Změnit datum |
Popis |
---|---|
9/10/2024 |
Změnili jsme popis režimu úplného vynucování v části Časování aktualizací Windows tak, aby odrážel nová data. 11. února 2025 přesune zařízení do režimu vynucení, ale ponechá podporu pro návrat do režimu kompatibility. Podpora úplných klíčů registru teď skončí 10. září 2025. |
7/5/2024 |
Přidání informací o rozšíření SID do klíče registru KDC (Key Distribution Center) v části Informace o klíči registru |
10. 10. 2023 |
Přidání informací o změnách výchozího nastavení silného mapování v části Časová osa pro Windows Aktualizace |
6/30/2023 |
Datum režimu úplného vynucení bylo změněno z 14. listopadu 2023 na 11. února 2025 (tato data byla dříve uvedená jako 19. května 2023 na 14. listopadu 2023). |
1/26/2023 |
Změna odebrání režimu zakázáno z 14. února 2023 na 11. dubna 2023 |
Shrnutí
CVE-2022-34691,CVE-2022-26931 a CVE-2022-26923 řeší chybu zabezpečení spočívající ve zvýšení oprávnění, ke které může dojít, když centrum KDC (Kerberos Key Distribution Center) obsluhuje žádost o ověření na základě certifikátů. Před aktualizací zabezpečení z 10. května 2022 by ověřování na základě certifikátů nezohledovalo znak dolaru ($) na konci názvu počítače. To umožnilo různé způsoby emulovat (falšovat) související certifikáty. Konflikty mezi hlavními názvy uživatelů (UPN) a sAMAccountName navíc zavedly další chyby zabezpečení emulace (falšování identity), které touto aktualizací zabezpečení také řešíme.
Přijmout opatření
Pokud chcete chránit své prostředí, proveďte následující kroky pro ověřování na základě certifikátů:
-
Aktualizujte všechny servery, na kterých běží služba Active Directory Certificate Services a řadiče domény windows, které obsluhují ověřování na základě certifikátů, pomocí aktualizace z 10. května 2022 (viz režim kompatibility). Aktualizace z 10. května 2022 bude poskytovat události auditu , které identifikují certifikáty, které nejsou kompatibilní s režimem úplného vynucování.
-
Pokud se na řadičích domény nevytvořily žádné protokoly událostí auditu po dobu jednoho měsíce po instalaci aktualizace, pokračujte povolením režimu úplného vynucování na všech řadičích domény. Do 11. února 2025 se všechna zařízení aktualizují do režimu úplného vynucování. Pokud v tomto režimu certifikát nesplní kritéria silného (zabezpečeného) mapování (viz Mapování certifikátů), bude ověřování zamítnuto. Možnost přejít zpět do režimu kompatibility ale zůstane až do 10. září 2025.
Události auditu
Aktualizace Windows z 10. května 2022 přidá následující protokoly událostí.
Nenašla se žádná mapování silných certifikátů a certifikát neměl nové rozšíření identifikátoru zabezpečení (SID), které by služba KDC mohla ověřit.
Protokol událostí |
Systém |
Typ události |
Upozornění, pokud je služba KDC v režimu kompatibility Chyba, pokud je služba KDC v režimu vynucení |
Zdroj události |
Kdcsvc |
ID události |
39 41 (pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2) |
Text události |
Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale nešlo ho namapovat na uživatele silným způsobem (například prostřednictvím explicitního mapování, mapování důvěryhodnosti klíčů nebo identifikátoru SID). Tyto certifikáty by měly být nahrazeny nebo mapovány přímo na uživatele prostřednictvím explicitního mapování. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2189925. Uživatel: <hlavní název> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény (FQDN) <vystavitele > Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu |
Certifikát byl uživateli vydán před tím, než uživatel existoval ve službě Active Directory, a nebylo nalezeno žádné silné mapování. Tato událost se protokoluje pouze v případě, že je služba KDC v režimu kompatibility.
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
Kdcsvc |
ID události |
40 48 (Pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2 |
Text události |
Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale nešlo ho namapovat na uživatele silným způsobem (například prostřednictvím explicitního mapování, mapování důvěryhodnosti klíčů nebo identifikátoru SID). Certifikát také přededatoval uživatele, na který namapoval, takže byl odmítnut. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2189925. Uživatel: <hlavní název> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény vystavitele <> Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu Čas vystavení certifikátu: <FILETIME> certifikátu Čas vytvoření účtu: <FILETIME hlavního objektu v AD> |
Identifikátor SID obsažený v novém rozšíření certifikátu uživatelů neodpovídá identifikátoru SID uživatelů, což znamená, že certifikát byl vydán jinému uživateli.
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
Kdcsvc |
ID události |
41 49 (pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2) |
Text události |
Centrum distribuce klíčů (KDC) zjistilo certifikát uživatele, který byl platný, ale obsahoval jiný identifikátor SID, než na kterého se namapoval. V důsledku toho požadavek týkající se certifikátu selhal. Další informace najdete v https://go.microsoft.cm/fwlink/?linkid=2189925. Uživatel: <hlavní název> IDENTIFIKÁTOR SID uživatele: <IDENTIFIKÁTOR SID ověřovacího objektu zabezpečení> Subjekt certifikátu: <název subjektu v> certifikátu Vystavitel certifikátu: plně kvalifikovaný název domény vystavitele <> Sériové číslo certifikátu: <sériové číslo certifikátu> Kryptografický otisk certifikátu: <kryptografický otisk> certifikátu IDENTIFIKÁTOR SID certifikátu: <IDENTIFIKÁTOR SID nalezený v novém> rozšíření certifikátu |
Mapování certifikátů
Správci domény můžou ručně mapovat certifikáty na uživatele ve službě Active Directory pomocí atributu altSecurityIdentities objektu users. Pro tento atribut existuje šest podporovaných hodnot, přičemž tři mapování jsou považována za slabá (nezabezpečená) a další tři považovaná za silná. Obecně platí, že typy mapování se považují za silné, pokud jsou založené na identifikátorech, které nemůžete znovu použít. Proto se všechny typy mapování založené na uživatelských jménech a e-mailových adresách považují za slabé.
Mapující |
Příklad |
Typ |
Poznámky |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Slabý |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Slabý |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Slabý |
E-mailová adresa |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Silný |
Doporučené |
X509SKI |
"X509:<SKI>123456789abcdef" |
Silný |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Silný |
Pokud zákazníci nemůžou znovu vystavovat certifikáty s novým rozšířením SID, doporučujeme vytvořit ruční mapování pomocí jednoho ze silných mapování popsaných výše. Můžete to provést přidáním příslušného mapovacího řetězce do atributu users altSecurityIdentities ve službě Active Directory.
Poznámka Některá pole, například Vystavitel, Předmět a Pořadové číslo, se oznamují ve formátu "forward". Při přidání řetězce mapování do atributu altSecurityIdentities je nutné tento formát obrátit. Pokud chcete například přidat mapování X509IssuerSerialNumber na uživatele, vyhledejte pole Vystavitel a Sériové číslo certifikátu, který chcete namapovat na uživatele. Podívejte se na ukázkový výstup níže.
-
Vystavitel: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Sériové číslo: 2B0000000011AC000000012
Potom aktualizujte atribut altSecurityIdentities uživatele ve službě Active Directory následujícím řetězcem:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC110000000002B"
Pokud chcete tento atribut aktualizovat pomocí PowerShellu, můžete použít následující příkaz. Mějte na paměti, že ve výchozím nastavení mají oprávnění k aktualizaci tohoto atributu pouze správci domény.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Všimněte si, že při obrácení sériového čísla musíte zachovat pořadí bajtů. To znamená, že vrácení sériového čísla "A1B2C3" by mělo vést k řetězci "C3B2A1" a ne "3C2B1A". Další informace najdete v tématu Postupy: Mapování uživatele na certifikát pomocí všech metod dostupných v atributu altSecurityIdentities.
Časová osa pro aktualizace Windows
Důležité Fáze povolení začíná aktualizacemi pro Windows z 11. dubna 2023, které budou ignorovat nastavení klíče registru v zakázaném režimu.
Po instalaci aktualizací Windows z 10. května 2022 budou zařízení v režimu kompatibility. Pokud je možné certifikát silně namapovat na uživatele, proběhne ověřování podle očekávání. Pokud je možné certifikát namapovat jenom slabě na uživatele, proběhne ověřování podle očekávání. Zpráva upozornění se ale zaprotokoluje, pokud certifikát není starší než uživatel. Pokud je certifikát starší než uživatel a není k dispozici klíč registru pro zálohování certifikátů nebo je rozsah mimo kompenzaci zálohování, ověřování se nezdaří a zaprotokoluje se chybová zpráva. Pokud je klíč registru backdating certifikátu nakonfigurovaný, zapíše do protokolu událostí zprávu upozornění, pokud data spadají do backdating kompenzace.
Po instalaci aktualizací Systému Windows z 10. května 2022 watch pro všechny varovné zprávy, které se můžou zobrazit po měsíci nebo déle. Pokud se nezobrazují žádné varovné zprávy, důrazně doporučujeme povolit režim úplného vynucování na všech řadičích domény pomocí ověřování založeného na certifikátech. K povolení režimu úplného vynucování můžete použít klíč registru KDC .
Pokud nebude tento režim aktualizován dříve, aktualizujeme všechna zařízení do režimu úplného vynucování do 11. února 2025 nebo později. Pokud certifikát nelze silně mapovat, bude ověřování zamítnuto. Možnost přejít zpět do režimu kompatibility zůstane do 10. září 2025. Po tomto datu již nebude hodnota registru StrongCertificateBindingEnforcement podporována.
Pokud ověřování na základě certifikátů závisí na slabém mapování, které nemůžete přesunout z prostředí, můžete řadiče domény umístit do zakázaného režimu pomocí nastavení klíče registru. Microsoft to nedoporučuje a 11. dubna 2023 režim zakázáno odebere.
Po instalaci aktualizací Windows z 13. února 2024 nebo novějších na Server 2019 a vyšších a podporovaných klientů s nainstalovanou volitelnou funkcí RSAT bude mapování certifikátů ve službě Active Directory Users & Computers standardně vybírat silné mapování pomocí X509IssuerSerialNumber místo slabého mapování pomocí X509IssuerSubject. Nastavení je stále možné podle potřeby změnit.
Řešení potíží
-
Pomocí provozního protokolu Kerberos na příslušném počítači určete, který řadič domény selhává při přihlášení. Přejděte na Prohlížeč událostí > Protokoly aplikací a služeb\Microsoft \Windows\Security-Kerberos\Operational.
-
Vyhledejte relevantní události v protokolu událostí systému na řadiči domény, u kterého se účet pokouší ověřit.
-
Pokud je certifikát starší než účet, znovu ho vyučte nebo přidejte k účtu zabezpečené mapování altSecurityIdentity (viz Mapování certifikátů).
-
Pokud certifikát obsahuje rozšíření SID, ověřte, že identifikátor SID odpovídá účtu.
-
Pokud se certifikát používá k ověřování několika různých účtů, bude každý účet potřebovat samostatné mapování altSecurityIdentities .
-
Pokud certifikát nemá zabezpečené mapování na účet, přidejte ho nebo nechte doménu v režimu kompatibility, dokud ji nebude možné přidat.
Příkladem mapování certifikátů TLS je použití intranetové webové aplikace služby IIS.
-
Po instalaci ochrany CVE-2022-26391 a CVE-2022-26923 se ve výchozím nastavení používá protokol S4U (Kerberos Certificate Service for User) pro mapování a ověřování certifikátů.
-
V protokolu Kerberos Certificate S4U teče žádost o ověření z aplikačního serveru na řadič domény, nikoli z klienta do řadiče domény. Proto budou relevantní události na aplikačním serveru.
Informace o klíči registru
Po instalaci ochrany CVE-2022-26931 a CVE-2022-26923 v aktualizacích Windows vydaných mezi 10. květnem 2022 a 10. zářím 2025 nebo novějšími jsou k dispozici následující klíče registru.
Tento klíč registru změní režim vynucení služby KDC na režim zakázáno, režim kompatibility nebo režim úplného vynucování.
Důležité
Použití tohoto klíče registru je dočasným alternativním řešením pro prostředí, která ho vyžadují, a je třeba ho provádět s opatrností. Použití tohoto klíče registru znamená pro vaše prostředí následující:
-
Tento klíč registru funguje pouze v režimu kompatibility od aktualizací vydaných 10. května 2022.
-
Tento klíč registru nebude po instalaci aktualizací pro Windows vydaných 10. září 2025 podporován.
-
Detekce a ověřování rozšíření SID používané vynucením vazby silného certifikátu závisí na klíč registru KDC UseSubjectAltName hodnota. Rozšíření SID se použije, pokud hodnota registru neexistuje nebo pokud je hodnota nastavená na hodnotu 0x1. Rozšíření SID se nepoužije, pokud useSubjectAltName existuje a hodnota je nastavena na 0x0.
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Hodnota |
StrongCertificateBindingEnforcement |
Datový typ |
REG_DWORD |
Data |
1 – Zkontroluje, jestli existuje silné mapování certifikátů. Pokud ano, ověřování je povolené. V opačném případě služba KDC zkontroluje, jestli certifikát obsahuje nové rozšíření SID, a ověří ho. Pokud toto rozšíření neexistuje, ověřování je povolené, pokud uživatelský účet předefinuje certifikát. 2 – Zkontroluje, jestli existuje silné mapování certifikátů. Pokud ano, ověřování je povolené. V opačném případě služba KDC zkontroluje, jestli certifikát obsahuje nové rozšíření SID, a ověří ho. Pokud toto rozšíření neexistuje, ověřování se odmítne. 0 – Zakáže kontrolu mapování silného certifikátu. Nedoporučuje se, protože tím zakážete všechna vylepšení zabezpečení. Pokud nastavíte hodnotu 0, musíte také nastavit CertificateMappingMethods na 0x1F, jak je popsáno v části Klíč registru Schannel níže, aby ověřování na základě certifikátů počítače bylo úspěšné. |
Chcete restartovat? |
Ne |
Když serverová aplikace vyžaduje ověření klienta, Schannel se automaticky pokusí namapovat certifikát, který klient TLS dodává, na uživatelský účet. Uživatele, kteří se přihlašují pomocí klientského certifikátu, můžete ověřit tak, že vytvoříte mapování, která prováže informace o certifikátu s uživatelským účtem systému Windows. Po vytvoření a povolení mapování certifikátů pokaždé, když klient předloží klientský certifikát, serverová aplikace automaticky přidruží daného uživatele k příslušnému uživatelskému účtu systému Windows.
Schannel se pokusí namapovat každou metodu mapování certifikátů, kterou jste povolili, dokud nebude úspěšná. Schannel se nejprve pokusí namapovat mapování Service-For-User-To-Self (S4U2Self). Mapování certifikátů subjektu/vystavitele, vystavitele a hlavního názvu uživatele (UPN) je nyní považováno za slabé a ve výchozím nastavení je zakázané. Součet vybraných možností s maskou bitů určuje seznam dostupných metod mapování certifikátů.
Výchozí klíč registru SChannel byl 0x1F a teď je 0x18. Pokud u serverových aplikací založených na zprostředkovateli Schannel dochází k selhání ověřování, doporučujeme provést test. Přidejte nebo upravte hodnotu klíče registru CertificateMappingMethods na řadiči domény a nastavte ji na 0x1F a zjistěte, jestli se tím problém nevyřeší. Další informace najdete v protokolech událostí systému na řadiči domény, kde najdete chyby uvedené v tomto článku. Mějte na paměti, že změna hodnoty klíče registru SChannel zpět na předchozí výchozí (0x1F) se vrátí k použití slabých metod mapování certifikátů.
Podklíč registru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Hodnota |
CertificateMappingMethods |
Datový typ |
DWORD |
Data |
0x0001 – mapování certifikátu subjektu/vystavitele (slabé – ve výchozím nastavení zakázáno) 0x0002 – mapování certifikátu vystavitele (slabé – ve výchozím nastavení zakázáno) 0x0004 – mapování certifikátu UPN (slabé – ve výchozím nastavení zakázáno) 0x0008 – Mapování certifikátů S4U2Self (silné) 0x0010 – Mapování explicitního certifikátu S4U2Self (silné) |
Chcete restartovat? |
Ne |
Další zdroje informací a podporu najdete v části Další prostředky.
Po instalaci aktualizací, které řeší cve-2022-26931 a CVE-2022-26923, může ověření selhat v případech, kdy jsou certifikáty uživatele starší než doba vytvoření uživatele. Tento klíč registru umožňuje úspěšné ověřování, pokud ve vašem prostředí používáte slabé mapování certifikátů a doba certifikátu je před časem vytvoření uživatele v rámci nastaveného rozsahu. Tento klíč registru nemá vliv na uživatele ani počítače se silnými mapováními certifikátů, protože u mapování silných certifikátů se nekontroluje čas certifikátu a čas vytvoření uživatele. Tento klíč registru nemá žádný vliv, pokud strongCertificateBindingEnforcement je nastaven na 2.
Použití tohoto klíče registru je dočasným alternativním řešením pro prostředí, která ho vyžadují, a je třeba ho provádět s opatrností. Použití tohoto klíče registru znamená pro vaše prostředí následující:
-
Tento klíč registru funguje pouze v režimu kompatibility od aktualizací vydaných 10. května 2022. Ověřování bude povoleno v rámci posunu kompenzace backdating, ale pro slabou vazbu se zaprotokoluje upozornění protokolu událostí.
-
Povolení tohoto klíče registru umožňuje ověření uživatele, když je čas certifikátu před časem vytvoření uživatele v rámci nastaveného rozsahu, což je slabé mapování. Po instalaci aktualizací pro Windows vydaných 10. září 2025 nebudou slabá mapování podporována.
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Hodnota |
CertificateBackdatingCompensation |
Datový typ |
REG_DWORD |
Data |
Hodnoty pro alternativní řešení v přibližných letech:
Poznámka Pokud znáte životnost certifikátů ve vašem prostředí, nastavte tento klíč registru na mírně delší než životnost certifikátu. Pokud neznáte životnost certifikátů pro vaše prostředí, nastavte tento klíč registru na 50 let. Výchozí hodnota je 10 minut, pokud tento klíč není k dispozici, což odpovídá službě Active Directory Certificate Services (ADCS). Maximální hodnota je 50 let (0x5E0C89C0). Tento klíč nastaví časový rozdíl v sekundách, který bude Centrum distribuce klíčů (KDC) ignorovat mezi časem vystavení ověřovacího certifikátu a časem vytvoření účtu pro účty uživatelů nebo počítačů. Důležité Tento klíč registru nastavte jenom v případě, že to vaše prostředí vyžaduje. Použití tohoto klíče registru zakazuje kontrolu zabezpečení. |
Chcete restartovat? |
Ne |
Certifikační autority organizace
Certifikační autority organizace (CA) začnou ve výchozím nastavení přidávat nové nekritické rozšíření s identifikátorem objektu (OID) (1.3.6.1.4.1.311.25.2) ve výchozím nastavení do všech certifikátů vydaných pro online šablony po instalaci aktualizace Windows z 10. května 2022. Přidávání tohoto rozšíření můžete zastavit nastavením 0x00080000 bitu v hodnotě msPKI-Enrollment-Flag odpovídající šablony.
Spuštěním následujícího příkazu certutil vyloučíte certifikáty šablony uživatele ze získání nového rozšíření.
-
Přihlaste se k serveru certifikační autority nebo k Windows 10 klientovi připojenému k doméně pomocí podnikového správce nebo ekvivalentních přihlašovacích údajů.
-
Otevřete příkazový řádek a zvolte Spustit jako správce.
-
Spusťte příkaz certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Zakázáním přidání tohoto rozšíření odeberete ochranu poskytovanou novým rozšířením. Zvažte to až po jedné z následujících možností:
-
Potvrdíte, že odpovídající certifikáty nejsou přijatelné pro kryptografii veřejných klíčů pro počáteční ověřování (PKINIT) v ověřování protokolu Kerberos na KDC.
-
Odpovídající certifikáty mají nakonfigurovaná další mapování silných certifikátů.
Prostředí, která mají nasazení certifikační autority jiné společnosti než Microsoft, nebudou po instalaci aktualizace Systému Windows z 10. května 2022 chráněna pomocí nového rozšíření SID. Ovlivnění zákazníci by měli na řešení tohoto problému spolupracovat s odpovídajícími dodavateli certifikační autority, případně by měli zvážit použití jiných mapování silných certifikátů popsaných výše.
Další zdroje informací a podporu najdete v části Další prostředky.
Nejčastější dotazy
Ne, prodloužení se nevyžaduje. Certifikační autorita se bude dodávat v režimu kompatibility. Pokud chcete silné mapování pomocí rozšíření ObjectSID, budete potřebovat nový certifikát.
V aktualizaci Windows z 11. února 2025 se zařízení, která ještě nejsou v vynucení (hodnota registru StrongCertificateBindingEnforcement je nastavená na 2), přesunou na Vynucení. Pokud je ověřování zamítnuto, zobrazí se id události 39 (nebo ID události 41 pro Windows Server 2008 R2 SP1 a Windows Server 2008 SP2). V této fázi budete mít možnost nastavit hodnotu klíče registru zpět na 1 (režim kompatibility).
V aktualizaci Windows z 10. září 2025 už nebude podporována hodnota registru StrongCertificateBindingEnforcement .
Další zdroje informací
Další informace o mapování klientských certifikátů TLS najdete v následujících článcích: