Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Dátum módosítása

Ismertetés

9/10/2024

Módosította a Teljes kényszerítési mód leírását a "Windows-frissítések időzítése" szakaszban, hogy tükrözze az új dátumokat. 2025. február 11-én kényszerítési módba helyezi át az eszközöket, de a támogatásból visszatérhet a Kompatibilis módba. A beállításkulcsok teljes támogatása 2025. szeptember 10-én megszűnik.

7/5/2024

A SID-bővítménnyel kapcsolatos információk hozzáadva a Kulcsterjesztési központ (KDC) beállításkulcsához a "Beállításkulcs adatai" szakaszban.

2023. 10. 10.

Az erős leképezések alapértelmezett módosításaival kapcsolatos információk hozzáadva a "Timeline for Windows Frissítések" (Windows Frissítések idővonala) területen

6/30/2023

A teljes kényszerítési mód 2023. november 14-ről 2025. február 11-ére módosult (ezek a dátumok korábban 2023. május 19.-től 2023. november 14-ig voltak felsorolva).

1/26/2023

A letiltott mód 2023. február 14-ről 2023. április 11-ére való eltávolítását módosítottuk

Összefoglalás

A CVE-2022-34691,a CVE-2022-26931 és a CVE-2022-26923 olyan jogosultsági biztonsági rést old meg, amely akkor fordulhat elő, ha a Kerberos Key Distribution Center (KDC) tanúsítványalapú hitelesítési kérést kiszolgál. A 2022. május 10-i biztonsági frissítés előtt a tanúsítványalapú hitelesítés nem számol el dollárjelet ($) a gépnév végén. Ez lehetővé tette a kapcsolódó tanúsítványok különböző módon történő emulálását (hamisítását). Emellett az egyszerű felhasználónevek (UPN) és az sAMAccountName közötti ütközések más emulációs (hamisítási) biztonsági réseket is vezettek be, amelyeket ezzel a biztonsági frissítéssel is kezelünk. 

Művelet végrehajtása

A környezet védelméhez hajtsa végre a következő lépéseket a tanúsítványalapú hitelesítéshez:

  1. A 2022. május 10-i frissítéssel frissítse az Active Directory tanúsítványszolgáltatást és a Windows-tartományvezérlőket futtató összes olyan kiszolgálót, amely tanúsítványalapú hitelesítést végez (lásd : Kompatibilitási mód). A 2022. május 10-i frissítés olyan naplózási eseményeket biztosít, amelyek azonosítják a teljes kényszerítési móddal nem kompatibilis tanúsítványokat.

  2. Ha a frissítés telepítése után egy hónapig nem jönnek létre naplózási eseménynaplók a tartományvezérlőkön, folytassa a teljes kényszerítési mód engedélyezésével az összes tartományvezérlőn. 2025. február 11-ig minden eszköz teljes kényszerítési módra frissül. Ebben a módban, ha egy tanúsítvány nem felel meg az erős (biztonságos) leképezési feltételeknek (lásd : Tanúsítványleképezések), a rendszer megtagadja a hitelesítést. A kompatibilitási módra való visszalépés lehetősége azonban 2025. szeptember 10-ig érvényben marad.

Események naplózása

A 2022. május 10-i Windows Update a következő eseménynaplókat adja hozzá.

Nem található erős tanúsítványleképezés, és a tanúsítvány nem rendelkezik a KDC által érvényesíthető új biztonsági azonosító (SID) kiterjesztéssel.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés, ha a KDC kompatibilis módban van

Hiba, ha a KDC kényszerítési módban van

Eseményforrás

Kdcsvc

Eseményazonosító

39

41 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)

Esemény szövege

A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). Ezeket a tanúsítványokat vagy le kell cserélni, vagy közvetlenül a felhasználóhoz kell leképezni explicit leképezéssel. További információ: https://go.microsoft.com/fwlink/?linkid=2189925.

Felhasználó: <egyszerű név>

Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány>

Tanúsítványkibocsátó: <kiállító teljes tartományneve (FQDN)>

Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma>

Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata

A tanúsítványt azelőtt adták ki a felhasználónak, hogy a felhasználó létezett volna az Active Directoryban, és nem található erős leképezés. Ezt az eseményt csak akkor naplózza a rendszer, ha a KDC kompatibilis módban van.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Eseményforrás

Kdcsvc

Eseményazonosító

40

48 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén

Esemény szövege

A Kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de nem lehetett erős módon leképezni egy felhasználóra (például explicit leképezéssel, kulcsmegbízhatósági leképezéssel vagy SID-sel). A tanúsítvány azt a felhasználót is előre beállította, akire leképezték, ezért a rendszer elutasította. További információ: https://go.microsoft.com/fwlink/?linkid=2189925.

Felhasználó: <egyszerű név>

Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány>

Tanúsítványkibocsátó: <kiállító teljes tartománynevét>

Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma>

Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata

Tanúsítvány kiállításának ideje: <tanúsítványfájl-idő>

Fióklétrehozási idő: <egyszerű objektum FILETIME-azonosítója az AD>

A felhasználói tanúsítvány új bővítményében található SID nem egyezik meg a felhasználók SID-ével, ami azt jelenti, hogy a tanúsítványt egy másik felhasználónak adták ki.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Eseményforrás

Kdcsvc

Eseményazonosító

41

49 (Windows Server 2008 R2 SP1 és Windows Server 2008 SP2 esetén)

Esemény szövege

A kulcsterjesztési központ (KDC) olyan felhasználói tanúsítványt észlelt, amely érvényes volt, de más SID-t tartalmazott, mint a felhasználó, amelyre leképezték. Ennek eredményeképpen a tanúsítványt érintő kérelem sikertelen volt. További információ: https://go.microsoft.cm/fwlink/?linkid=2189925.

Felhasználó: <egyszerű név>

Felhasználói biztonsági azonosító: a hitelesítő rendszerbiztonsági tag biztonsági azonosítója <>

Tanúsítvány tárgya: <Tulajdonos neve a Tanúsítvány>

Tanúsítványkibocsátó: <kiállító teljes tartománynevét>

Tanúsítvány sorozatszáma: <tanúsítvány sorozatszáma>

Tanúsítvány ujjlenyomata: <tanúsítvány-> ujjlenyomata

Tanúsítvány biztonsági azonosítója: <biztonsági azonosító található az új tanúsítványbővítmény->

Tanúsítványleképezések

A tartományi rendszergazdák manuálisan leképezhetik a tanúsítványokat az Active Directoryban lévő felhasználókra a users Objektum altSecurityIdentities attribútumával. Ehhez az attribútumhoz hat támogatott érték van, amelyek közül három gyenge (nem biztonságos) leképezést, a másik három pedig erősnek tekinthető. A leképezési típusok általában erősnek minősülnek, ha olyan azonosítókon alapulnak, amelyeket nem lehet újra felhasználni. Ezért a felhasználóneveken és e-mail-címeken alapuló leképezési típusok gyengenek minősülnek.

Térképezés

Példa

Típus

Megjegyzések

X509IssuerSubject

"X509:<>IssuerName<S>SubjectName"

Gyenge

X509SubjectOnly

"X509:<S>SubjectName"

Gyenge

X509RFC822

"X509:<RFC822>user@contoso.com"

Gyenge

E-mail-cím

X509IssuerSerialNumber

"X509:<>IssuerName<SR>1234567890"

Erős

Ajánlott

X509SKI

"X509:<SKI>123456789abcdef"

Erős

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Erős

Ha az ügyfelek nem tudják újból kiadni a tanúsítványokat az új SID-bővítménnyel, javasoljuk, hogy hozzon létre manuális leképezést a fent leírt erős leképezések egyikével. Ezt úgy teheti meg, hogy hozzáadja a megfelelő leképezési sztringet egy felhasználók altSecurityIdentities attribútumához az Active Directoryban.

Jegyzet Bizonyos mezők, például a Kiállító, a Tárgy és a Sorozatszám továbbítási formátumban vannak jelentve. Ezt a formátumot vissza kell fordítania, amikor hozzáadja a leképezési sztringet az altSecurityIdentities attribútumhoz. Ha például hozzá szeretné adni az X509IssuerSerialNumber leképezést egy felhasználóhoz, keresse meg a felhasználóhoz leképezendő tanúsítvány Kiállító és Sorozatszám mezőjét. Tekintse meg az alábbi mintakimenetet.

  • Kiállító: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC000000012

Ezután frissítse a felhasználó altSecurityIdentities attribútumát az Active Directoryban a következő sztringgel:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Az attribútum PowerShell-lel való frissítéséhez használhatja az alábbi parancsot. Ne feledje, hogy alapértelmezés szerint csak a tartományi rendszergazdák jogosultak frissíteni ezt az attribútumot.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Vegye figyelembe, hogy a SerialNumber megfordításakor meg kell őriznie a bájtsorrendet. Ez azt jelenti, hogy az "A1B2C3" SerialNumber visszafejtése a "C3B2A1" sztringet eredményezi, nem pedig a "3C2B1A" sztringet. További információ : Útmutató: Felhasználó hozzárendelése tanúsítványhoz az altSecurityIdentities attribútumban elérhető összes módszerrel.

Windows-frissítések idővonala

Fontos Az engedélyezési fázis a Windows 2023. április 11-i frissítéseivel kezdődik, amely figyelmen kívül hagyja a Letiltott mód beállításkulcs-beállítását. 

A 2022. május 10-i Windows-frissítések telepítése után az eszközök kompatibilis módban lesznek. Ha egy tanúsítvány erősen leképezhető egy felhasználóra, a hitelesítés a várt módon történik. Ha egy tanúsítványt csak gyengén lehet leképezni egy felhasználóra, a hitelesítés a várt módon történik. A rendszer azonban egy figyelmeztető üzenetet naplóz, kivéve, ha a tanúsítvány régebbi a felhasználónál. Ha a tanúsítvány régebbi, mint a felhasználó, és a tanúsítvány-visszaküldés beállításkulcsa nem található, vagy a tartomány kívül esik a backdating kompenzáción, a hitelesítés sikertelen lesz, és a rendszer egy hibaüzenetet naplóz.  Ha a tanúsítvány-visszatitkozás beállításkulcsa konfigurálva van, figyelmeztető üzenetet fog naplózni az eseménynaplóban, ha a dátumok a backdating kompenzációba tartoznak.

A 2022. május 10-i Windows-frissítések telepítése után watch minden olyan figyelmeztető üzenetre, amely egy hónap vagy több hónap elteltével jelenhet meg. Ha nincsenek figyelmeztető üzenetek, határozottan javasoljuk, hogy minden tartományvezérlőn engedélyezze a teljes kényszerítési módot tanúsítványalapú hitelesítéssel. A KDC beállításkulcsával engedélyezheti a teljes kényszerítési módot.

Ha korábban nem frissítettük erre a módra, 2025. február 11-ig vagy újabbra frissítjük az összes eszközt Teljes kényszerítési módra. Ha egy tanúsítványt nem lehet erősen leképezni, a rendszer megtagadja a hitelesítést. A kompatibilitási módra való visszalépés lehetősége 2025. szeptember 10-ig marad érvényben. Ezen dátum után a StrongCertificateBindingEnforcement beállításazonosító már nem támogatott.

Ha a tanúsítványalapú hitelesítés gyenge leképezésre támaszkodik, amelyet nem tud áthelyezni a környezetből, a tartományvezérlőket letiltott módban helyezheti el beállításkulcs-beállítás használatával. A Microsoft nem javasolja ezt, és 2023. április 11-én eltávolítjuk a Letiltva módot.

Miután telepítette a 2024. február 13-i vagy újabb Windows-frissítéseket a Server 2019-en és annál újabb rendszereken, és telepítette az RSAT választható funkcióval rendelkező támogatott ügyfeleket, az Active Directory – felhasználók & számítógépek tanúsítványleképezése alapértelmezés szerint az X509IssuerSerialNumber használatával, az X509IssuerSubject használatával történő gyenge leképezés helyett az erős leképezést választja. A beállítás továbbra is módosítható igény szerint.

Hibaelhárítás

  • Használja a Kerberos operatív naplót a megfelelő számítógépen annak megállapításához, hogy melyik tartományvezérlőn hiúsul meg a bejelentkezés. Nyissa meg eseménymegtekintő> Alkalmazások és szolgáltatások naplói\Microsoft \Windows\Security-Kerberos\Operational lapot.

  • Keresse meg a megfelelő eseményeket a rendszer eseménynaplójában azon a tartományvezérlőn, amelyen a fiók hitelesítést kísérel meg.

  • Ha a tanúsítvány régebbi a fióknál, adja ki újra a tanúsítványt, vagy adjon hozzá egy biztonságos altSecurityIdentities leképezést a fiókhoz (lásd : Tanúsítványleképezések).

  • Ha a tanúsítvány tartalmaz SID-bővítményt, ellenőrizze, hogy az SID megegyezik-e a fiókkal.

  • Ha a tanúsítványt több különböző fiók hitelesítésére használják, minden fiókhoz külön altSecurityIdentities leképezésre lesz szükség.

  • Ha a tanúsítvány nem rendelkezik biztonságos leképezéssel a fiókhoz, adjon hozzá egyet, vagy hagyja meg a tartományt kompatibilitási módban, amíg hozzá nem adhatók.

A TLS-tanúsítványleképezésre példa egy IIS intranetes webalkalmazás használata.

  • A CVE-2022-26391 és a CVE-2022-26923 védelmi rendszerek telepítése után ezek a forgatókönyvek alapértelmezés szerint a Kerberos Tanúsítványszolgáltatás felhasználó számára (S4U) protokollt használják a tanúsítványleképezéshez és a hitelesítéshez.

  • A Kerberos Certificate S4U protokollban a hitelesítési kérés az alkalmazáskiszolgálóról a tartományvezérlőre áramlik, nem pedig az ügyfélről a tartományvezérlőre. Ezért a releváns események az alkalmazáskiszolgálón lesznek.

Beállításkulcs adatai

Miután telepítette a CVE-2022-26931 és a CVE-2022-26923 védelmet a 2022. május 10. és 2025. szeptember 10. közötti vagy újabb Windows-frissítésekben, a következő beállításkulcsok érhetők el.

Ez a beállításkulcs letiltott, kompatibilis vagy teljes kényszerítési módra módosítja a KDC kényszerítési módját.

Fontos

A beállításkulcs használata ideiglenes áthidaló megoldás az olyan környezetek esetében, amelyek megkövetelik, és körültekintően kell eljárni. A beállításkulcs használata a következőket jelenti a környezethez:

  • Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve.

  • Ez a beállításkulcs nem lesz támogatott, miután telepítette a Windows 2025. szeptember 10-én kiadott frissítéseit.

  • Az erős tanúsítványkötés kényszerítése által használt SID-bővítmény észlelése és érvényesítése függ a UseSubjectAltName KDC beállításkulcstól. A SID-bővítményt akkor használja a rendszer, ha a beállításazonosító nem létezik, vagy ha az érték 0x1 értékre van állítva. A SID-bővítmény nem lesz használva, ha a UseSubjectAltName létezik, és az érték 0x0 értékre van állítva.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Érték

StrongCertificateBindingEnforcement

Adattípus

REG_DWORD

Adat

1 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a hitelesítés akkor engedélyezett, ha a felhasználói fiók megelőzi a tanúsítványt.

2 – Ellenőrzi, hogy van-e erős tanúsítványleképezés. Ha igen, a hitelesítés engedélyezve van. Ellenkező esetben a KDC ellenőrzi, hogy a tanúsítvány rendelkezik-e az új SID-bővítménnyel, és ellenőrzi azt. Ha ez a bővítmény nincs jelen, a rendszer megtagadja a hitelesítést.

0 – Letiltja az erős tanúsítványleképezés ellenőrzését. Nem ajánlott, mert ezzel letiltja az összes biztonsági fejlesztést.

Ha ezt a beállítást 0-ra állítja, a tanúsítványalapú hitelesítés sikerességéhez a CertificateMappingMethods paramétert is 0x1F értékre kell állítania az alábbi Schannel beállításkulcs szakaszban leírtak szerint.

Újraindítás szükséges?

Nem

Ha egy kiszolgálóalkalmazás ügyfél-hitelesítést igényel, az Schannel automatikusan megkísérli leképezni a TLS-ügyfél által biztosított tanúsítványt egy felhasználói fiókra. Az ügyféltanúsítvánnyal bejelentkező felhasználók hitelesítéséhez olyan leképezéseket hozhat létre, amelyek a tanúsítványadatokat egy Windows-felhasználói fiókhoz kapcsolják. Miután létrehozta és engedélyezte a tanúsítványleképezést, minden alkalommal, amikor egy ügyfél ügyféltanúsítványt mutat be, a kiszolgálóalkalmazás automatikusan társítja a felhasználót a megfelelő Windows-felhasználói fiókkal.

Az Schannel megpróbálja leképezni az összes engedélyezett tanúsítványleképezési módszert, amíg az egyik sikeres nem lesz. Az Schannel először a szolgáltatásfelhasználók közötti (S4U2Self) leképezéseket próbálja leképezni. A Tulajdonos/Kiállító, Kiállító és UPN tanúsítványleképezések most már gyengenak minősülnek, és alapértelmezés szerint le vannak tiltva. A kiválasztott beállítások bitmaszkolt összege határozza meg az elérhető tanúsítványleképezési módszerek listáját.

Az SChannel beállításkulcs alapértelmezett értéke 0x1F, és most már 0x18. Ha hitelesítési hibákat tapasztal az Schannel-alapú kiszolgálóalkalmazásokban, javasoljuk, hogy végezzen el egy tesztet. Adja hozzá vagy módosítsa a CertificateMappingMethods beállításkulcs értékét a tartományvezérlőn, majd állítsa be 0x1F, és ellenőrizze, hogy ez megoldotta-e a problémát. További információért tekintse meg az ebben a cikkben felsorolt hibákat a tartományvezérlő rendszeresemény-naplóiban. Ne feledje, hogy az SChannel beállításkulcs értékének az előző alapértelmezettre (0x1F) való visszaállítása gyenge tanúsítványleképezési módszerek használatára fog visszaállni.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Érték

CertificateMappingMethods

Adattípus

DWORD

Adat

0x0001 – Tulajdonos/kiállító tanúsítványleképezése (gyenge – Alapértelmezés szerint letiltva)

0x0002 – Kiállítói tanúsítvány leképezése (gyenge – Alapértelmezés szerint letiltva)

0x0004 – UPN-tanúsítványleképezés (gyenge – Alapértelmezés szerint letiltva)

0x0008 – S4U2Self tanúsítványleképezés (erős)

0x0010 – S4U2Kijelölés explicit tanúsítványleképezés (erős)

Újraindítás szükséges?

Nem

További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.

Miután telepítette a CVE-2022-26931 és a CVE-2022-26923 címmel rendelkező frissítéseket, a hitelesítés meghiúsulhat olyan esetekben, amikor a felhasználói tanúsítványok régebbiek a felhasználók létrehozási idejénél. Ez a beállításkulcs lehetővé teszi a sikeres hitelesítést, ha gyenge tanúsítványleképezéseket használ a környezetben, és a tanúsítványidő a felhasználó megadott tartományon belüli létrehozási ideje előtt van. Ez a beállításkulcs nincs hatással az erős tanúsítványleképezéssel rendelkező felhasználókra vagy gépekre, mivel a tanúsítványidőt és a felhasználólétrehozási időt a rendszer nem ellenőrzi erős tanúsítványleképezésekkel. Ennek a beállításkulcsnak nincs hatása, ha a StrongCertificateBindingEnforcement értéke 2.

A beállításkulcs használata ideiglenes áthidaló megoldás az olyan környezetek esetében, amelyek megkövetelik, és körültekintően kell eljárni. A beállításkulcs használata a következőket jelenti a környezethez:

  • Ez a beállításkulcs csak kompatibilitási módban működik, a 2022. május 10-én kiadott frissítésekkel kezdve. A hitelesítés engedélyezve lesz a backdating kompenzációs eltoláson belül, de a gyenge kötésre vonatkozó eseménynapló-figyelmeztetés lesz naplózva.

  • Ennek a beállításkulcsnak az engedélyezése lehetővé teszi a felhasználó hitelesítését, ha a tanúsítvány ideje a megadott tartományon belüli felhasználólétrehozási idő előtt van, gyenge leképezésként. A gyenge leképezések nem lesznek támogatottak a Windows 2025. szeptember 10-én kiadott frissítéseinek telepítése után.

Beállításjegyzék alkulcsa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Érték

CertificateBackdatingCompensation

Adattípus

REG_DWORD

Adat

Megkerülő megoldás értékei körülbelül években:

  • 50 év: 0x5E0C89C0

  • 25 év: 0x2EFE0780

  • 10 év: 0x12CC0300

  • 5 év: 0x9660180

  • 3 év: 0x5A39A80

  • 1 év: 0x1E13380

Megjegyzés Ha ismeri a környezetben lévő tanúsítványok élettartamát, állítsa ezt a beállításkulcsot valamivel hosszabbra, mint a tanúsítvány élettartama.  Ha nem ismeri a környezet tanúsítványainak élettartamát, állítsa ezt a beállításkulcsot 50 évre. Alapértelmezés szerint 10 perc, ha ez a kulcs nincs jelen, amely megfelel az Active Directory Tanúsítványszolgáltatásoknak (ADCS). A maximális érték 50 év (0x5E0C89C0).

Ez a kulcs másodpercben beállítja azt az időkülönbséget, amelyet a kulcsterjesztési központ (KDC) figyelmen kívül hagy a hitelesítési tanúsítvány kiállítási ideje és a felhasználói/gépi fiókok fióklétrehozásának ideje között.

Fontos Csak akkor állítsa be ezt a beállításkulcsot, ha a környezet megköveteli. A beállításkulcs használata letiltja a biztonsági ellenőrzést.

Újraindítás szükséges?

Nem

Vállalati hitelesítésszolgáltatók

A vállalati hitelesítésszolgáltatók (CA) alapértelmezés szerint elkezdenek hozzáadni egy új, nem kritikus bővítményt objektumazonosítóval (OID) (1.3.6.1.4.1.311.25.25.2) az online sablonokhoz kiadott összes tanúsítványhoz a 2022. május 10-i Windows-frissítés telepítése után. A bővítmény hozzáadásának leállításához állítsa be a 0x00080000 bitet a megfelelő sablon msPKI-Enrollment-Flag értékében.

A következő certutil parancs futtatásával kizárhatja a felhasználói sablon tanúsítványait az új bővítmény beszerzéséből.

  1. Jelentkezzen be egy hitelesítésszolgáltató kiszolgálóra vagy egy tartományhoz csatlakoztatott Windows 10-ügyfélre vállalati rendszergazdával vagy azzal egyenértékű hitelesítő adatokkal.

  2. Nyisson meg egy parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.

  3. Futtassa a certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 parancsot. 

A bővítmény hozzáadásának letiltása eltávolítja az új bővítmény által biztosított védelmet. Ezt csak az alábbiak valamelyike után érdemes megfontolni:

  1. Győződjön meg arról, hogy a megfelelő tanúsítványok nem fogadják el a nyilvános kulcsú titkosítást a kezdeti hitelesítéshez (PKINIT) a Kerberos Protocol-hitelesítésekben a KDC-nél

  2. A megfelelő tanúsítványokhoz más erős tanúsítványleképezések is konfigurálva vannak

A nem Microsoft hitelesítésszolgáltatói környezetekkel rendelkező környezetek nem lesznek védve az új SID-bővítménnyel a 2022. május 10-i Windows-frissítés telepítése után. Az érintett ügyfeleknek a megfelelő hitelesítésszolgáltatóval kell együttműködve kezelniük ezt a probléma megoldását, vagy érdemes megfontolni a fent leírt erős tanúsítványleképezések használatát.

További forrásokért és támogatásért tekintse meg a "További erőforrások" című szakaszt.

Gyakori kérdések

Nem, a megújítás nem szükséges. A hitelesítésszolgáltató kompatibilitási módban lesz elküldve. Ha az ObjectSID bővítménnyel erős leképezést szeretne, új tanúsítványra lesz szüksége.

A 2025. február 11-i Windows-frissítésben azok az eszközök, amelyek még nem lettek kényszerítve (StrongCertificateBindingEnforcementbeállításazonosítója 2- ra van állítva), átkerülnek a Kényszerítés szolgáltatásba. Ha a hitelesítés megtagadva, a rendszer a 39-ös eseményazonosítót (vagy a Windows Server 2008 R2 SP1 és a Windows Server 2008 SP2 41-ös eseményazonosítóját) fogja látni. Ebben a szakaszban lehetősége van a beállításkulcs értékét 1-re (kompatibilitási mód) beállítani.

A 2025. szeptember 10-i Windows-frissítésben a StrongCertificateBindingEnforcement beállításazonosító már nem támogatott. ​​​​​​​

További erőforrások

A TLS-ügyféltanúsítvány-leképezésről az alábbi cikkekben talál további információt:

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.