Tarihi değiştir |
Açıklama |
---|---|
10/24/2024 |
"Windows güncelleştirmeleri için Zaman Çizelgesi" bölümünün "Tam Zorlama modu" açıklamasındaki "Eylem gerçekleştir" bölümünün 2. adımındaki netlik için metin güncelleştirildi ve "Kayıt Defteri Anahtarı Bilgileri" bölümündeki "Anahtar Dağıtım Merkezi (KDC) Kayıt Defteri Anahtarı" ve "Sertifika Yedekleme Kayıt Defteri Anahtarı" konularının tarih bilgileri düzeltildi. |
9/10/2024 |
"Windows güncelleştirmeleri için zamanlama" bölümündeki Tam Zorlama modu açıklaması yeni tarihleri yansıtacak şekilde değiştirildi. 11 Şubat 2025, cihazları Zorlama moduna taşıyacak ancak Uyumluluk moduna geri dönmek için destek bırakacaktır. Tam kayıt defteri anahtarı desteği artık 10 Eylül 2025'de sona erecektir. |
7/5/2024 |
"Kayıt defteri anahtarı bilgileri" bölümünde Anahtar Dağıtım Merkezi (KDC) kayıt defteri anahtarına SID Uzantısı hakkında bilgi eklendi. |
10/10/2023 |
"Windows Güncelleştirmeler için Zaman Çizelgesi" altında Güçlü Eşlemeler Varsayılan Değişiklikleri hakkında bilgi eklendi |
6/30/2023 |
Tam Zorlama modu tarihi 14 Kasım 2023'ten 11 Şubat 2025'e değiştirildi (bu tarihler daha önce 19 Mayıs 2023 ile 14 Kasım 2023 olarak listeleniyordu). |
1/26/2023 |
Devre dışı modunun kaldırılması 14 Şubat 2023'ten 11 Nisan 2023'e değiştirildi |
Özet
CVE-2022-34691,CVE-2022-26931 ve CVE-2022-26923, Kerberos Anahtar Dağıtım Merkezi (KDC) sertifika tabanlı kimlik doğrulama isteğine hizmet ederken oluşabilecek ayrıcalık yükseltme güvenlik açığını giderir. 10 Mayıs 2022 güvenlik güncelleştirmesinde sertifika tabanlı kimlik doğrulaması, makine adının sonundaki dolar işaretini ($) hesaba eklemez. Bu, ilgili sertifikaların çeşitli yollarla öykünülmelerine (kimlik sahtekarlığına) izin verdi. Ayrıca, Kullanıcı Asıl Adları (UPN) ile sAMAccountName arasındaki çakışmalar, bu güvenlik güncelleştirmesi ile de ele aldığımız diğer öykünme (kimlik sahtekarlık) güvenlik açıklarını ortaya çıkarmıştı.
Harekete geçin
Ortamınızı korumak için sertifika tabanlı kimlik doğrulaması için aşağıdaki adımları tamamlayın:
-
10 Mayıs 2022 güncelleştirmesi ile sertifika tabanlı kimlik doğrulaması hizmeti veren Active Directory Sertifika Hizmetleri ve Windows etki alanı denetleyicileri çalıştıran tüm sunucuları güncelleştirin (bkz . Uyumluluk modu). 10 Mayıs 2022 güncelleştirmesi, Tam Zorlama moduyla uyumlu olmayan sertifikaları tanımlayan denetim olayları sağlar.
-
Güncelleştirmeyi yükledikten sonra bir ay boyunca etki alanı denetleyicilerinde hiçbir denetim olayı günlüğü oluşturulmazsa, tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmeye devam edin. Şubat 2025'e kadar StrongCertificateBindingEnforcement kayıt defteri anahtarı yapılandırılmazsa, etki alanı denetleyicileri Tam Zorlama moduna geçer. Aksi takdirde, kayıt defteri anahtarları Uyumluluk modu ayarı kabul edilmeye devam eder. Tam Zorlama modunda, bir sertifika güçlü (güvenli) eşleme ölçütlerini (bkz. Sertifika eşlemeleri) başarısız olursa, kimlik doğrulaması reddedilir. Ancak Uyumluluk moduna geri dönme seçeneği Eylül 2025'e kadar kalacaktır.
Olayları denetleme
10 Mayıs 2022 Windows güncelleştirmesi aşağıdaki olay günlüklerini ekler.
Güçlü sertifika eşlemeleri bulunamadı ve sertifikada KDC'nin doğrulayabildiği yeni güvenlik tanımlayıcısı (SID) uzantısı yoktu.
Olay Günlüğü |
Sistem |
Olay Türü |
KDC Uyumluluk modundaysa uyarı KDC Zorlama modundaysa hata |
Olay Kaynağı |
Kdcsvc |
Olay Kimliği |
39 41 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için) |
Olay Metni |
Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Bu tür sertifikaların değiştirilmesi veya açık eşleme yoluyla doğrudan kullanıcıyla eşlenmesi gerekir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: <Veren Tam Etki Alanı Adı (FQDN)> Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi |
Sertifika, kullanıcı Active Directory'de var olmadan önce kullanıcıya verildi ve güçlü eşleme bulunamadı. Bu olay yalnızca KDC Uyumluluk modunda olduğunda günlüğe kaydedilir.
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
Kdcsvc |
Olay Kimliği |
40 48 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için |
Olay Metni |
Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak bir kullanıcıyla güçlü bir şekilde eşlenemeyen bir kullanıcı sertifikasıyla karşılaştı (örneğin, açık eşleme, anahtar güven eşlemesi veya SID aracılığıyla). Sertifika, eşlendiği kullanıcıyı da önceden hazırlar, bu nedenle reddedilir. Daha fazla bilgi edinmek için bkz. https://go.microsoft.com/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: Veren FQDN> < Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi Sertifika Verme Zamanı: sertifika> FILETIME < Hesap Oluşturma Zamanı: AD>'da asıl nesnenin FILETIME < |
Kullanıcı sertifikasının yeni uzantısında yer alan SID, sertifikanın başka bir kullanıcıya verildiğini ima eden kullanıcı SID'sine uymuyor.
Olay Günlüğü |
Sistem |
Olay Türü |
Hata |
Olay Kaynağı |
Kdcsvc |
Olay Kimliği |
41 49 (Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için) |
Olay Metni |
Anahtar Dağıtım Merkezi (KDC), geçerli olan ancak eşlendiği kullanıcıdan farklı bir SID içeren bir kullanıcı sertifikasıyla karşılaştı. Sonuç olarak, sertifikayı içeren istek başarısız oldu. Daha fazla bilgi edinmek için bkz. https://go.microsoft.cm/fwlink/?linkid=2189925. Kullanıcı: <asıl adı> Kullanıcı SID'si: Kimlik doğrulama sorumlusu> <SID'si Sertifika Konusu: Sertifika> konu adı < Sertifika Veren: Veren FQDN> < Sertifika Seri Numarası: sertifika> seri numarası < Sertifika Parmak İzi: Sertifika> <Parmak İzi Sertifika SID'i: yeni Sertifika Uzantısı> bulunan <SID |
Sertifika eşlemeleri
Etki alanı yöneticileri, kullanıcılar Nesnesinin altSecurityIdentities özniteliğini kullanarak sertifikaları Active Directory'deki bir kullanıcıyla el ile eşleyebilir. Bu öznitelik için desteklenen altı değer vardır ve üç eşleme zayıf (güvensiz) olarak kabul edilir ve diğer üçü güçlü kabul edilir. Genel olarak, yeniden kullanamayacağınız tanımlayıcıları temel alan eşleme türleri güçlü kabul edilir. Bu nedenle, kullanıcı adlarını ve e-posta adreslerini temel alan tüm eşleme türleri zayıf kabul edilir.
Eşleme |
Örnek |
Tür |
Açıklamalar |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Zayıf |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Zayıf |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Zayıf |
E-Posta Adresi |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Kuvvetli |
Önerilen |
X509SKI |
"X509:<SKI>123456789abcdef" |
Kuvvetli |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Kuvvetli |
Müşteriler sertifikaları yeni SID uzantısıyla yeniden veremiyorsa, yukarıda açıklanan güçlü eşlemelerden birini kullanarak el ile eşleme oluşturmanızı öneririz. Bunu yapmak için Active Directory'deki bir users altSecurityIdentities özniteliğine uygun eşleme dizesini ekleyebilirsiniz.
Not Veren, Konu ve Seri Numarası gibi bazı alanlar "ileri" biçimde bildirilir. Eşleme dizesini altSecurityIdentities özniteliğine eklerken bu biçimi tersine çevirmelisiniz. Örneğin, bir kullanıcıya X509IssuerSerialNumber eşlemesini eklemek için, kullanıcıya eşlemek istediğiniz sertifikanın "Veren" ve "Seri Numarası" alanlarını arayın. Aşağıdaki örnek çıkışa bakın.
-
Veren: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B0000000011AC0000000012
Ardından, kullanıcının Active Directory'deki altSecurityIdentities özniteliğini aşağıdaki dizeyle güncelleştirin:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"
Bu özniteliği PowerShell kullanarak güncelleştirmek için aşağıdaki komutu kullanabilirsiniz. Varsayılan olarak yalnızca etki alanı yöneticilerinin bu özniteliği güncelleştirme iznine sahip olduğunu unutmayın.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}
SerialNumber değerini ters çevirdiğinizde bayt sırasını korumanız gerektiğini unutmayın. Bu, "A1B2C3" SerialNumber'ı geri döndürmenin "3C2B1A" değil "C3B2A1" dizesiyle sonuçlanması gerektiği anlamına gelir. Daha fazla bilgi için bkz . HowTo: altSecurityIdentities özniteliğinde bulunan tüm yöntemler aracılığıyla kullanıcıyı bir sertifikayla eşleme.
Windows güncelleştirmeleri için zaman çizelgesi
Önemli Etkinleştirme Aşaması, Windows için 11 Nisan 2023 güncelleştirmeleriyle başlar ve Devre dışı modu kayıt defteri anahtarı ayarını yoksayar.
10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra cihazlar Uyumluluk modunda olacaktır. Bir sertifika bir kullanıcıyla güçlü bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Bir sertifika yalnızca bir kullanıcıyla zayıf bir şekilde eşlenebiliyorsa, kimlik doğrulaması beklendiği gibi gerçekleşir. Ancak, sertifika kullanıcıdan eski olmadığı sürece bir uyarı iletisi günlüğe kaydedilir. Sertifika kullanıcıdan eskiyse ve Sertifika Yedekleme kayıt defteri anahtarı yoksa veya aralık yedeklenen tazminatın dışındaysa, kimlik doğrulaması başarısız olur ve bir hata iletisi günlüğe kaydedilir. Sertifika Yedekleme kayıt defteri anahtarı yapılandırıldıysa, tarihler yedekleme telafisi içinde yer alırsa olay günlüğüne bir uyarı iletisi kaydeder.
10 Mayıs 2022 Windows güncelleştirmelerini yükledikten sonra, bir ay veya daha fazla süre sonra görünebilecek tüm uyarı iletileri için watch. Uyarı iletisi yoksa, sertifika tabanlı kimlik doğrulaması kullanarak tüm etki alanı denetleyicilerinde Tam Zorlama modunu etkinleştirmenizi kesinlikle öneririz. Tam Zorlama modunu etkinleştirmek için KDC kayıt defteri anahtarını kullanabilirsiniz.
Daha önce StrongCertificateBindingEnforcement kayıt defteri anahtarı kullanılarak Denetim moduna veya Zorlama moduna güncelleştirilmediği sürece, Şubat 2025 Windows güvenlik güncelleştirmesi yüklendiğinde etki alanı denetleyicileri Tam Zorlama moduna geçer. Sertifika güçlü bir şekilde eşlenemiyorsa kimlik doğrulaması reddedilir. Uyumluluk moduna geri dönme seçeneği Eylül 2025'e kadar kalacaktır. Bu tarihten sonra StrongCertificateBindingEnforcement kayıt defteri anahtarı artık desteklenmeyecektir
Sertifika tabanlı kimlik doğrulaması, ortamdan taşıyamayacağınız zayıf bir eşlemeye dayanıyorsa, bir kayıt defteri anahtarı ayarı kullanarak etki alanı denetleyicilerini Devre dışı moduna yerleştirebilirsiniz. Microsoft bunu önermez ve 11 Nisan 2023'te Devre dışı modunu kaldıracağız.
Server 2019 ve üzeri sürümlerde 13 Şubat 2024 veya üzeri Windows güncelleştirmelerini yükledikten ve RSAT isteğe bağlı özelliğinin yüklü olduğu istemcileri destekledikten sonra, Active Directory Kullanıcıları & Bilgisayarlar'daki sertifika eşlemesi varsayılan olarak X509IssuerSubject kullanılarak zayıf eşleme yerine X509IssuerSerialNumber kullanılarak güçlü eşlemeyi seçer. Ayar yine de istenen şekilde değiştirilebilir.
Sorun giderme
-
Hangi etki alanı denetleyicisinin oturum açma işleminin başarısız olduğunu belirlemek için ilgili bilgisayarda Kerberos İşlem günlüğünü kullanın. Olay Görüntüleyicisi> Uygulama ve Hizmet Günlükleri\Microsoft \Windows\Security-Kerberos\Operational bölümüne gidin.
-
Hesabın kimlik doğrulaması yapmaya çalıştığı etki alanı denetleyicisindeki Sistem Olay Günlüğü'nde ilgili olayları arayın.
-
Sertifika hesaptan eskiyse, sertifikayı yeniden verin veya hesaba eşlenen güvenli bir altSecurityIdentities ekleyin (bkz . Sertifika eşlemeleri).
-
Sertifika bir SID uzantısı içeriyorsa, SID'nin hesapla eşleşip eşleşmediğini doğrulayın.
-
Sertifika birkaç farklı hesabın kimliğini doğrulamak için kullanılıyorsa, her hesabın ayrı bir altSecurityIdentities eşlemesi gerekir.
-
Sertifikanın hesaba güvenli bir eşlemesi yoksa, bir tane ekleyin veya eklenebilene kadar etki alanını Uyumluluk modunda bırakın.
TLS sertifika eşlemesine örnek olarak IIS intranet web uygulaması kullanılır.
-
CVE-2022-26391 ve CVE-2022-26923 korumalarını yükledikten sonra, bu senaryolar varsayılan olarak sertifika eşleme ve kimlik doğrulaması için Kullanıcı için Kerberos Sertifika Hizmeti (S4U) protokollerini kullanır.
-
Kerberos Sertifikası S4U protokolünde, kimlik doğrulama isteği istemciden etki alanı denetleyicisine değil, uygulama sunucusundan etki alanı denetleyicisine akar. Bu nedenle, ilgili olaylar uygulama sunucusunda olacaktır.
Kayıt defteri anahtarı bilgileri
CVE-2022-26931 ve CVE-2022-26923 korumalarını 10 Mayıs 2022 ile 10 Eylül 2025 veya üzeri arasında yayımlanan Windows güncelleştirmelerine yükledikten sonra aşağıdaki kayıt defteri anahtarları kullanılabilir.
Eylül 2025'te veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra bu kayıt defteri anahtarı desteklenmiyor.
Önemli
Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ve dikkatli yapılması gereken ortamlar için geçici bir geçici çözümdür. Bu kayıt defteri anahtarının kullanılması, ortamınız için aşağıdaki anlamına gelir:
-
Bu kayıt defteri anahtarı yalnızca 10 Mayıs 2022'de yayımlanan güncelleştirmelerle başlayarak Uyumluluk modunda çalışır.
-
10 Eylül 2025'te yayımlanan Windows güncelleştirmeleri yüklendikten sonra bu kayıt defteri anahtarı desteklenmez.
-
Güçlü Sertifika Bağlama Zorlaması tarafından kullanılan SID Uzantısı algılama ve doğrulama, KDC kayıt defteri anahtarı UseSubjectAltName değerine bağımlıdır. Kayıt defteri değeri yoksa veya değer 0x1 değerine ayarlanmışsa SID uzantısı kullanılır. UseSubjectAltName varsa ve değer 0x0 olarak ayarlandıysa SID uzantısı kullanılmaz.
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Değer |
StrongCertificateBindingEnforcement |
Veri Türü |
REG_DWORD |
Veri |
1 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı mevcut değilse, kullanıcı hesabı sertifikanın ön tarihini alırsa kimlik doğrulamasına izin verilir. 2 – Güçlü bir sertifika eşlemesi olup olmadığını denetler. Evet ise kimlik doğrulamasına izin verilir. Aksi takdirde, KDC sertifikanın yeni SID uzantısına sahip olup olmadığını denetler ve doğrular. Bu uzantı yoksa, kimlik doğrulaması reddedilir. 0 – Güçlü sertifika eşleme denetimini devre dışı bırakır. Bu işlem tüm güvenlik geliştirmelerini devre dışı bırakacağından önerilmez. Bunu 0 olarak ayarlarsanız, bilgisayar sertifika tabanlı kimlik doğrulamasının başarılı olması için aşağıdaki Schannel kayıt defteri anahtarı bölümünde açıklandığı gibi CertificateMappingMethods'u da 0x1F olarak ayarlamanız gerekir.. |
Yeniden Başlatma Gerekli mi? |
Hayır |
Bir sunucu uygulaması istemci kimlik doğrulaması gerektirdiğinde, Schannel otomatik olarak TLS istemcisinin sağladığı sertifikayı bir kullanıcı hesabıyla eşlemeyi dener. Sertifika bilgilerini bir Windows kullanıcı hesabıyla ilişkilendiren eşlemeler oluşturarak istemci sertifikasıyla oturum açan kullanıcıların kimliğini doğrulayabilirsiniz. Bir sertifika eşlemesi oluşturup etkinleştirdikten sonra, bir istemci her istemci sertifikası sunduğunda, sunucu uygulamanız bu kullanıcıyı otomatik olarak uygun Windows kullanıcı hesabıyla ilişkilendirir.
Schannel, başarılı olana kadar etkinleştirdiğiniz her sertifika eşleme yöntemini eşlemeyi dener. Schannel önce Service-For-User-To-Self (S4U2Self) eşlemelerini eşlemeyi dener. Konu/Veren, Veren ve UPN sertifika eşlemeleri artık zayıf kabul edilir ve varsayılan olarak devre dışı bırakılmıştır. Seçili seçeneklerin bit maskelenmiş toplamı, kullanılabilen sertifika eşleme yöntemlerinin listesini belirler.
SChannel kayıt defteri anahtarı varsayılan olarak 0x1F ve artık 0x18. Schannel tabanlı sunucu uygulamalarında kimlik doğrulama hataları yaşıyorsanız bir test yapmanızı öneririz. Etki alanı denetleyicisinde CertificateMappingMethods kayıt defteri anahtarı değerini ekleyin veya değiştirin ve 0x1F olarak ayarlayın ve sorunun giderilip giderildiğini görün. Daha fazla bilgi için bu makalede listelenen hatalar için etki alanı denetleyicisindeki Sistem olay günlüklerine bakın. SChannel kayıt defteri anahtarı değerini önceki varsayılana (0x1F) geri döndürmenin zayıf sertifika eşleme yöntemlerini kullanmaya geri döneceğini unutmayın.
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Değer |
CertificateMappingMethods |
Veri Türü |
DWORD |
Veri |
0x0001 - Konu/Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0002 - Veren sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0004 - UPN sertifika eşlemesi (zayıf – Varsayılan olarak devre dışı) 0x0008 - S4U2Self sertifika eşlemesi (güçlü) 0x0010 - S4U2Self açık sertifika eşlemesi (güçlü) |
Yeniden Başlatma Gerekli mi? |
Hayır |
Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.
CVE-2022-26931 ve CVE-2022-26923 adreslerini içeren güncelleştirmeleri yükledikten sonra, kullanıcı sertifikalarının kullanıcı oluşturma zamanından daha eski olduğu durumlarda kimlik doğrulaması başarısız olabilir. Bu kayıt defteri anahtarı, ortamınızda zayıf sertifika eşlemeleri kullandığınızda ve sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda kimlik doğrulamasının başarılı olmasına olanak tanır. Sertifika zamanı ve kullanıcı oluşturma zamanı güçlü sertifika eşlemeleriyle denetlenmediğinden, bu kayıt defteri anahtarı güçlü sertifika eşlemeleri olan kullanıcıları veya makineleri etkilemez. StrongCertificateBindingEnforcement 2 olarak ayarlandığında bu kayıt defteri anahtarının hiçbir etkisi olmaz.
Bu kayıt defteri anahtarının kullanılması, bunu gerektiren ve dikkatli yapılması gereken ortamlar için geçici bir geçici çözümdür. Bu kayıt defteri anahtarının kullanılması, ortamınız için aşağıdaki anlamına gelir:
-
Bu kayıt defteri anahtarı yalnızca 10 Mayıs 2022'de yayımlanan güncelleştirmelerle başlayarak Uyumluluk modunda çalışır. Yedekleme dengeleme uzaklığı içinde kimlik doğrulamasına izin verilir, ancak zayıf bağlama için bir olay günlüğü uyarısı günlüğe kaydedilir.
-
Bu kayıt defteri anahtarının etkinleştirilmesi, sertifika süresi belirli bir aralıktaki kullanıcı oluşturma zamanından önce olduğunda zayıf eşleme olarak kullanıcının kimlik doğrulamasına olanak tanır. Eylül 2025'te veya sonrasında yayımlanan Windows güncelleştirmeleri yüklendikten sonra zayıf eşlemeler desteklenmez.
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Değer |
CertificateBackdatingCompensation |
Veri Türü |
REG_DWORD |
Veri |
Yaklaşık yıl içindeki geçici çözüm değerleri:
Not Ortamınızdaki sertifikaların ömrünü biliyorsanız, bu kayıt defteri anahtarını sertifika ömründen biraz daha uzun olacak şekilde ayarlayın. Ortamınızın sertifika yaşam sürelerini bilmiyorsanız, bu kayıt defteri anahtarını 50 yıl olarak ayarlayın. Active Directory Sertifika Hizmetleri (ADCS) ile eşleşen bu anahtar mevcut olmadığında varsayılan olarak 10 dakikadır. En yüksek değer 50 yıldır (0x5E0C89C0). Bu anahtar, Anahtar Dağıtım Merkezi'nin (KDC) kullanıcı/makine hesapları için kimlik doğrulama sertifikası verme zamanı ile hesap oluşturma zamanı arasında yoksayacağı zaman farkını saniye olarak ayarlar. Önemli Bu kayıt defteri anahtarını yalnızca ortamınız gerektiriyorsa ayarlayın. Bu kayıt defteri anahtarının kullanılması bir güvenlik denetimini devre dışı bırakmaktır. |
Yeniden Başlatma Gerekli mi? |
Hayır |
Kurumsal Sertifika Yetkilileri
Kurumsal Sertifika Yetkilileri (CA), 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra çevrimiçi şablonlara verilen tüm sertifikalarda varsayılan olarak Nesne Tanımlayıcısı (OID) (1.3.6.1.4.1.311.25.2) ile yeni bir kritik olmayan uzantı eklemeye başlar. İlgili şablonun msPKI-Enrollment-Flag değerindeki 0x00080000 bitini ayarlayarak bu uzantının eklenmesini durdurabilirsiniz.
Kullanıcı şablonunun sertifikalarını yeni uzantıyı almamak için aşağıdaki certutil komutunu çalıştırırsınız.
-
Bir Sertifika Yetkilisi sunucusunda veya etki alanına katılmış bir Windows 10 istemcisinde kuruluş yöneticisi veya eşdeğer kimlik bilgileriyle oturum açın.
-
Bir komut istemi açın ve Yönetici olarak çalıştır'ı seçin.
-
certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 komutunu çalıştırın.
Bu uzantının eklenmesini devre dışı bırakmak, yeni uzantı tarafından sağlanan korumayı kaldırır. Bunu yalnızca aşağıdakilerden birini yaptıktan sonra yapmayı göz önünde bulundurun:
-
KDC'de Kerberos Protokolü kimlik doğrulamalarında İlk Kimlik Doğrulaması (PKINIT) için Ortak Anahtar Şifrelemesi için karşılık gelen sertifikaların kabul edilemediğini onaylarsınız
-
İlgili sertifikaların yapılandırılmış diğer güçlü sertifika eşlemeleri var
Microsoft dışı CA dağıtımlarına sahip ortamlar, 10 Mayıs 2022 Windows güncelleştirmesini yükledikten sonra yeni SID uzantısı kullanılarak korunmaz. Etkilenen müşteriler bunu ele almak için ilgili CA satıcılarıyla birlikte çalışmalı veya yukarıda açıklanan diğer güçlü sertifika eşlemelerini kullanmayı düşünmelidir.
Ek kaynaklar ve destek için "Ek kaynaklar" bölümüne bakın.
Sık sorulan sorular
Hayır, yenileme gerekli değildir. CA, Uyumluluk modunda gönderilecektir. ObjectSID uzantısını kullanarak güçlü bir eşleme istiyorsanız, yeni bir sertifikaya ihtiyacınız olacaktır.
11 Şubat 2025 Windows güncelleştirmesinde, henüz Zorlama'da olmayan cihazlar (StrongCertificateBindingEnforcement kayıt defteri değeri 2 olarak ayarlanır), Zorlama'ya taşınır. Kimlik doğrulaması reddedilirse Olay Kimliği 39(veya Windows Server 2008 R2 SP1 ve Windows Server 2008 SP2 için Olay Kimliği 41) seçeneğini görürsünüz. Bu aşamada kayıt defteri anahtarı değerini yeniden 1 (Uyumluluk modu) olarak ayarlama seçeneğiniz olacaktır.
10 Eylül 2025 Windows güncelleştirmesinde StrongCertificateBindingEnforcement kayıt defteri değeri artık desteklenmeyecektir.
Ek kaynaklar
TLS istemci sertifikası eşlemesi hakkında daha fazla bilgi için aşağıdaki makalelere bakın: