Thay đổi ngày |
Mô tả |
---|---|
10/24/2024 |
Văn bản cập nhật để làm rõ trong Bước 2 của phần "Thực hiện hành động", trong phần mô tả "Chế độ thực thi Đầy đủ" của phần "Dòng thời gian cho các bản cập nhật Windows" và đã sửa đổi thông tin ngày của các chủ đề "Khóa Trung tâm Phân phối Khóa (KDC) Khóa Đăng ký" và "Khóa Đăng ký Sao lưu Chứng chỉ" trong phần "Thông tin Khóa Đăng ký". |
9/10/2024 |
Đã thay đổi mô tả chế độ Thực thi Đầy đủ trong phần "Đặt thời gian cho các bản cập nhật Windows" để phản ánh ngày tháng mới. Ngày 11 tháng 2 năm 2025 sẽ chuyển thiết bị sang chế độ Thực thi nhưng vẫn để lại hỗ trợ để chuyển về chế độ Tương thích. Hỗ trợ khóa đăng ký đầy đủ sẽ kết thúc vào ngày 10 tháng 9 năm 2025. |
7/5/2024 |
Đã thêm thông tin về Phần mở rộng SID vào khóa đăng ký Trung tâm Phân phối Khóa (KDC) trong mục "Thông tin khóa đăng ký". |
10/10/2023 |
Đã thêm thông tin về Thay đổi Mặc định ánh xạ Mạnh trong "Đường thời gian cho Windows Cập nhật" |
6/30/2023 |
Đã thay đổi chế độ Thực thi Đầy đủ từ ngày 14 tháng 11 năm 2023 đến ngày 11 tháng 2 năm 2025 (các ngày này trước đây được liệt kê là ngày 19 tháng 5 năm 2023 đến ngày 14 tháng 11 năm 2023). |
1/26/2023 |
Đã thay đổi cách xóa chế độ Vô hiệu hóa từ ngày 14 tháng 2 năm 2023 đến ngày 11 tháng 4 năm 2023 |
Tóm tắt
CVE-2022-34691,CVE-2022-26931 và CVE-2022-26923 giải quyết sự gia tăng lỗ hổng đặc quyền có thể xảy ra khi Trung tâm Phân phối Khóa Kerberos (KDC) đang cung cấp dịch vụ yêu cầu xác thực dựa trên chứng chỉ. Trước bản cập nhật bảo mật ngày 10 tháng 5 năm 2022, xác thực dựa trên chứng chỉ sẽ không tính đến ký hiệu đô la ($) ở cuối tên máy. Điều này cho phép chứng chỉ liên quan được mô phỏng (giả mạo) theo nhiều cách khác nhau. Ngoài ra, xung đột giữa Tên Chính Người dùng (UPN) và sAMAccountName đã giới thiệu các lỗ hổng mô phỏng (giả mạo) khác mà chúng tôi cũng giải quyết với bản cập nhật bảo mật này.
Hành động
Để bảo vệ môi trường của bạn, hãy hoàn thành các bước sau đây cho xác thực dựa trên chứng chỉ:
-
Cập nhật tất cả các máy chủ chạy Active Directory Certificate Services và bộ kiểm soát miền Windows cung cấp dịch vụ xác thực dựa trên chứng chỉ với bản cập nhật ngày 10 tháng 5 năm 2022 (xem Phương thức tương thích). Bản cập nhật ngày 10 tháng 5 năm 2022 sẽ cung cấp các sự kiện kiểm tra xác định chứng chỉ không tương thích với chế độ Thực thi Đầy đủ.
-
Nếu không có nhật ký sự kiện kiểm tra nào được tạo trên bộ kiểm soát miền trong một tháng sau khi cài đặt bản cập nhật, hãy tiếp tục bật chế độ Thực thi Đầy đủ trên tất cả các bộ kiểm soát miền. Đến tháng 2 năm 2025, nếu khóa đăng ký StrongCertificateBindingEnforcement không được đặt cấu hình, bộ kiểm soát miền sẽ di chuyển sang chế độ Thực thi Đầy đủ. Nếu không, cài đặt chế độ tương thích của khóa đăng ký sẽ tiếp tục được ưu việt. Trong chế độ Thực thi Đầy đủ, nếu chứng chỉ không đạt tiêu chí ánh xạ mạnh (bảo mật) (xem Ánh xạ chứng chỉ), xác thực sẽ bị từ chối. Tuy nhiên, tùy chọn để chuyển về chế độ Tương thích sẽ vẫn giữ nguyên cho đến tháng 9 năm 2025.
Kiểm tra sự kiện
Bản cập nhật Windows ngày 10 tháng 5 năm 2022 thêm các nhật ký sự kiện sau.
Không thể tìm thấy ánh xạ chứng chỉ mạnh mẽ và chứng chỉ không có phần mở rộng mã định danh bảo mật (SID) mới mà KDC có thể xác thực.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Cảnh báo nếu KDC đang ở chế độ Tương thích Lỗi nếu KDC đang ở chế độ Thực thi |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
39 41 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2) |
Văn bản Sự kiện |
Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng không thể được ánh xạ tới người dùng theo cách mạnh mẽ (chẳng hạn như thông qua ánh xạ rõ ràng, ánh xạ tin cậy chính hoặc SID). Chứng chỉ như vậy nên được thay thế hoặc ánh xạ trực tiếp đến người dùng thông qua ánh xạ rõ ràng. Hãy xem https://go.microsoft.com/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <Tên Miền Đầy đủ Tiêu chuẩn của Nhà phát hành (FQDN)> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate> |
Chứng chỉ được cấp cho người dùng trước khi người dùng tồn tại trong Active Directory và không tìm thấy ánh xạ mạnh. Sự kiện này chỉ được ghi nhật ký khi KDC ở chế độ Tương thích.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
40 48 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2 |
Văn bản Sự kiện |
Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng không thể được ánh xạ tới người dùng theo cách mạnh mẽ (chẳng hạn như thông qua ánh xạ rõ ràng, ánh xạ tin cậy chính hoặc SID). Chứng chỉ cũng predated người dùng nó ánh xạ đến, vì vậy nó đã bị từ chối. Hãy xem https://go.microsoft.com/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <phát hành FQDN> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate> Thời gian Phát hành Chứng chỉ: <FILETIME của chứng chỉ> Thời gian Tạo Tài khoản: <FILETIME của đối tượng chính trong AD> |
SID chứa trong phần mở rộng mới của chứng chỉ người dùng không phù hợp với SID người dùng, ngụ ý rằng chứng chỉ đã được cấp cho người dùng khác.
Nhật ký Sự kiện |
Hệ thống |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
Kdcsvc |
ID Sự kiện |
41 49 (Đối với Windows Server 2008 R2 SP1 và Windows Server 2008 SP2) |
Văn bản Sự kiện |
Trung tâm Phân phối Khóa (KDC) gặp phải chứng chỉ người dùng hợp lệ nhưng chứa SID khác với người dùng được ánh xạ. Do đó, không thể yêu cầu liên quan đến chứng chỉ. Xem https://go.microsoft.cm/fwlink/?linkid=2189925 để tìm hiểu thêm. Người dùng: <tên chính của> User SID: <SID of the authenticating principal> Certificate Subject: <Subject name in Certificate> Người phát hành Chứng chỉ: <phát hành FQDN> Số Sê-ri Chứng chỉ: <Số Sê-ri Chứng chỉ: Số Sê-ri Chứng> Certificate Thumbprint: <Thumbprint of Certificate> Chứng chỉ SID: <SID được tìm thấy trong danh sách Phần mở rộng Chứng chỉ> |
Ánh xạ chứng chỉ
Người quản trị miền có thể ánh xạ thủ công chứng chỉ cho người dùng trong Active Directory bằng cách sử dụng thuộc tính altSecurityIdentities của Đối tượng người dùng. Có sáu giá trị được hỗ trợ cho thuộc tính này, với ba ánh xạ được coi là yếu (không an toàn) và ba giá trị còn lại được coi là mạnh. Nói chung, các loại ánh xạ được coi là mạnh nếu chúng dựa trên mã định danh mà bạn không thể sử dụng lại. Do đó, tất cả các loại bản đồ dựa trên tên người dùng và địa chỉ email được coi là yếu.
Ánh xạ |
Ví dụ |
Type |
Chú thích |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Yếu |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Yếu |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Yếu |
Địa chỉ email |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Mạnh |
Được đề xuất |
X509SKI |
"X509:<SKI>123456789abcdef" |
Mạnh |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Mạnh |
Nếu khách hàng không thể phát hành lại chứng chỉ với phần mở rộng SID mới, chúng tôi khuyên bạn nên tạo một ánh xạ thủ công bằng cách sử dụng một trong các ánh xạ mạnh được mô tả ở trên. Bạn có thể thực hiện điều này bằng cách thêm chuỗi ánh xạ thích hợp vào thuộc tính người dùng altSecurityIdentities trong Active Directory.
Lưu ý Một số trường nhất định, chẳng hạn như Nhà phát hành, Chủ đề và Số Sê-ri, được báo cáo ở định dạng "chuyển tiếp". Bạn phải đảo ngược định dạng này khi thêm chuỗi ánh xạ vào thuộc tính altSecurityIdentities . Ví dụ: để thêm ánh xạ X509IssuerSerialNumber cho người dùng, hãy tìm kiếm các trường "Nhà phát hành" và "Số Sê-ri" của chứng chỉ mà bạn muốn ánh xạ tới người dùng. Xem đầu ra mẫu bên dưới.
-
Người phát hành: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Số Sê-ri: 2B000000011AC000000012
Sau đó, cập nhật thuộc tính altSecurityIdentities của người dùng trong Active Directory bằng chuỗi sau đây:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"
Để cập nhật thuộc tính này bằng Powershell, bạn có thể sử dụng lệnh dưới đây. Hãy nhớ rằng, theo mặc định, chỉ người quản trị tên miền mới có quyền cập nhật thuộc tính này.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Lưu ý rằng khi bạn đảo ngược Số Sê-ri, bạn phải giữ thứ tự byte. Điều này có nghĩa là việc đảo ngược SerialNumber "A1B2C3" sẽ dẫn đến chuỗi "C3B2A1" chứ không phải " 3C2B1A". Để biết thêm thông tin, hãy xem HowTo: Ánh xạ người dùng với chứng chỉ thông qua tất cả các phương pháp có sẵn trong thuộc tính altSecurityIdentities.
Dòng thời gian dành cho các bản cập nhật Windows
Quan trọng Giai đoạn Bật bắt đầu với các bản cập nhật ngày 11 tháng 4 năm 2023 cho Windows, điều này sẽ bỏ qua cài đặt khóa đăng ký chế độ Tắt.
Sau khi bạn đã cài đặt các bản cập nhật Windows ngày 10 tháng 5 năm 2022, thiết bị sẽ ở chế độ Tương thích. Nếu một chứng chỉ có thể được ánh xạ mạnh đến người dùng, xác thực sẽ xảy ra như mong đợi. Nếu chứng chỉ chỉ có thể được ánh xạ yếu đến người dùng, xác thực sẽ xảy ra như mong đợi. Tuy nhiên, thông báo cảnh báo sẽ được ghi nhật ký trừ khi chứng chỉ cũ hơn người dùng. Nếu chứng chỉ cũ hơn người dùng và khóa đăng ký Sao lưu Chứng chỉ không hiện diện hoặc phạm vi nằm ngoài bồi thường phụ trợ, xác thực sẽ không thành công và thông báo lỗi sẽ được ghi nhật ký. Nếu khóa đăng ký Sao lưu Chứng chỉ được cấu hình, nó sẽ ghi nhật ký một thông báo cảnh báo trong nhật ký sự kiện nếu ngày nằm trong bồi thường sao lưu.
Sau khi bạn cài đặt các bản cập nhật Windows ngày 10 tháng 5 năm 2022, hãy xem bất kỳ thông báo cảnh báo nào có thể xuất hiện sau một tháng hoặc hơn. Nếu không có thông báo cảnh báo, chúng tôi khuyên bạn nên bật chế độ Thực thi Đầy đủ trên tất cả các bộ kiểm soát miền bằng cách sử dụng xác thực dựa trên chứng chỉ. Bạn có thể sử dụng khóa đăng ký KDC để bật chế độ Thực thi Đầy đủ.
Trừ khi được cập nhật lên chế độ Kiểm tra hoặc chế độ Thực thi bằng cách sử dụng khóa đăng ký StrongCertificateBindingEnforcement trước đó, bộ kiểm soát miền sẽ chuyển sang chế độ Thực thi Đầy đủ khi cài đặt bản cập nhật bảo mật Windows tháng 2 năm 2025. Xác thực sẽ bị từ chối nếu không thể ánh xạ mạnh chứng chỉ. Tùy chọn để chuyển về chế độ Tương thích sẽ vẫn được duy trì cho đến tháng 9 năm 2025. Sau ngày này, khóa đăng ký StrongCertificateBindingEnforcement sẽ không còn được hỗ trợ
Nếu xác thực dựa trên chứng chỉ dựa vào ánh xạ yếu mà bạn không thể di chuyển từ môi trường, bạn có thể đặt bộ kiểm soát miền trong chế độ Vô hiệu hóa bằng cách sử dụng thiết đặt khóa đăng ký. Microsoft không đề xuất tính năng này và chúng tôi sẽ xóa chế độ Vô hiệu hóa vào ngày 11 tháng 4 năm 2023.
Sau khi bạn đã cài đặt các bản cập nhật Windows ngày 13 tháng 2 năm 2024 trở lên trên Máy chủ 2019 trở lên và được hỗ trợ có cài đặt tính năng tùy chọn RSAT, ánh xạ chứng chỉ trong Người dùng Active Directory & Máy tính sẽ mặc định chọn ánh xạ mạnh bằng cách sử dụng X509IssuerSerialNumber thay vì ánh xạ yếu bằng cách sử dụng X509IssuerSubject. Bạn vẫn có thể thay đổi cài đặt này như mong muốn.
Xử lý sự cố
-
Sử dụng nhật ký Hoạt động Kerberos trên máy tính liên quan để xác định bộ điều khiển miền nào không đăng nhập được. Đi tới Trình xem sự kiện > nhật ký Dịch vụ và Ứng dụng\Microsoft \Windows\Security-Kerberos\Vận hành.
-
Tìm kiếm các sự kiện liên quan trong Nhật ký Sự kiện Hệ thống trên bộ kiểm soát miền mà tài khoản đang cố gắng xác thực.
-
Nếu chứng chỉ cũ hơn tài khoản, hãy phát hành lại chứng chỉ hoặc thêm ánh xạ altSecurityIdentities an toàn vào tài khoản (xem Ánh xạ chứng chỉ).
-
Nếu chứng chỉ chứa phần mở rộng SID, hãy xác minh rằng SID khớp với tài khoản.
-
Nếu chứng chỉ đang được sử dụng để xác thực một số tài khoản khác nhau, mỗi tài khoản sẽ cần một ánh xạ altSecurityIdentities riêng biệt.
-
Nếu chứng chỉ không có ánh xạ bảo mật vào tài khoản, hãy thêm một hoặc rời khỏi miền trong chế độ Tương thích cho đến khi có thể thêm vào.
Ví dụ về lập bản đồ chứng chỉ TLS đang sử dụng ứng dụng web mạng nội bộ IIS.
-
Sau khi cài đặt các tùy chọn bảo vệ CVE-2022-26391 và CVE-2022-26923 , những trường hợp này sử dụng giao thức Dịch vụ Chứng chỉ Kerberos Dành cho Người dùng (S4U) để ánh xạ và xác thực chứng chỉ theo mặc định.
-
Trong giao thức Kerberos Certificate S4U, yêu cầu xác thực di chuyển từ máy chủ ứng dụng đến bộ điều khiển miền, không phải từ máy khách đến bộ điều khiển miền. Vì vậy, các sự kiện có liên quan sẽ được trên máy chủ ứng dụng.
Thông tin khóa đăng ký
Sau khi bạn cài đặt các tùy chọn bảo vệ CVE-2022-26931 và CVE-2022-26923 trong các bản cập nhật Windows được phát hành từ ngày 10 tháng 5 năm 2022 đến ngày 10 tháng 9 năm 2025 trở lên, các khóa đăng ký sau đây sẽ có sẵn.
Khóa đăng ký này sẽ không được hỗ trợ sau khi cài đặt các bản cập nhật cho Windows được phát hành vào hoặc sau tháng 9 năm 2025.
Quan trọng
Sử dụng khóa đăng ký này là giải pháp thay thế tạm thời cho các môi trường yêu cầu khóa đăng ký và phải được thực hiện thận trọng. Sử dụng khóa đăng ký này có nghĩa là những điều sau đây đối với môi trường của bạn:
-
Khóa đăng ký này chỉ hoạt động trong chế độ Tương thích kể từ các bản cập nhật được phát hành vào ngày 10 tháng 5 năm 2022.
-
Khóa đăng ký này sẽ không được hỗ trợ sau khi cài đặt các bản cập nhật cho Windows được phát hành vào ngày 10 tháng 9 năm 2025.
-
Việc xác thực và phát hiện Phần mở rộng SID được Thực thi Ràng buộc Chứng chỉ Mạnh sử dụng có sự phụ thuộc vào giá trị KDC của khóa đăng ký UseSubjectAltName . Phần mở rộng SID sẽ được sử dụng nếu giá trị đăng ký không tồn tại hoặc nếu giá trị được đặt thành giá trị 0x1. Phần mở rộng SID sẽ không được sử dụng nếu UseSubjectAltName tồn tại và giá trị được đặt thành 0x0.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Giá trị |
StrongCertificateBindingEnforcement |
Kiểu Dữ liệu |
REG_DWORD |
Data |
1 – Kiểm tra xem có ánh xạ chứng chỉ mạnh không. Nếu có, xác thực được cho phép. Nếu không, KDC sẽ kiểm tra xem chứng chỉ có phần mở rộng SID mới và xác thực phần mở rộng đó hay không. Nếu phần mở rộng này không có mặt, xác thực được cho phép nếu tài khoản người dùng trước chứng chỉ. 2 – Kiểm tra xem có ánh xạ chứng chỉ mạnh không. Nếu có, xác thực được cho phép. Nếu không, KDC sẽ kiểm tra xem chứng chỉ có phần mở rộng SID mới và xác thực phần mở rộng đó hay không. Nếu phần mở rộng này không xuất hiện, xác thực bị từ chối. 0 – Tắt kiểm tra ánh xạ chứng chỉ mạnh. Không được khuyến nghị vì thao tác này sẽ vô hiệu hóa tất cả các cải tiến bảo mật. Nếu bạn đặt thành 0, bạn cũng phải đặt CertificateMappingMethods thành 0x1F như được mô tả trong phần khóa đăng ký Schannel bên dưới để xác thực dựa trên chứng chỉ máy tính thành công.. |
Bắt buộc khởi động lại? |
Không |
Khi ứng dụng máy chủ yêu cầu xác thực máy khách, Schannel sẽ tự động tìm cách ánh xạ chứng chỉ mà máy khách TLS cung cấp cho tài khoản người dùng. Bạn có thể xác thực người dùng đăng nhập bằng chứng chỉ máy khách bằng cách tạo ánh xạ liên quan đến thông tin chứng chỉ với tài khoản người dùng Windows. Sau khi bạn tạo và bật ánh xạ chứng chỉ, mỗi khi máy khách trình bày chứng chỉ máy khách, ứng dụng máy chủ của bạn sẽ tự động liên kết người dùng đó với tài khoản người dùng Windows thích hợp.
Schannel sẽ cố gắng ánh xạ từng phương pháp ánh xạ chứng chỉ mà bạn đã bật cho đến khi một phương pháp ánh xạ thành công. Schannel cố gắng ánh xạ ánh xạ Service-For-User-To-Self (S4U2Self) trước tiên. Ánh xạ chứng chỉ Subject/Issuer, Issuer và UPN hiện được coi là yếu và bị vô hiệu hóa theo mặc định. Tổng bitmasked của các tùy chọn được chọn xác định danh sách các phương pháp lập bản đồ chứng chỉ có sẵn.
Khóa đăng ký SChannel mặc định là 0x1F và bây giờ đã được 0x18. Nếu bạn gặp lỗi xác thực với các ứng dụng máy chủ dựa trên Schannel, chúng tôi khuyên bạn nên thực hiện kiểm tra. Thêm hoặc sửa đổi giá trị khóa đăng ký CertificateMappingMethods trên bộ điều khiển miền và đặt thành 0x1F và xem liệu điều đó có khắc phục được sự cố không. Xem nhật ký sự kiện Hệ thống trên bộ kiểm soát miền để biết mọi lỗi được liệt kê trong bài viết này để biết thêm thông tin. Hãy nhớ rằng việc thay đổi giá trị khóa đăng ký SChannel về mặc định trước đó (0x1F) sẽ hoàn nguyên về việc sử dụng phương pháp ánh xạ chứng chỉ yếu.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Giá trị |
CertificateMappingMethods |
Kiểu Dữ liệu |
DWORD |
Data |
0x0001 - Ánh xạ chứng chỉ Chủ đề/Người phát hành (yếu – Bị vô hiệu hóa theo mặc định) 0x0002 - Phát hành bản đồ chứng chỉ (yếu – Bị vô hiệu hóa theo mặc định) 0x0004 - Ánh xạ chứng chỉ UPN (yếu – Bị vô hiệu hóa theo mặc định) 0x0008 - S4U2Self ánh xạ chứng chỉ (strong) 0x0010 - S4U2Hỗ lập bản đồ chứng chỉ rõ ràng (strong) |
Bắt buộc khởi động lại? |
Không |
Để biết các tài nguyên và hỗ trợ bổ sung, hãy xem phần "Tài nguyên bổ sung".
Sau khi bạn cài đặt các bản cập nhật có địa chỉ CVE-2022-26931 và CVE-2022-26923, việc xác thực có thể không thành công trong trường hợp chứng chỉ người dùng cũ hơn thời gian tạo người dùng. Khóa đăng ký này cho phép xác thực thành công khi bạn đang sử dụng ánh xạ chứng chỉ yếu trong môi trường của bạn và thời gian chứng chỉ là trước thời gian tạo người dùng trong một phạm vi thiết lập. Khóa đăng ký này không ảnh hưởng đến người dùng hoặc máy có ánh xạ chứng chỉ mạnh, vì thời gian cấp chứng chỉ và thời gian tạo người dùng không được kiểm tra với ánh xạ chứng chỉ mạnh. Khóa đăng ký này không có bất kỳ hiệu ứng nào khi StrongCertificateBindingEnforcement được đặt thành 2.
Sử dụng khóa đăng ký này là giải pháp thay thế tạm thời cho các môi trường yêu cầu khóa đăng ký và phải được thực hiện thận trọng. Sử dụng khóa đăng ký này có nghĩa là những điều sau đây đối với môi trường của bạn:
-
Khóa đăng ký này chỉ hoạt động trong chế độ Tương thích kể từ các bản cập nhật được phát hành vào ngày 10 tháng 5 năm 2022. Xác thực sẽ được phép trong khoảng bù bù lùi nhưng cảnh báo nhật ký sự kiện sẽ được ghi nhật ký để gắn kết yếu.
-
Cho phép khóa đăng ký này cho phép xác thực người dùng khi thời gian chứng chỉ trước thời gian tạo người dùng trong phạm vi đặt làm ánh xạ yếu. Ánh xạ yếu sẽ không được hỗ trợ sau khi cài đặt các bản cập nhật cho Windows được phát hành vào hoặc sau tháng 9 năm 2025.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Giá trị |
CertificateBackdatingCompensation |
Kiểu Dữ liệu |
REG_DWORD |
Dữ liệu |
Giá trị của giải pháp thay thế trong khoảng thời gian gần đây:
Ghi chú Nếu bạn biết thời hạn của chứng chỉ trong môi trường của bạn, hãy đặt khóa đăng ký này dài hơn một chút so với thời hạn chứng chỉ. Nếu bạn không biết thời hạn chứng chỉ cho môi trường của bạn, hãy đặt khóa đăng ký này thành 50 năm. Mặc định là 10 phút khi khóa này không hiện diện, khớp với Dịch vụ Chứng chỉ Active Directory (ADCS). Giá trị tối đa là 50 năm (0x5E0C89C0). Khóa này đặt thời gian chênh lệch, tính bằng giây mà Trung tâm Phân phối Khóa (KDC) sẽ bỏ qua giữa thời gian phát hành chứng chỉ xác thực và thời gian tạo tài khoản cho tài khoản người dùng/máy. Quan trọng Chỉ đặt khóa đăng ký này nếu môi trường của bạn yêu cầu khóa. Việc sử dụng khóa đăng ký này sẽ tắt tính năng kiểm tra bảo mật. |
Bắt buộc khởi động lại? |
Không |
Cơ quan có thẩm quyền cấp chứng chỉ doanh nghiệp
Cơ quan Cấp chứng chỉ Doanh nghiệp (CA) sẽ bắt đầu thêm phần mở rộng không quan trọng mới với Mã định danh Đối tượng (OID) (1.3.6.1.4.1.311.25.2) theo mặc định trong tất cả các chứng chỉ được cấp đối với mẫu trực tuyến sau khi bạn cài đặt bản cập nhật Windows ngày 10 tháng 5 năm 2022. Bạn có thể dừng việc bổ sung phần mở rộng này bằng 0x00080000 bit trong giá trị msPKI-Enrollment-Flag của mẫu tương ứng.
Bạn chạy lệnh certutil sau để loại trừ chứng chỉ của mẫu người dùng nhận được phần mở rộng mới.
-
Đăng nhập vào máy chủ Certificate Authority hoặc máy khách đã tham gia miền Windows 10 người quản trị doanh nghiệp hoặc thông tin xác thực tương đương.
-
Mở dấu nhắc lệnh và chọn Chạy với tư cách người quản trị.
-
Chạy certutil -dstemplate người dùng msPKI-Enrollment-Flag +0x00080000.
Việc tắt việc bổ sung phần mở rộng này sẽ xóa bảo vệ do phần mở rộng mới cung cấp. Hãy cân nhắc chỉ thực hiện việc này sau một trong các thao tác sau:
-
Bạn xác nhận rằng các chứng chỉ tương ứng không được chấp nhận đối với mã hóa khóa công cộng cho xác thực ban đầu (PKINIT) trong xác thực Kerberos Protocol tại KDC
-
Các chứng chỉ tương ứng có ánh xạ chứng chỉ mạnh khác được cấu hình
Các môi trường không có triển khai Microsoft CA sẽ không được bảo vệ bằng cách sử dụng phần mở rộng SID mới sau khi cài đặt bản cập nhật Windows ngày 10 tháng 5 năm 2022. Khách hàng bị ảnh hưởng nên làm việc với các nhà cung cấp CA tương ứng để giải quyết vấn đề này hoặc nên xem xét việc sử dụng các ánh xạ chứng chỉ mạnh mẽ khác được mô tả ở trên.
Để biết các tài nguyên và hỗ trợ bổ sung, hãy xem phần "Tài nguyên bổ sung".
Các câu hỏi thường gặp
Không, gia hạn là không bắt buộc. CA sẽ giao hàng trong chế độ Tương thích. Nếu bạn muốn ánh xạ mạnh bằng cách sử dụng phần mở rộng ObjectSID, bạn sẽ cần một chứng chỉ mới.
Trong bản cập nhật Windows ngày 11 tháng 2 năm 2025, các thiết bị chưa được Thực thi (Giá trị đăng ký StrongCertificateBindingEnforcement được đặt thành 2), sẽ được chuyển sang Thực thi. Nếu xác thực bị từ chối, bạn sẽ thấy ID Sự kiện 39 (hoặc ID Sự kiện 41 dành cho Windows Server 2008 R2 SP1 và Windows Server 2008 SP2). Bạn sẽ có tùy chọn đặt giá trị khóa đăng ký trở về 1 (Chế độ tương thích) ở giai đoạn này.
Trong bản cập nhật Windows ngày 10 tháng 9 năm 2025, giá trị đăng ký StrongCertificateBindingEnforcement sẽ không còn được hỗ trợ.
Các tài nguyên khác
Để biết thêm thông tin về lập bản đồ chứng chỉ máy khách TLS, hãy xem các bài viết sau đây: