Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Datum ändern

Beschreibung

10/24/2024

Der Übersichtlichkeit halber wurde der Text in Schritt 2 des Abschnitts "Aktion ergreifen" in der Beschreibung des Abschnitts "Vollerzwingungsmodus" des Abschnitts "Zeitachse für Windows-Updates" aktualisiert, und die Datumsinformationen der Themen "Schlüsselverteilungscenter (KDC) Registry Key" und "Certificate Backdating Registry Key" im Abschnitt "Registrierungsschlüsselinformationen" überarbeitet.

9/10/2024

Die Beschreibung des Vollständigen Erzwingungsmodus im Abschnitt "Zeitsteuerung für Windows-Updates" wurde geändert, um neue Datumsangaben widerzuspiegeln. Am 11. Februar 2025 werden Geräte in den Erzwingungsmodus versetzt, aber die Unterstützung wird beibehalten, um wieder in den Kompatibilitätsmodus zu wechseln. Die vollständige Unterstützung von Registrierungsschlüsseln endet nun am 10. September 2025.

7/5/2024

Dem Registrierungsschlüssel des Schlüsselverteilungscenters (Key Distribution Center, KDC) wurden im Abschnitt "Registrierungsschlüsselinformationen" Informationen zur SID-Erweiterung hinzugefügt.

10.10.2023

Informationen zu Den Standardänderungen für starke Zuordnungen unter "Zeitachse für Windows Updates" hinzugefügt

6/30/2023

Datum der vollständigen Erzwingung vom 14. November 2023 auf den 11. Februar 2025 geändert (diese Datumsangaben wurden zuvor als 19. Mai 2023 bis 14. November 2023 aufgeführt).

1/26/2023

Das Entfernen des deaktivierten Modus wurde vom 14. Februar 2023 auf den 11. April 2023 geändert.

Zusammenfassung

CVE-2022-34691,CVE-2022-26931 und CVE-2022-26923 beheben ein Sicherheitsrisiko durch Rechteerweiterungen, das auftreten kann, wenn das Kerberos Key Distribution Center (KDC) eine zertifikatbasierte Authentifizierungsanforderung verarbeitet. Vor dem Sicherheitsupdate vom 10. Mai 2022 wurde bei der zertifikatbasierten Authentifizierung kein Dollarzeichen ($) am Ende eines Computernamens berücksichtigt. Dies ermöglichte es, verwandte Zertifikate auf verschiedene Weise emuliert (spoofed) zu emulieren. Darüber hinaus haben Konflikte zwischen Benutzerprinzipalnamen (User Principal Names, UPN) und sAMAccountName andere Emulationsrisiken (Spoofing) eingeführt, die auch mit diesem Sicherheitsupdate behoben werden. 

In Aktion treten

Führen Sie zum Schutz Ihrer Umgebung die folgenden Schritte für die zertifikatbasierte Authentifizierung aus:

  1. Aktualisieren Sie alle Server, auf denen Active Directory-Zertifikatdienste und Windows-Domänencontroller ausgeführt werden, die die zertifikatbasierte Authentifizierung mit dem Update vom 10. Mai 2022 verarbeiten (siehe Kompatibilitätsmodus). Das Update vom 10. Mai 2022 stellt Überwachungsereignisse bereit, die Zertifikate identifizieren, die nicht mit dem Vollständigen Erzwingungsmodus kompatibel sind.

  2. Wenn nach der Installation des Updates einen Monat lang keine Überwachungsereignisprotokolle auf Domänencontrollern erstellt werden, aktivieren Sie den Modus "Vollständige Erzwingung" auf allen Domänencontrollern. Wenn der Registrierungsschlüssel StrongCertificateBindingEnforcemennicht konfiguriert ist, wechseln Domänencontroller im Februar 2025 in den Modus "Vollständige Erzwingung". Andernfalls wird die Einstellung Kompatibilitätsmodus für Registrierungsschlüssel weiterhin berücksichtigt. Wenn ein Zertifikat im Vollständigen Erzwingungsmodus die starken (sicheren) Zuordnungskriterien nicht erfüllt (siehe Zertifikatzuordnungen), wird die Authentifizierung verweigert. Die Option, zurück in den Kompatibilitätsmodus zu wechseln, bleibt jedoch bis September 2025 erhalten. ​​​​​​​

Überwachungsereignisse

Das Windows-Update vom 10. Mai 2022 fügt die folgenden Ereignisprotokolle hinzu.

Es konnten keine starken Zertifikatzuordnungen gefunden werden, und das Zertifikat verfügte nicht über die neue Sid-Erweiterung (Security Identifier), die vom KDC überprüft werden konnte.

Ereignisprotokoll

System

Veranstaltungstyp

Warnung, wenn sich das KDC im Kompatibilitätsmodus befindet

Fehler, wenn sich das KDC im Erzwingungsmodus befindet

Ereignisquelle

Kdcsvc

Ereigniskennung

39

41 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2)

Ereignistext

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber nicht auf starke Weise einem Benutzer zugeordnet werden konnte (z. B. über explizite Zuordnung, Schlüsselvertrauenszuordnung oder SID). Solche Zertifikate sollten entweder durch explizite Zuordnung ersetzt oder dem Benutzer direkt zugeordnet werden. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925.

Benutzer: <Prinzipalname>

Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten>

Zertifikataussteller: <vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN)>

Seriennummer des Zertifikats: <Seriennummer des Zertifikats>

Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats>

Das Zertifikat wurde für den Benutzer ausgestellt, bevor der Benutzer in Active Directory vorhanden war, und es konnte keine starke Zuordnung gefunden werden. Dieses Ereignis wird nur protokolliert, wenn sich das KDC im Kompatibilitätsmodus befindet.

Ereignisprotokoll

System

Ereignistyp

Fehler

Ereignisquelle

Kdcsvc

Ereigniskennung

40

48 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2

Ereignistext

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber nicht auf starke Weise einem Benutzer zugeordnet werden konnte (z. B. über explizite Zuordnung, Schlüsselvertrauenszuordnung oder SID). Das Zertifikat war auch vor dem Benutzer, dem es zugeordnet war, vorangestellt, sodass es abgelehnt wurde. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925.

Benutzer: <Prinzipalname>

Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten>

Zertifikataussteller: <FQDN des Ausstellers>

Seriennummer des Zertifikats: <Seriennummer des Zertifikats>

Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats>

Zertifikatausstellungszeit: <FILETIME des Zertifikats>

Kontoerstellungszeit: <FILETIME des Prinzipalobjekts in AD>

Die in der neuen Erweiterung des Benutzerzertifikats enthaltene SID stimmt nicht mit der BENUTZER-SID überein, was bedeutet, dass das Zertifikat für einen anderen Benutzer ausgestellt wurde.

Ereignisprotokoll

System

Ereignistyp

Fehler

Ereignisquelle

Kdcsvc

Ereigniskennung

41

49 (für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2)

Ereignistext

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Benutzerzertifikat gefunden, das gültig war, aber eine andere SID als der Benutzer enthielt, dem es zugeordnet wurde. Daher ist bei der Anforderung, die das Zertifikat umfasst, ein Fehler aufgetreten. Weitere Informationen finden Sie unter https://go.microsoft.cm/fwlink/?linkid=2189925.

Benutzer: <Prinzipalname>

Benutzer-SID: <SID des Authentifizierungsprinzipals>

Zertifikatsbeantrager: <Antragstellername in zertifikatsbasierten>

Zertifikataussteller: <FQDN des Ausstellers>

Seriennummer des Zertifikats: <Seriennummer des Zertifikats>

Zertifikatfingerabdruck: <Fingerabdruck des Zertifikats>

Zertifikat-SID: <SID im neuen zertifikaterweiterungs->

Zertifikatzuordnungen

Domänenadministratoren können Zertifikate manuell einem Benutzer in Active Directory zuordnen, indem sie das altSecurityIdentities-Attribut des Users-Objekts verwenden. Es gibt sechs unterstützte Werte für dieses Attribut, wobei drei Zuordnungen als schwach (unsicher) und die anderen drei als stark gelten. Im Allgemeinen werden Zuordnungstypen als stark angesehen, wenn sie auf Bezeichnern basieren, die Sie nicht wiederverwenden können. Daher gelten alle Zuordnungstypen, die auf Benutzernamen und E-Mail-Adressen basieren, als schwach.

Zuordnung

Beispiel

Type

Hinweise

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Schwach

X509SubjectOnly

"X509:<S>SubjectName"

Schwach

X509RFC822

"X509:<RFC822>user@contoso.com"

Schwach

E-Mail-Adresse

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Starke

Empfohlen

X509SKI

"X509:<SKI>123456789abcdef"

Starke

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Starke

Wenn Kunden Zertifikate mit der neuen SID-Erweiterung nicht erneut ausstellen können, empfiehlt es sich, eine manuelle Zuordnung mithilfe einer der oben beschriebenen starken Zuordnungen zu erstellen. Sie können dies tun, indem Sie die entsprechende Zuordnungszeichenfolge zu einem benutzer altSecurityIdentities-Attribut in Active Directory hinzufügen.

HinweisBestimmte Felder, z. B. Aussteller, Betreff und Seriennummer, werden im Format "Vorwärts" gemeldet. Sie müssen dieses Format umkehren, wenn Sie die Zuordnungszeichenfolge zum AltSecurityIdentities-Attribut hinzufügen. Wenn Sie z. B. einem Benutzer die X509IssuerSerialNumber-Zuordnung hinzufügen möchten, durchsuchen Sie die Felder "Aussteller" und "Seriennummer" des Zertifikats, das Sie dem Benutzer zuordnen möchten. Weitere Informationen finden Sie in der folgenden Beispielausgabe.

  • Aussteller: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Seriennummer: 2B0000000011AC00000000012

Aktualisieren Sie dann das altSecurityIdentities-Attribut des Benutzers in Active Directory mit der folgenden Zeichenfolge:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Um dieses Attribut mithilfe von PowerShell zu aktualisieren, können Sie den folgenden Befehl verwenden. Beachten Sie, dass standardmäßig nur Domänenadministratoren über die Berechtigung zum Aktualisieren dieses Attributs verfügen.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC110000000002B"}

Beachten Sie, dass Sie beim Umkehren der SerialNumber die Bytereihenfolge beibehalten müssen. Dies bedeutet, dass das Umkehren der SerialNumber "A1B2C3" zu der Zeichenfolge "C3B2A1" und nicht zu "3C2B1A" führen sollte. Weitere Informationen finden Sie unter Vorgehensweise: Zuordnen eines Benutzers zu einem Zertifikat über alle Methoden, die im altSecurityIdentities-Attribut verfügbar sind.

Zeitachse für Windows-Updates

Wichtig Die Aktivierungsphase beginnt mit den Updates vom 11. April 2023 für Windows, die die Registrierungsschlüsseleinstellung Deaktivierter Modus ignoriert. 

Nachdem Sie die Windows-Updates vom 10. Mai 2022 installiert haben, befinden sich Geräte im Kompatibilitätsmodus. Wenn ein Zertifikat einem Benutzer stark zugeordnet werden kann, erfolgt die Authentifizierung wie erwartet. Wenn ein Zertifikat nur schwach einem Benutzer zugeordnet werden kann, erfolgt die Authentifizierung wie erwartet. Es wird jedoch eine Warnmeldung protokolliert, es sei denn, das Zertifikat ist älter als der Benutzer. Wenn das Zertifikat älter als der Benutzer ist und der Registrierungsschlüssel "Certificate Backdating" nicht vorhanden ist oder der Bereich außerhalb der Rückvergütung liegt, schlägt die Authentifizierung fehl, und eine Fehlermeldung wird protokolliert.  Wenn der Registrierungsschlüssel "Certificate Backdating" konfiguriert ist, wird eine Warnmeldung im Ereignisprotokoll protokolliert, wenn die Datumsangaben innerhalb der Rückvergütung liegen.

Nachdem Sie die Windows-Updates vom 10. Mai 2022 installiert haben, watch für jede Warnmeldung, die nach einem Monat oder länger angezeigt wird. Wenn keine Warnmeldungen vorhanden sind, wird dringend empfohlen, dass Sie den Vollständigen Erzwingungsmodus auf allen Domänencontrollern aktivieren, die die zertifikatbasierte Authentifizierung verwenden. Sie können den KDC-Registrierungsschlüssel verwenden, um den Vollständigen Erzwingungsmodus zu aktivieren.

Sofern sie nicht zuvor mithilfe des Registrierungsschlüssels StrongCertificateBindingEnforcement auf den Überwachungsmodus oder den Erzwingungsmodus aktualisiert wurden, werden Domänencontroller bei der Installation des Windows-Sicherheitsupdates vom Februar 2025 in den Modus "Vollständige Erzwingung" versetzt. Die Authentifizierung wird verweigert, wenn ein Zertifikat nicht stark zugeordnet werden kann. Die Option, zurück in den Kompatibilitätsmodus zu wechseln, bleibt bis September 2025 erhalten. Nach diesem Datum wird der Registrierungsschlüssel StrongCertificateBindingEnforcement nicht mehr unterstützt.

Wenn die zertifikatbasierte Authentifizierung auf einer schwachen Zuordnung basiert, die Sie nicht aus der Umgebung verschieben können, können Sie Domänencontroller mithilfe einer Registrierungsschlüsseleinstellung in den deaktivierten Modus versetzen. Microsoft empfiehlt dies nicht , und wir entfernen den deaktivierten Modus am 11. April 2023.

Nachdem Sie die Windows-Updates für Server 2019 und höher vom 13. Februar 2024 oder höher installiert und unterstützte Clients mit dem optionalen RSAT-Feature installiert haben, wählt die Zertifikatzuordnung in Active Directory-Benutzer & Computern standardmäßig eine starke Zuordnung mithilfe der X509IssuerSerialNumber anstelle einer schwachen Zuordnung mithilfe von X509IssuerSubject aus. Die Einstellung kann weiterhin wie gewünscht geändert werden.

Problembehandlung

  • Verwenden Sie das Kerberos-Betriebsprotokoll auf dem relevanten Computer, um zu ermitteln, welcher Domänencontroller bei der Anmeldung fehlschlägt. Wechseln Sie zu Ereignisanzeige > Anwendungs- und Dienstprotokolle\Microsoft \Windows\Security-Kerberos\Operational.

  • Suchen Sie nach relevanten Ereignissen im Systemereignisprotokoll auf dem Domänencontroller, bei dem das Konto versucht, sich zu authentifizieren.

  • Wenn das Zertifikat älter als das Konto ist, führen Sie das Zertifikat erneut aus, oder fügen Sie dem Konto eine sichere altSecurityIdentities-Zuordnung hinzu (siehe Zertifikatzuordnungen).

  • Wenn das Zertifikat eine SID-Erweiterung enthält, überprüfen Sie, ob die SID mit dem Konto übereinstimmt.

  • Wenn das Zertifikat zum Authentifizieren mehrerer verschiedener Konten verwendet wird, benötigt jedes Konto eine separate altSecurityIdentities-Zuordnung .

  • Wenn das Zertifikat keine sichere Zuordnung zum Konto aufweist, fügen Sie eines hinzu, oder belassen Sie die Domäne im Kompatibilitätsmodus, bis eine hinzugefügt werden kann.

Ein Beispiel für die TLS-Zertifikatzuordnung ist die Verwendung einer IIS-Intranetwebanwendung.

  • Nach der Installation der Schutzmaßnahmen CVE-2022-26391 und CVE-2022-26923 verwenden diese Szenarien standardmäßig das Kerberos Certificate Service For User (S4U)-Protokoll für die Zertifikatzuordnung und -Authentifizierung.

  • Im Kerberos-Zertifikat-S4U-Protokoll fließt die Authentifizierungsanforderung vom Anwendungsserver zum Domänencontroller, nicht vom Client zum Domänencontroller. Daher befinden sich relevante Ereignisse auf dem Anwendungsserver.

Registrierungsschlüssel-Informationen

Nachdem Sie die Schutzmaßnahmen CVE-2022-26931 und CVE-2022-26923 in den Windows-Updates installiert haben, die zwischen dem 10. Mai 2022 und dem 10. September 2025 oder höher veröffentlicht wurden, sind die folgenden Registrierungsschlüssel verfügbar.

Dieser Registrierungsschlüssel wird nach der Installation von Updates für Windows, die am oder nach September 2025 veröffentlicht wurden, nicht mehr unterstützt.

Wichtig

Die Verwendung dieses Registrierungsschlüssels ist eine temporäre Problemumgehung für Umgebungen, die ihn benötigen, und muss mit Vorsicht erfolgen. Die Verwendung dieses Registrierungsschlüssels bedeutet Folgendes für Ihre Umgebung:

  • Dieser Registrierungsschlüssel funktioniert nur im Kompatibilitätsmodus ab Updates, die am 10. Mai 2022 veröffentlicht wurden.

  • Dieser Registrierungsschlüssel wird nach der Installation von Updates für Windows, die am 10. September 2025 veröffentlicht wurden, nicht mehr unterstützt.

  • Die Erkennung und Validierung der SID-Erweiterung, die von der Erzwingung einer starken Zertifikatbindung verwendet wird, ist vom Wert useSubjectAltName des KDC-Registrierungsschlüssels abhängig. Die SID-Erweiterung wird verwendet, wenn der Registrierungswert nicht vorhanden ist oder wenn der Wert auf den Wert 0x1 festgelegt ist. Die SID-Erweiterung wird nicht verwendet, wenn UseSubjectAltName vorhanden ist und der Wert auf 0x0 festgelegt ist.

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

StrongCertificateBindingEnforcement

Datentyp

REG_DWORD

Data

1 – Überprüft, ob eine starke Zertifikatzuordnung vorhanden ist. Wenn ja, ist die Authentifizierung zulässig. Andernfalls überprüft der KDC, ob das Zertifikat über die neue SID-Erweiterung verfügt, und überprüft sie. Wenn diese Erweiterung nicht vorhanden ist, ist die Authentifizierung zulässig, wenn das Benutzerkonto dem Zertifikat vorangestellt ist.

2 – Überprüft, ob eine starke Zertifikatzuordnung vorhanden ist. Wenn ja, ist die Authentifizierung zulässig. Andernfalls überprüft der KDC, ob das Zertifikat über die neue SID-Erweiterung verfügt, und überprüft sie. Wenn diese Erweiterung nicht vorhanden ist, wird die Authentifizierung verweigert.

0 – Deaktiviert die überprüfung der starken Zertifikatzuordnung. Nicht empfohlen, da dadurch alle Sicherheitsverbesserungen deaktiviert werden.

Wenn Sie diesen Wert auf 0 festlegen, müssen Sie auch CertificateMappingMethods auf 0x1F festlegen, wie im Abschnitt Schannel-Registrierungsschlüssel unten beschrieben, damit die zertifikatbasierte Computerauthentifizierung erfolgreich ist.

Neustart erforderlich?

Nein

Wenn eine Serveranwendung die Clientauthentifizierung erfordert, versucht Schannel automatisch, das zertifikat, das der TLS-Client bereitstellt, einem Benutzerkonto zuzuordnen. Sie können Benutzer authentifizieren, die sich mit einem Clientzertifikat anmelden, indem Sie Zuordnungen erstellen, die die Zertifikatinformationen mit einem Windows-Benutzerkonto verknüpfen. Nachdem Sie eine Zertifikatzuordnung erstellt und aktiviert haben, ordnet die Serveranwendung jedes Mal, wenn ein Client ein Clientzertifikat vorstellt, diesen Benutzer automatisch dem entsprechenden Windows-Benutzerkonto zu.

Schannel versucht, jede von Ihnen aktivierte Zertifikatzuordnungsmethode zuzuordnen, bis eine erfolgreich ist. Schannel versucht zuerst, die S4U2Self-Zuordnungen (Service For User-To-Self) zuzuordnen. Die Zertifikatzuordnungen Antragsteller/Aussteller, Aussteller und UPN gelten jetzt als schwach und wurden standardmäßig deaktiviert. Die bitmasked-Summe der ausgewählten Optionen bestimmt die Liste der verfügbaren Zertifikatzuordnungsmethoden.

Der SChannel-Registrierungsschlüssel wurde standardmäßig 0x1F und ist jetzt 0x18. Wenn bei Schannel-basierten Serveranwendungen Authentifizierungsfehler auftreten, empfiehlt es sich, einen Test durchzuführen. Fügen Sie den Registrierungsschlüsselwert CertificateMappingMethods auf dem Domänencontroller hinzu, oder ändern Sie ihn, und legen Sie ihn auf 0x1F fest, und überprüfen Sie, ob das Problem dadurch behoben wird. Weitere Informationen finden Sie in den Systemereignisprotokollen auf dem Domänencontroller nach fehlern, die in diesem Artikel aufgeführt sind. Beachten Sie, dass das Ändern des Werts des SChannel-Registrierungsschlüssels wieder auf den vorherigen Standardwert (0x1F) rückgängig machen wird, um schwache Zertifikatzuordnungsmethoden zu verwenden.

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Value

CertificateMappingMethods

Datentyp

DWORD

Data

0x0001 : Zertifikatzuordnung für Antragsteller/Aussteller (schwach – standardmäßig deaktiviert)

0x0002 : Zertifikatzuordnung des Ausstellers (schwach– standardmäßig deaktiviert)

0x0004 – UPN-Zertifikatzuordnung (schwach – standardmäßig deaktiviert)

0x0008 – S4U2Self-Zertifikatzuordnung (stark)

0x0010 : Explizite S4U2Self-Zertifikatzuordnung (stark)

Neustart erforderlich?

Nein

Weitere Ressourcen und Unterstützung finden Sie im Abschnitt "Zusätzliche Ressourcen".

Nach der Installation von Updates, die CVE-2022-26931 und CVE-2022-26923 adressieren, kann die Authentifizierung in Fällen fehlschlagen, in denen die Benutzerzertifikate älter sind als die Erstellungszeit des Benutzers. Dieser Registrierungsschlüssel ermöglicht eine erfolgreiche Authentifizierung, wenn Sie schwache Zertifikatzuordnungen in Ihrer Umgebung verwenden und die Zertifikatszeit vor der Erstellungszeit des Benutzers innerhalb eines festgelegten Bereichs liegt. Dieser Registrierungsschlüssel wirkt sich nicht auf Benutzer oder Computer mit starken Zertifikatzuordnungen aus, da die Zertifikatzeit und die Erstellungszeit des Benutzers nicht mit starken Zertifikatzuordnungen überprüft werden. Dieser Registrierungsschlüssel hat keine Auswirkung, wenn StrongCertificateBindingEnforcement auf 2 festgelegt ist.

Die Verwendung dieses Registrierungsschlüssels ist eine temporäre Problemumgehung für Umgebungen, die ihn benötigen, und muss mit Vorsicht erfolgen. Die Verwendung dieses Registrierungsschlüssels bedeutet Folgendes für Ihre Umgebung:

  • Dieser Registrierungsschlüssel funktioniert nur im Kompatibilitätsmodus ab Updates, die am 10. Mai 2022 veröffentlicht wurden. Die Authentifizierung ist innerhalb des Offsets für die Rückvergütung zulässig, aber für die schwache Bindung wird eine Ereignisprotokollwarnung protokolliert.

  • Die Aktivierung dieses Registrierungsschlüssels ermöglicht die Authentifizierung des Benutzers, wenn die Zertifikatszeit vor dem Erstellungszeitpunkt des Benutzers innerhalb eines festgelegten Bereichs liegt, als schwache Zuordnung. Schwache Zuordnungen werden nach der Installation von Updates für Windows, die am oder nach September 2025 veröffentlicht wurden, nicht mehr unterstützt.

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

CertificateBackdatingCompensation

Datentyp

REG_DWORD

Data

Werte für die Problemumgehung in ungefähren Jahren:

  • 50 Jahre: 0x5E0C89C0

  • 25 Jahre: 0x2EFE0780

  • 10 Jahre: 0x12CC0300

  • 5 Jahre: 0x9660180

  • 3 Jahre: 0x5A39A80

  • 1 Jahr: 0x1E13380

Hinweis Wenn Sie die Lebensdauer der Zertifikate in Ihrer Umgebung kennen, legen Sie diesen Registrierungsschlüssel auf etwas länger als die Zertifikatlebensdauer fest.  Wenn Sie die Zertifikatlebensdauer für Ihre Umgebung nicht kennen, legen Sie diesen Registrierungsschlüssel auf 50 Jahre fest. Der Standardwert beträgt 10 Minuten, wenn dieser Schlüssel nicht vorhanden ist, was active Directory Certificate Services (ADCS) entspricht. Der Höchstwert beträgt 50 Jahre (0x5E0C89C0).

Dieser Schlüssel legt die Zeitdifferenz in Sekunden fest, die das Schlüsselverteilungscenter (Key Distribution Center, KDC) zwischen der Ausstellungszeit eines Authentifizierungszertifikats und der Erstellungszeit für Benutzer-/Computerkonten ignoriert.

Wichtig Legen Sie diesen Registrierungsschlüssel nur fest, wenn er für Ihre Umgebung erforderlich ist. Die Verwendung dieses Registrierungsschlüssels deaktiviert eine Sicherheitsüberprüfung.

Neustart erforderlich?

Nein

Unternehmenszertifizierungsstellen

Unternehmenszertifizierungsstellen beginnen standardmäßig mit dem Hinzufügen einer neuen nicht kritischen Erweiterung mit objektbezeichner (OID) (1.3.6.1.4.1.311.25.2) in allen Zertifikaten, die für Onlinevorlagen ausgestellt wurden, nachdem Sie das Windows-Update vom 10. Mai 2022 installiert haben. Sie können das Hinzufügen dieser Erweiterung beenden, indem Sie das 0x00080000 Bit im MsPKI-Enrollment-Flag-Wert der entsprechenden Vorlage festlegen.

Führen Sie den folgenden certutil-Befehl aus, um Zertifikate der Benutzervorlage vom Abrufen der neuen Erweiterung auszuschließen.

  1. Melden Sie sich bei einem Zertifizierungsstellenserver oder einem in die Domäne eingebundenen Windows 10 Client mit dem Unternehmensadministrator oder den entsprechenden Anmeldeinformationen an.

  2. Öffnen Sie eine Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  3. Führen Sie certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 aus. 

Wenn Sie das Hinzufügen dieser Erweiterung deaktivieren, wird der von der neuen Erweiterung bereitgestellte Schutz entfernt. Erwägen Sie, dies nur nach einer der folgenden Aktionen zu tun:

  1. Sie bestätigen, dass die entsprechenden Zertifikate für die Kryptografie mit öffentlichem Schlüssel für die Erstauthentifizierung (PKINIT) in Kerberos-Protokollauthentifizierungen bei KDC nicht akzeptabel sind.

  2. Für die entsprechenden Zertifikate sind weitere starke Zertifikatzuordnungen konfiguriert.

Umgebungen mit Bereitstellungen von Nicht-Microsoft-Zertifizierungsstellen werden nach der Installation des Windows-Updates vom 10. Mai 2022 nicht mit der neuen SID-Erweiterung geschützt. Betroffene Kunden sollten mit den entsprechenden Zertifizierungsstellenanbietern zusammenarbeiten, um dies zu beheben, oder sie sollten die Verwendung anderer oben beschriebener starker Zertifikatzuordnungen in Betracht ziehen.

Weitere Ressourcen und Unterstützung finden Sie im Abschnitt "Zusätzliche Ressourcen".

Häufig gestellte Fragen

Nein, eine Verlängerung ist nicht erforderlich. Die Zertifizierungsstelle wird im Kompatibilitätsmodus ausgeliefert. Wenn Sie eine starke Zuordnung mit der ObjectSID-Erweiterung wünschen, benötigen Sie ein neues Zertifikat.

Im Windows-Update vom 11. Februar 2025 werden Geräte, die noch nicht erzwingen (Der Registrierungswert StrongCertificateBindingEnforcement ist auf 2 festgelegt) in Erzwingung verschoben. Wenn die Authentifizierung verweigert wird, wird ereignis-ID 39 (oder Ereignis-ID 41 für Windows Server 2008 R2 SP1 und Windows Server 2008 SP2) angezeigt. Sie haben die Möglichkeit, den Registrierungsschlüsselwert in dieser Phase wieder auf 1 (Kompatibilitätsmodus) festzulegen.

Im Windows-Update vom 10. September 2025 wird der Registrierungswert StrongCertificateBindingEnforcement nicht mehr unterstützt. ​​​​​​​

Zusätzliche Ressourcen

Weitere Informationen zur TLS-Clientzertifikatzuordnung finden Sie in den folgenden Artikeln:

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.