Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Αλλαγή ημερομηνίας

Περιγραφή

10/24/2024

Ενημερωμένο κείμενο για λόγους σαφήνειας στο Βήμα 2 της ενότητας "Ανάληψη δράσης", στην περιγραφή "Λειτουργία πλήρους επιβολής" της ενότητας "Λωρίδα χρόνου για ενημερώσεις των Windows" και αναθεώρησε τις πληροφορίες ημερομηνίας των θεμάτων "Κλειδί μητρώου Κέντρου διανομής κλειδιού (KDC) και "Κλειδί μητρώου δημιουργίας αντιγράφων ασφαλείας πιστοποιητικών" στην ενότητα "Πληροφορίες κλειδιού μητρώου".

9/10/2024

Άλλαξε η περιγραφή της λειτουργίας πλήρους επιβολής στην ενότητα "Χρονισμός για ενημερώσεις των Windows", ώστε να αντικατοπτρίζει νέες ημερομηνίες. Στις 11 Φεβρουαρίου 2025, οι συσκευές θα μετακινηθούν στη λειτουργία επιβολής, αλλά θα αφήσουν την υποστήριξη για να επιστρέψουν στην κατάσταση λειτουργίας συμβατότητας. Η πλήρης υποστήριξη κλειδιού μητρώου θα λήξει τώρα στις 10 Σεπτεμβρίου 2025.

7/5/2024

Προστέθηκαν πληροφορίες σχετικά με την επέκταση SID στο κλειδί μητρώου του Κέντρου διανομής κλειδιών (KDC) στην ενότητα "Πληροφορίες κλειδιού μητρώου".

10/10/2023

Προστέθηκαν πληροφορίες σχετικά με τις προεπιλεγμένες αλλαγές για ισχυρές αντιστοιχίσεις στην περιοχή "Λωρίδα χρόνου για τα Windows Ενημερώσεις"

6/30/2023

Τροποποιήθηκε η ημερομηνία λειτουργίας πλήρους επιβολής από τις 14 Νοεμβρίου 2023 έως τις 11 Φεβρουαρίου 2025 (αυτές οι ημερομηνίες είχαν προηγουμένως καταχωρηθεί ως 19 Μαΐου 2023 έως 14 Νοεμβρίου 2023).

1/26/2023

Άλλαξε η κατάργηση της κατάστασης απενεργοποίησης από τις 14 Φεβρουαρίου 2023 έως τις 11 Απριλίου 2023

Σύνοψη

Τα CVE-2022-34691,CVE-2022-26931 και CVE-2022-26923 αντιμετωπίζουν μια ευπάθεια αναβάθμισης δικαιωμάτων που μπορεί να προκύψει όταν το Κέντρο διανομής κλειδιών Kerberos (KDC) εξυπηρετεί μια αίτηση ελέγχου ταυτότητας βάσει πιστοποιητικού. Πριν από την ενημέρωση ασφαλείας της 10ης Μαΐου 2022, ο έλεγχος ταυτότητας βάσει πιστοποιητικού δεν θα αντιλαμβάνεται το σύμβολο δολαρίου ($) στο τέλος ενός ονόματος υπολογιστή. Αυτό επέτρεπε στα σχετικά πιστοποιητικά να προσομοιώνονται (πλαστογραφημένα) με διάφορους τρόπους. Επιπλέον, οι διενέξεις μεταξύ των κύριων ονομάτων χρηστών (UPN) και του sAMAccountName εισήγαγαν άλλες ευπάθειες προσομοίωσης (πλαστογράφησης) που αντιμετωπίζουμε επίσης με αυτήν την ενημέρωση ασφαλείας. 

Αναλάβετε δράση

Για να προστατεύσετε το περιβάλλον σας, ακολουθήστε τα παρακάτω βήματα για έλεγχο ταυτότητας βάσει πιστοποιητικού:

  1. Ενημερώστε όλους τους διακομιστές που εκτελούν τις Υπηρεσίες πιστοποιητικών υπηρεσίας καταλόγου Active Directory και τους ελεγκτές τομέα των Windows που εξυπηρετούν έλεγχο ταυτότητας βάσει πιστοποιητικού με την ενημέρωση της 10ης Μαΐου 2022 (ανατρέξτε στην ενότητα Κατάσταση λειτουργίας συμβατότητας). Η ενημέρωση της 10ης Μαΐου 2022 θα παρέχει συμβάντα ελέγχου που προσδιορίζουν πιστοποιητικά που δεν είναι συμβατά με τη λειτουργία πλήρους επιβολής.

  2. Εάν δεν δημιουργούνται αρχεία καταγραφής συμβάντων ελέγχου σε ελεγκτές τομέα για ένα μήνα μετά την εγκατάσταση της ενημέρωσης, προχωρήστε στην ενεργοποίηση της λειτουργίας πλήρους ενεργοποίησης σε όλους τους ελεγκτές τομέα. Μέχρι τον Φεβρουάριο του 2025, εάν το κλειδί μητρώου StrongCertificateBindingEnforcement δεν έχει ρυθμιστεί, οι ελεγκτές τομέα θα μετακινηθούν στη λειτουργία πλήρους επιβολής. Διαφορετικά, η ρύθμιση λειτουργίας συμβατότητας των κλειδιών μητρώου θα συνεχίσει να τηρείται. Στη λειτουργία πλήρους επιβολής, εάν ένα πιστοποιητικό αποτύχει στα ισχυρά (ασφαλή) κριτήρια αντιστοίχισης (ανατρέξτε στο θέμα Αντιστοιχίσεις πιστοποιητικών), ο έλεγχος ταυτότητας δεν θα επιτρέπεται. Ωστόσο, η επιλογή επιστροφής στην κατάσταση λειτουργίας συμβατότητας θα παραμείνει μέχρι τον Σεπτέμβριο του 2025. ​​​​​​​

Συμβάντα ελέγχου

Η ενημέρωση των Windows της 10ης Μαΐου 2022 προσθέτει τα ακόλουθα αρχεία καταγραφής συμβάντων.

Δεν βρέθηκαν ισχυρές αντιστοιχίσεις πιστοποιητικών και το πιστοποιητικό δεν είχε τη νέα επέκταση αναγνωριστικού ασφαλείας (SID) που θα μπορούσε να επικυρώσει το KDC.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση εάν το KDC βρίσκεται σε κατάσταση λειτουργίας συμβατότητας

Σφάλμα, αν το KDC βρίσκεται σε λειτουργία επιβολής

Προέλευση συμβάντος

Kdcsvc

Αναγνωριστικό συμβάντος

39

41 (Για Windows Server 2008 R2 SP1 και Windows Server 2008 SP2)

Κείμενο συμβάντος

Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα πιστοποιητικό χρήστη που ήταν έγκυρο, αλλά δεν ήταν δυνατό να αντιστοιχιστεί με έναν χρήστη με ισχυρό τρόπο (όπως μέσω ρητής αντιστοίχισης, αντιστοίχισης αξιοπιστίας κλειδιού ή SID). Τα εν λόγω πιστοποιητικά θα πρέπει είτε να αντικατασταθούν είτε να αντιστοιχιστούν απευθείας στον χρήστη μέσω ρητής αντιστοίχισης. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2189925 για να μάθετε περισσότερα.

Χρήστης: <κύριο όνομα>

Θέμα πιστοποιητικού: <όνομα θέματος στο πιστοποιητικό>

Εκδότης πιστοποιητικού: <εκδότη πλήρως προσδιορισμένο όνομα τομέα (FQDN)>

Σειριακός αριθμός πιστοποιητικού: <σειριακός αριθμός του> πιστοποιητικού

Δακτυλικό αποτύπωμα πιστοποιητικού: <αποτύπωμα του πιστοποιητικού>

Το πιστοποιητικό εκδόθηκε στο χρήστη πριν από την ύπαρξη του χρήστη στην υπηρεσία καταλόγου Active Directory και δεν ήταν δυνατός ο εντοπισμός ισχυρής αντιστοίχισης. Αυτό το συμβάν καταγράφεται μόνο όταν το KDC βρίσκεται σε κατάσταση λειτουργίας συμβατότητας.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Kdcsvc

Αναγνωριστικό συμβάντος

40

48 (Για Windows Server 2008 R2 SP1 και Windows Server 2008 SP2

Κείμενο συμβάντος

Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα πιστοποιητικό χρήστη που ήταν έγκυρο, αλλά δεν ήταν δυνατό να αντιστοιχιστεί με έναν χρήστη με ισχυρό τρόπο (όπως μέσω ρητής αντιστοίχισης, αντιστοίχισης αξιοπιστίας κλειδιού ή SID). Επίσης, το πιστοποιητικό προϋπήρχε του χρήστη στον οποίο αντιστοιχίστηκε, επομένως απορρίφθηκε. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2189925 για να μάθετε περισσότερα.

Χρήστης: <κύριο όνομα>

Θέμα πιστοποιητικού: <όνομα θέματος στο πιστοποιητικό>

Εκδότης πιστοποιητικού: <> FQDN του εκδότη

Σειριακός αριθμός πιστοποιητικού: <σειριακός αριθμός του> πιστοποιητικού

Δακτυλικό αποτύπωμα πιστοποιητικού: <αποτύπωμα του πιστοποιητικού>

Ώρα έκδοσης πιστοποιητικού: <FILETIME του> πιστοποιητικού

Χρόνος δημιουργίας λογαριασμού: <FILETIME του κύριου αντικειμένου στο> AD

Το SID που περιέχεται στη νέα επέκταση του πιστοποιητικού χρηστών δεν συμφωνεί με το SID των χρηστών, υπονοώντας ότι το πιστοποιητικό εκδόθηκε σε άλλο χρήστη.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

Kdcsvc

Αναγνωριστικό συμβάντος

41

49 (Για Windows Server 2008 R2 SP1 και Windows Server 2008 SP2)

Κείμενο συμβάντος

Το Κέντρο διανομής κλειδιών (KDC) συνάντησε ένα πιστοποιητικό χρήστη που ήταν έγκυρο αλλά περιείχε διαφορετικό SID από τον χρήστη με τον οποίο αντιστοιχίστηκε. Ως αποτέλεσμα, η αίτηση που περιλαμβάνει το πιστοποιητικό απέτυχε. Ανατρέξτε στο θέμα https://go.microsoft.cm/fwlink/?linkid=2189925 για να μάθετε περισσότερα.

Χρήστης: <κύριο όνομα>

SID χρήστη: <SID της κύριας> ελέγχου ταυτότητας

Θέμα πιστοποιητικού: <όνομα θέματος στο πιστοποιητικό>

Εκδότης πιστοποιητικού: <> FQDN του εκδότη

Σειριακός αριθμός πιστοποιητικού: <σειριακός αριθμός του> πιστοποιητικού

Δακτυλικό αποτύπωμα πιστοποιητικού: <αποτύπωμα του πιστοποιητικού>

Πιστοποιητικό SID: <SID που βρίσκεται στη νέα> επέκτασης πιστοποιητικού

Αντιστοιχίσεις πιστοποιητικών

Οι διαχειριστές τομέα μπορούν να αντιστοιχίσουν πιστοποιητικά με μη αυτόματο τρόπο σε ένα χρήστη στην υπηρεσία καταλόγου Active Directory χρησιμοποιώντας το χαρακτηριστικό altSecurityIdentities του αντικειμένου χρηστών. Υπάρχουν έξι υποστηριζόμενες τιμές για αυτό το χαρακτηριστικό, με τρεις αντιστοιχίσεις να θεωρούνται αδύναμες (ανασφαλείς) και τις άλλες τρεις να θεωρούνται ισχυρές. Γενικά, οι τύποι αντιστοίχισης θεωρούνται ισχυροί εάν βασίζονται σε αναγνωριστικά που δεν μπορείτε να χρησιμοποιήσετε ξανά. Επομένως, όλοι οι τύποι χαρτογράφησης που βασίζονται σε ονόματα χρηστών και διευθύνσεις ηλεκτρονικού ταχυδρομείου θεωρούνται αδύναμοι.

Χαρτογράφηση

Παράδειγμα

Type

Παρατηρήσεις

X509IssuerSubject

"X509:<>IssuerName<S>SubjectName"

Αδύνατος

X509SubjectOnly

"X509:<S>SubjectName"

Αδύνατος

X509RFC822

"X509:<RFC822>user@contoso.com"

Αδύνατος

Διεύθυνση ηλεκτρονικού ταχυδρομείου

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Δυνατός

Προτεινόμενα

X509SKI

"X509:<SKI>123456789abcdef"

Δυνατός

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Δυνατός

Εάν οι πελάτες δεν μπορούν να επανεκδώσετε πιστοποιητικά με τη νέα επέκταση SID, συνιστάται να δημιουργήσετε μια μη αυτόματη αντιστοίχιση χρησιμοποιώντας μία από τις ισχυρές αντιστοιχίσεις που περιγράφονται παραπάνω. Αυτό μπορείτε να το κάνετε προσθέτοντας την κατάλληλη συμβολοσειρά αντιστοίχισης σε ένα χαρακτηριστικό altSecurityIdentities χρηστών στην υπηρεσία καταλόγου Active Directory.

Σημείωση Ορισμένα πεδία, όπως ο Εκδότης, το Θέμα και ο Σειριακός αριθμός, αναφέρονται σε μορφή "προώθησης". Πρέπει να αντιστρέψετε αυτήν τη μορφή όταν προσθέτετε τη συμβολοσειρά αντιστοίχισης στο χαρακτηριστικό altSecurityIdentities . Για παράδειγμα, για να προσθέσετε την αντιστοίχιση X509IssuerSerialNumber σε ένα χρήστη, κάντε αναζήτηση στα πεδία "Εκδότης" και "Σειριακός αριθμός" του πιστοποιητικού που θέλετε να αντιστοιχίσετε στο χρήστη. Δείτε το αποτέλεσμα του δείγματος παρακάτω.

  • Εκδότης: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC000000012

Στη συνέχεια, ενημερώστε το χαρακτηριστικό altSecurityIdentities του χρήστη στην υπηρεσία καταλόγου Active Directory με την ακόλουθη συμβολοσειρά:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Για να ενημερώσετε αυτό το χαρακτηριστικό χρησιμοποιώντας το Powershell, μπορείτε να χρησιμοποιήσετε την παρακάτω εντολή. Λάβετε υπόψη ότι, από προεπιλογή, μόνο οι διαχειριστές τομέα έχουν το δικαίωμα ενημέρωσης αυτού του χαρακτηριστικού.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Σημειώστε ότι όταν αντιστρέφετε τον Σειριακό Αριθμό, πρέπει να διατηρήσετε τη σειρά των byte. Αυτό σημαίνει ότι η αντιστροφή του σειριακού αριθμού "A1B2C3" θα πρέπει να έχει ως αποτέλεσμα τη συμβολοσειρά "C3B2A1" και όχι τη συμβολοσειρά "3C2B1A". Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα HowTo: Αντιστοίχιση ενός χρήστη σε ένα πιστοποιητικό μέσω όλων των μεθόδων που είναι διαθέσιμες στο χαρακτηριστικό altSecurityIdentities.

Λωρίδα χρόνου για ενημερώσεις των Windows

Σημαντικό Η φάση ενεργοποίησης ξεκινά με τις ενημερώσεις της 11ης Απριλίου 2023 για τα Windows, οι οποίες θα παραβλέψουν τη ρύθμιση του κλειδιού μητρώου της κατάστασης λειτουργίας απενεργοποίησης. 

Αφού εγκαταστήσετε τις ενημερώσεις των Windows της 10ης Μαΐου 2022, οι συσκευές θα βρίσκονται σε λειτουργία συμβατότητας. Εάν ένα πιστοποιητικό μπορεί να αντιστοιχιστεί σθεναρά σε ένα χρήστη, ο έλεγχος ταυτότητας θα πραγματοποιηθεί κατά το αναμενόμενο. Εάν ένα πιστοποιητικό μπορεί να αντιστοιχιστεί αδύναμα μόνο σε ένα χρήστη, ο έλεγχος ταυτότητας θα πραγματοποιηθεί κατά το αναμενόμενο. Ωστόσο, θα καταγραφεί ένα προειδοποιητικό μήνυμα, εκτός εάν το πιστοποιητικό είναι παλαιότερο από το χρήστη. Εάν το πιστοποιητικό είναι παλαιότερο από το χρήστη και το κλειδί μητρώου Με αναδρομική επικύρωση πιστοποιητικού δεν υπάρχει ή το εύρος βρίσκεται εκτός της αποζημίωσης, ο έλεγχος ταυτότητας θα αποτύχει και θα καταγραφεί ένα μήνυμα σφάλματος.  Εάν έχει ρυθμιστεί το κλειδί μητρώου "Backdating πιστοποιητικού", θα καταγράψει ένα προειδοποιητικό μήνυμα στο αρχείο καταγραφής συμβάντων, εάν οι ημερομηνίες εμπίπτουν στην αποζημίωση για την αναδρομική αποζημίωση.

Αφού εγκαταστήσετε τις ενημερώσεις των Windows της 10ης Μαΐου 2022, αναζητήστε τυχόν προειδοποιητικά μηνύματα που μπορεί να εμφανιστούν μετά από ένα μήνα ή περισσότερο. Εάν δεν υπάρχουν προειδοποιητικά μηνύματα, συνιστάται ιδιαίτερα να ενεργοποιήσετε τη λειτουργία πλήρους επιβολής σε όλους τους ελεγκτές τομέα χρησιμοποιώντας έλεγχο ταυτότητας βάσει πιστοποιητικού. Μπορείτε να χρησιμοποιήσετε το κλειδί μητρώου KDC για να ενεργοποιήσετε τη λειτουργία πλήρους επιβολής.

Εκτός εάν έχει ενημερωθεί σε λειτουργία ελέγχου ή λειτουργία επιβολής χρησιμοποιώντας το κλειδί μητρώου StrongCertificateBindingEnforcement νωρίτερα, οι ελεγκτές τομέα θα μετακινηθούν στη λειτουργία πλήρους επιβολής κατά την εγκατάσταση της ενημέρωσης ασφαλείας των Windows τον Φεβρουάριο του 2025. Ο έλεγχος ταυτότητας δεν θα επιτρέπεται εάν δεν είναι δυνατή η ισχυρή αντιστοίχιση ενός πιστοποιητικού. Η επιλογή επιστροφής στην κατάσταση λειτουργίας συμβατότητας θα παραμείνει μέχρι τον Σεπτέμβριο του 2025. Μετά από αυτή την ημερομηνία, το κλειδί μητρώου StrongCertificateBindingEnforcement δεν θα υποστηρίζεται πλέον

Εάν ο έλεγχος ταυτότητας βάσει πιστοποιητικού βασίζεται σε μια αδύναμη αντιστοίχιση την οποία δεν μπορείτε να μετακινήσετε από το περιβάλλον, μπορείτε να τοποθετήσετε τους ελεγκτές τομέα σε κατάσταση απενεργοποίησης χρησιμοποιώντας μια ρύθμιση κλειδιού μητρώου. Η Microsoft δεν το συνιστά και θα καταργήσουμε τη λειτουργία απενεργοποίησης στις 11 Απριλίου 2023.

Αφού εγκαταστήσετε τις ενημερώσεις της 13ης Φεβρουαρίου 2024 ή μεταγενέστερων ενημερώσεων των Windows στον Server 2019 και νεότερες εκδόσεις και έχετε υποστηρίξει προγράμματα-πελάτες με εγκατεστημένη την προαιρετική δυνατότητα RSAT, η αντιστοίχιση πιστοποιητικών σε χρήστες της υπηρεσίας καταλόγου Active Directory & Υπολογιστές θα επιλέξει από προεπιλογή ισχυρή αντιστοίχιση με χρήση της X509IssuerSerialNumber αντί για αδύναμη αντιστοίχιση με χρήση του X509IssuerSubject. Η ρύθμιση εξακολουθεί να μπορεί να αλλάξει όπως θέλετε.

Αντιμετώπιση προβλημάτων

  • Χρησιμοποιήστε το αρχείο καταγραφής Kerberos Operational στον σχετικό υπολογιστή για να προσδιορίσετε ποιος ελεγκτής τομέα αποτυγχάνει στην είσοδο. Μεταβείτε στο πρόγραμμα προβολής συμβάντων > Αρχεία καταγραφής εφαρμογών και υπηρεσιών\Microsoft \Windows\Security-Kerberos\Operational.

  • Αναζητήστε σχετικά συμβάντα στο Αρχείο καταγραφής συμβάντων συστήματος στον ελεγκτή τομέα για τον οποίο επιχειρεί να πραγματοποιήσει έλεγχο ταυτότητας ο λογαριασμός.

  • Εάν το πιστοποιητικό είναι παλαιότερο από το λογαριασμό, επανεκδώσετε το πιστοποιητικό ή προσθέστε μια ασφαλή αντιστοίχιση altSecurityIdentities στο λογαριασμό (ανατρέξτε στο θέμα Αντιστοιχίσεις πιστοποιητικών).

  • Εάν το πιστοποιητικό περιέχει επέκταση SID, βεβαιωθείτε ότι το SID συμφωνεί με το λογαριασμό.

  • Εάν το πιστοποιητικό χρησιμοποιείται για τον έλεγχο ταυτότητας πολλών διαφορετικών λογαριασμών, κάθε λογαριασμός θα χρειαστεί μια ξεχωριστή αντιστοίχιση altSecurityIdentities .

  • Εάν το πιστοποιητικό δεν διαθέτει ασφαλή αντιστοίχιση στο λογαριασμό, προσθέστε έναν ή αφήστε τον τομέα σε κατάσταση λειτουργίας συμβατότητας μέχρι να μπορέσετε να προσθέσετε έναν.

Ένα παράδειγμα αντιστοίχισης πιστοποιητικών TLS είναι η χρήση μιας εφαρμογής web intranet IIS.

  • Μετά την εγκατάσταση των προστατευμάτων CVE-2022-26391 και CVE-2022-26923 , αυτά τα σενάρια χρησιμοποιούν το πρωτόκολλο Kerberos Certificate Service For User (S4U) για την αντιστοίχιση πιστοποιητικών και τον έλεγχο ταυτότητας από προεπιλογή.

  • Στο πρωτόκολλο Kerberos Certificate S4U, η αίτηση ελέγχου ταυτότητας ρέει από το διακομιστή εφαρμογής στον ελεγκτή τομέα και όχι από τον υπολογιστή-πελάτη στον ελεγκτή τομέα. Επομένως, τα σχετικά συμβάντα θα βρίσκονται στο διακομιστή της εφαρμογής.

Πληροφορίες κλειδιού μητρώου

Μετά την εγκατάσταση των προστατευμάτων CVE-2022-26931 και CVE-2022-26923 στις ενημερώσεις των Windows που κυκλοφόρησαν μεταξύ 10 Μαΐου 2022 και 10 Σεπτεμβρίου 2025 ή νεότερη έκδοση, είναι διαθέσιμα τα ακόλουθα κλειδιά μητρώου.

Αυτό το κλειδί μητρώου δεν θα υποστηρίζεται μετά την εγκατάσταση ενημερώσεων για τα Windows που κυκλοφόρησαν στις ή μετά τον Σεπτέμβριο του 2025.

Σημαντικό

Η χρήση αυτού του κλειδιού μητρώου είναι μια προσωρινή λύση για περιβάλλοντα που το απαιτούν και πρέπει να γίνεται με προσοχή. Η χρήση αυτού του κλειδιού μητρώου σημαίνει τα εξής για το περιβάλλον σας:

  • Αυτό το κλειδί μητρώου λειτουργεί μόνο σε κατάσταση λειτουργίας συμβατότητας ξεκινώντας από τις ενημερώσεις που κυκλοφόρησαν στις 10 Μαΐου 2022.

  • Αυτό το κλειδί μητρώου δεν θα υποστηρίζεται μετά την εγκατάσταση ενημερώσεων για τα Windows που κυκλοφόρησαν στις 10 Σεπτεμβρίου 2025.

  • Ο εντοπισμός και η επικύρωση επέκτασης SID που χρησιμοποιούνται από την επιβολή σύνδεσης ισχυρού πιστοποιητικού εξαρτάται από το κλειδί μητρώου KDC UseSubjectAltName . Η επέκταση SID θα χρησιμοποιηθεί εάν η τιμή μητρώου δεν υπάρχει ή εάν η τιμή έχει οριστεί σε τιμή 0x1. Η επέκταση SID δεν θα χρησιμοποιηθεί εάν υπάρχει το UseSubjectAltName και η τιμή έχει οριστεί σε 0x0.

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Τιμή

StrongCertificateBindingEnforcement

Τύπος δεδομένων

REG_DWORD

Δεδομένα

1 – Ελέγχει εάν υπάρχει ισχυρή αντιστοίχιση πιστοποιητικών. Εάν ναι, επιτρέπεται ο έλεγχος ταυτότητας. Διαφορετικά, το KDC θα ελέγξει εάν το πιστοποιητικό έχει τη νέα επέκταση SID και θα το επικυρώσει. Εάν αυτή η επέκταση δεν υπάρχει, ο έλεγχος ταυτότητας επιτρέπεται εάν ο λογαριασμός χρήστη είναι πριν από το πιστοποιητικό.

2 – Ελέγχει εάν υπάρχει ισχυρή αντιστοίχιση πιστοποιητικού. Εάν ναι, επιτρέπεται ο έλεγχος ταυτότητας. Διαφορετικά, το KDC θα ελέγξει εάν το πιστοποιητικό έχει τη νέα επέκταση SID και θα το επικυρώσει. Εάν αυτή η επέκταση δεν υπάρχει, δεν επιτρέπεται ο έλεγχος ταυτότητας.

0 – Απενεργοποιεί τον έλεγχο αντιστοίχισης ισχυρών πιστοποιητικών. Δεν συνιστάται, επειδή αυτή η ενέργεια θα απενεργοποιήσει όλες τις βελτιώσεις ασφαλείας.

Εάν ορίσετε αυτήν την τιμή σε 0, πρέπει επίσης να ορίσετε τη ρύθμιση CertificateMappingMethods σε 0x1F όπως περιγράφεται στην ενότητα κλειδιού μητρώου Schannel παρακάτω, προκειμένου να ολοκληρωθεί με επιτυχία ο έλεγχος ταυτότητας που βασίζεται σε πιστοποιητικό υπολογιστή.

Απαιτείται επανεκκίνηση;

Όχι

Όταν μια εφαρμογή διακομιστή απαιτεί έλεγχο ταυτότητας υπολογιστή-πελάτη, το Schannel επιχειρεί αυτόματα να αντιστοιχίζει το πιστοποιητικό που παρέχει το πρόγραμμα-πελάτης TLS σε ένα λογαριασμό χρήστη. Μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας στους χρήστες που εισέρχονται με ένα πιστοποιητικό προγράμματος-πελάτη, δημιουργώντας αντιστοιχίσεις που συσχετίζουν τις πληροφορίες πιστοποιητικού με ένα λογαριασμό χρήστη των Windows. Αφού δημιουργήσετε και ενεργοποιήσετε μια αντιστοίχιση πιστοποιητικών, κάθε φορά που ένας υπολογιστής-πελάτης παρουσιάζει ένα πιστοποιητικό προγράμματος-πελάτη, η εφαρμογή διακομιστή συσχετίζει αυτόματα αυτόν το χρήστη με τον κατάλληλο λογαριασμό χρήστη των Windows.

Το Schannel θα προσπαθήσει να αντιστοιχίσει κάθε μέθοδο αντιστοίχισης πιστοποιητικών που έχετε ενεργοποιήσει μέχρι να ολοκληρωθεί με επιτυχία. Το Schannel προσπαθεί πρώτα να αντιστοιχίσει τις αντιστοιχίσεις Service-for-User-To-Self (S4U2Self). Οι αντιστοιχίσεις πιστοποιητικών Subject/Issuer, Issuer και UPN θεωρούνται πλέον αδύναμες και έχουν απενεργοποιηθεί από προεπιλογή. Το άθροισμα των επιλεγμένων επιλογών στη μάσκα bit καθορίζει τη λίστα των μεθόδων αντιστοίχισης πιστοποιητικών που είναι διαθέσιμες.

Το προεπιλεγμένο κλειδί μητρώου SChannel ήταν 0x1F και τώρα 0x18. Εάν αντιμετωπίζετε αποτυχίες ελέγχου ταυτότητας με εφαρμογές διακομιστή που βασίζονται σε Schannel, σας προτείνουμε να εκτελέσετε έναν έλεγχο. Προσθέστε ή τροποποιήστε την τιμή κλειδιού μητρώου CertificateMappingMethods στον ελεγκτή τομέα και ρυθμίστε την σε 0x1F και δείτε εάν επιλύθηκε το πρόβλημα. Ανατρέξτε στα αρχεία καταγραφής συμβάντων συστήματος στον ελεγκτή τομέα για τυχόν σφάλματα που αναφέρονται σε αυτό το άρθρο για περισσότερες πληροφορίες. Λάβετε υπόψη ότι η επαναφορά της τιμής του κλειδιού μητρώου SChannel στην προηγούμενη προεπιλογή (0x1F) θα επανέλθει στη χρήση αδύναμων μεθόδων αντιστοίχισης πιστοποιητικών.

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Τιμή

CertificateMappingMethods

Τύπος δεδομένων

DWORD

Δεδομένα

0x0001 - Αντιστοίχιση πιστοποιητικού υποκειμένου/εκδότη (αδύναμη – Απενεργοποιημένη από προεπιλογή)

0x0002 - Αντιστοίχιση πιστοποιητικών εκδότη (αδύναμη – Απενεργοποιημένη από προεπιλογή)

0x0004 - Αντιστοίχιση πιστοποιητικών UPN (αδύναμη – Απενεργοποιημένη από προεπιλογή)

0x0008 - Αντιστοίχιση πιστοποιητικού αυτονόητου S4U2 (ισχυρό)

0x0010 - Ρητή αντιστοίχιση πιστοποιητικών S4U2 Μόνο του (ισχυρό)

Απαιτείται επανεκκίνηση;

Όχι

Για πρόσθετους πόρους και υποστήριξη, ανατρέξτε στην ενότητα "Πρόσθετοι πόροι".

Αφού εγκαταστήσετε ενημερώσεις που διευθύνσεων CVE-2022-26931 και CVE-2022-26923, ο έλεγχος ταυτότητας ενδέχεται να αποτύχει σε περιπτώσεις όπου τα πιστοποιητικά χρήστη είναι παλαιότερα από την ώρα δημιουργίας των χρηστών. Αυτό το κλειδί μητρώου επιτρέπει τον επιτυχημένο έλεγχο ταυτότητας όταν χρησιμοποιείτε αδύναμες αντιστοιχίσεις πιστοποιητικών στο περιβάλλον σας και ο χρόνος του πιστοποιητικού είναι πριν από το χρόνο δημιουργίας του χρήστη μέσα σε ένα καθορισμένο εύρος. Αυτό το κλειδί μητρώου δεν επηρεάζει τους χρήστες ή τους υπολογιστές με ισχυρές αντιστοιχίσεις πιστοποιητικών, καθώς ο χρόνος του πιστοποιητικού και ο χρόνος δημιουργίας του χρήστη δεν ελέγχονται με ισχυρές αντιστοιχίσεις πιστοποιητικών. Αυτό το κλειδί μητρώου δεν έχει καμία επίδραση όταν η τιμή StrongCertificateBindingEnforcement έχει οριστεί σε 2.

Η χρήση αυτού του κλειδιού μητρώου είναι μια προσωρινή λύση για περιβάλλοντα που το απαιτούν και πρέπει να γίνεται με προσοχή. Η χρήση αυτού του κλειδιού μητρώου σημαίνει τα εξής για το περιβάλλον σας:

  • Αυτό το κλειδί μητρώου λειτουργεί μόνο σε κατάσταση λειτουργίας συμβατότητας ξεκινώντας από τις ενημερώσεις που κυκλοφόρησαν στις 10 Μαΐου 2022. Ο έλεγχος ταυτότητας θα επιτρέπεται εντός της μετατόπισης αντιστάθμισης αντιστάθμισης, αλλά θα καταγράφεται μια προειδοποίηση αρχείου καταγραφής συμβάντων για την αδύναμη βιβλιοδεσία.

  • Η ενεργοποίηση αυτού του κλειδιού μητρώου επιτρέπει τον έλεγχο ταυτότητας του χρήστη όταν ο χρόνος του πιστοποιητικού είναι πριν από το χρόνο δημιουργίας του χρήστη μέσα σε ένα καθορισμένο εύρος ως αδύναμη αντιστοίχιση. Οι αδύναμες αντιστοιχίσεις δεν θα υποστηρίζονται μετά την εγκατάσταση ενημερώσεων για τα Windows που κυκλοφόρησαν στις ή μετά τον Σεπτέμβριο του 2025.

Δευτερεύον κλειδί μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Τιμή

CertificateBackdatingCompensation

Τύπος δεδομένων

REG_DWORD

Δεδομένα

Τιμές για τη λύση σε κατά προσέγγιση έτη:

  • 50 χρόνια: 0x5E0C89C0

  • 25 χρόνια: 0x2EFE0780

  • 10 χρόνια: 0x12CC0300

  • 5 χρόνια: 0x9660180

  • 3 έτη: 0x5A39A80

  • 1 έτος: 0x1E13380

Σημείωση Εάν γνωρίζετε τη διάρκεια ζωής των πιστοποιητικών στο περιβάλλον σας, ορίστε αυτό το κλειδί μητρώου σε λίγο μεγαλύτερο από τη διάρκεια ζωής του πιστοποιητικού.  Εάν δεν γνωρίζετε τη διάρκεια ζωής του πιστοποιητικού για το περιβάλλον σας, ορίστε αυτό το κλειδί μητρώου σε 50 έτη. Ορίζεται από προεπιλογή σε 10 λεπτά όταν αυτό το κλειδί δεν υπάρχει, το οποίο αντιστοιχεί στις Υπηρεσίες πιστοποιητικών υπηρεσίας καταλόγου Active Directory (ADCS). Η μέγιστη τιμή είναι 50 έτη (0x5E0C89C0).

Αυτό το πλήκτρο ορίζει τη διαφορά ώρας, σε δευτερόλεπτα, την οποία θα παραβλέπει το Κέντρο διανομής κλειδιών (KDC) μεταξύ της ώρας έκδοσης ενός πιστοποιητικού ελέγχου ταυτότητας και του χρόνου δημιουργίας λογαριασμού για λογαριασμούς χρήστη/υπολογιστή.

Σημαντικό Ορίστε αυτό το κλειδί μητρώου μόνο εάν το απαιτεί το περιβάλλον σας. Η χρήση αυτού του κλειδιού μητρώου απενεργοποιεί έναν έλεγχο ασφαλείας.

Απαιτείται επανεκκίνηση;

Όχι

Αρχές έκδοσης πιστοποιητικών για μεγάλες επιχειρήσεις

Οι αρχές έκδοσης πιστοποιητικών enterprise (CA) θα αρχίσουν να προσθέτουν μια νέα μη κρίσιμη επέκταση με αναγνωριστικό αντικειμένου (OID) (1.3.6.1.4.1.311.25.2) από προεπιλογή σε όλα τα πιστοποιητικά που εκδίδονται με ηλεκτρονικά πρότυπα μετά την εγκατάσταση της ενημέρωσης των Windows της 10ης Μαΐου 2022. Μπορείτε να διακόψετε την προσθήκη αυτής της επέκτασης, ορίζοντας το 0x00080000 bit στην τιμή msPKI-Enrollment-Flag του αντίστοιχου προτύπου.

Εκτελέστε την ακόλουθη εντολή certutil για να αποκλείσετε τα πιστοποιητικά του προτύπου χρήστη από τη λήψη της νέας επέκτασης.

  1. Πραγματοποιήστε είσοδο σε ένα διακομιστή αρχής πιστοποιητικών ή σε ένα πρόγραμμα-πελάτη Windows 10 που συνδέεται με τομέα με το διαχειριστή της εταιρείας ή τα αντίστοιχα διαπιστευτήρια.

  2. Ανοίξτε μια γραμμή εντολών και επιλέξτε Εκτέλεση ως διαχειριστής.

  3. Εκτελέστε το certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Η απενεργοποίηση της προσθήκης αυτής της επέκτασης θα καταργήσει την προστασία που παρέχεται από τη νέα επέκταση. Εξετάστε το ενδεχόμενο να το κάνετε αυτό μόνο μετά από ένα από τα εξής:

  1. Επιβεβαιώνετε ότι τα αντίστοιχα πιστοποιητικά δεν είναι αποδεκτά για κρυπτογράφηση δημόσιου κλειδιού για αρχικό έλεγχο ταυτότητας (PKINIT) σε ελέγχους ταυτότητας πρωτοκόλλου Kerberos στο KDC

  2. Στα αντίστοιχα πιστοποιητικά έχουν ρυθμιστεί άλλες ισχυρές αντιστοιχίσεις πιστοποιητικών

Τα περιβάλλοντα που έχουν αναπτύξεις εκτός της Microsoft CA δεν θα προστατεύονται με τη νέα επέκταση SID μετά την εγκατάσταση της ενημέρωσης των Windows της 10ης Μαΐου 2022. Οι πελάτες που επηρεάζονται θα πρέπει να συνεργαστούν με τους αντίστοιχους προμηθευτές ca για να αντιμετωπίσουν αυτό το θέμα ή θα πρέπει να εξετάσουν το ενδεχόμενο να χρησιμοποιήσουν άλλες ισχυρές αντιστοιχίσεις πιστοποιητικών που περιγράφονται παραπάνω.

Για πρόσθετους πόρους και υποστήριξη, ανατρέξτε στην ενότητα "Πρόσθετοι πόροι".

Συχνές ερωτήσεις

Όχι, δεν απαιτείται ανανέωση. Η CA θα αποσταλεί σε κατάσταση λειτουργίας συμβατότητας. Εάν θέλετε μια ισχυρή αντιστοίχιση χρησιμοποιώντας την επέκταση ObjectSID, θα χρειαστείτε ένα νέο πιστοποιητικό.

Στην ενημέρωση των Windows της 11ης Φεβρουαρίου 2025, οι συσκευές που δεν βρίσκονται ήδη σε επιβολή (η τιμή μητρώου StrongCertificateBindingEnforcement έχει οριστεί σε 2), θα μετακινηθούν στην Επιβολή. Εάν δεν επιτρέπεται ο έλεγχος ταυτότητας, θα δείτε το αναγνωριστικό συμβάντος 39 (ή το αναγνωριστικό συμβάντος 41 για τον Windows Server 2008 R2 SP1 και τον Windows Server 2008 SP2). Θα έχετε την επιλογή να ορίσετε ξανά την τιμή του κλειδιού μητρώου στην τιμή 1 (Κατάσταση λειτουργίας συμβατότητας) σε αυτό το στάδιο.

Στην ενημέρωση των Windows της 10ης Σεπτεμβρίου 2025, η τιμή μητρώου StrongCertificateBindingEnforcement δεν θα υποστηρίζεται πλέον. ​​​​​​​

Πρόσθετοι πόροι

Για περισσότερες πληροφορίες σχετικά με την αντιστοίχιση πιστοποιητικών προγράμματος-πελάτη TLS, ανατρέξτε στα ακόλουθα άρθρα:

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.