starka certifikatmappningar. Den här registernyckeln har ingen effekt när StrongCertificateBindingEnforcement är inställt på 2.
Att använda den här registernyckeln är en tillfällig lösning för miljöer som kräver det och som måste göras med försiktighet. Om du använder den här registernyckeln innebär det följande för din miljö:
-
Den här registernyckeln fungerar bara i kompatibilitetsläge från och med uppdateringar som släpptes 10 maj 2022. Autentisering tillåts inom kompensationsförskjutningen för säkerhetskopiering, men en händelseloggvarning loggas för den svaga bindningen.
-
Aktivering av den här registernyckeln tillåter autentisering av användare när certifikattiden är innan användaren skapar tid inom ett angivet intervall som en svag mappning. Svaga mappningar stöds inte efter installation av uppdateringar för Windows som släpptes 10 september 2025.
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Värde |
CertificateBackdatingCompensation |
Datatyp |
REG_DWORD |
Data |
Värden för lösning inom ungefärliga år:
Obs! Om du vet livslängden för certifikaten i din miljö anger du registernyckeln något längre än certifikatets livslängd. Om du inte känner till certifikatlivslängderna för din miljö anger du registernyckeln till 50 år. Standardvärdet är 10 minuter när den här nyckeln inte finns, vilket matchar Active Directory Certificate Services (ADCS). Det maximala värdet är 50 år (0x5E0C89C0). Den här nyckeln anger tidsskillnaden i sekunder som nyckeldistributionscentret (KDC) ignorerar mellan tiden för ett autentiseringscertifikatproblem och tiden då kontot skapades för användarkonton/datorkonton. Viktigt! Ange bara den här registernyckeln om miljön kräver det. Med den här registernyckeln inaktiveras en säkerhetskontroll. |
Omstart Krävs? |
Nej |
Enterprise Certificate Authorities
Enterprise Certificate Authorities (CA) börjar lägga till ett nytt icke-kritiskt tillägg med Objektidentifierare (OID) (1.3.6.1.4.1.311.25.2) som standard i alla certifikat som utfärdas mot onlinemallar när du har installerat Windows-uppdateringen från 10 maj 2022. Du kan stoppa tillägget av det här tillägget genom att ange den 0x00080000 biten i värdet msPKI-Enrollment-Flag för motsvarande mall.
Du kör följande certutil-kommando för att utesluta certifikat för användarmallen från att få det nya tillägget.
-
Logga in på en certifikatutfärdarserver eller en domänansluten Windows 10-klient med företagsadministratör eller motsvarande autentiseringsuppgifter.
-
Öppna en kommandotolk och välj kör som administratör.
-
Kör certutil -dstemplate användare msPKI-Enrollment-Flag +0x00080000.
Om du inaktiverar tillägget av det här tillägget tas skyddet från det nya tillägget bort. Överväg att göra detta endast efter något av följande:
-
Du bekräftar att motsvarande certifikat inte är acceptabla för Public Key Cryptography for Initial Authentication (PKINIT) i Kerberos Protocol-autentisering vid KDC
-
Motsvarande certifikat har andra starka certifikatmappningar konfigurerade
Miljöer som har icke-Microsoft CA-distributioner skyddas inte med det nya SID-tillägget efter installation av Windows-uppdateringen från 10 maj 2022. Berörda kunder bör arbeta med motsvarande leverantörer av certifikatutfärdare för att åtgärda detta eller överväga att använda andra starka certifikatmappningar som beskrivs ovan.
Mer resurser och support finns i avsnittet "Ytterligare resurser".
Vanliga frågor och svar
Nej, förnyelse krävs inte. Certifikat certifikatet levereras i kompatibilitetsläge. Om du vill ha en stark mappning med ObjectSID-tillägget behöver du ett nytt certifikat.
I Windows-uppdateringen från 11 februari 2025 flyttas enheter som inte redan är i tvingande ordning (StrongCertificateBindingEnforcement-registervärdet är inställt på 2) till Tvingande. Om autentisering nekas visas händelse-ID 39 (eller händelse-ID 41 för Windows Server 2008 R2 SP1 och Windows Server 2008 SP2). I det här skedet har du möjlighet att ange registernyckelvärdet till 1 (kompatibilitetsläge).
I Windows-uppdateringen från 10 september 2025 stöds inte längre registervärdet StrongCertificateBindingEnforcement .
Ytterligare resurser
Mer information om mappning av TLS-klientcertifikat finns i följande artiklar: