Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Modifica data

Descrizione

10/24/2024

Testo aggiornato per chiarezza nel passaggio 2 della sezione "Intervenire", nella descrizione "Modalità di applicazione completa" della sezione "Sequenza temporale per gli aggiornamenti di Windows" e modificato le informazioni sulla data della chiave del Registro di sistema "Chiave di distribuzione chiave (KDC) " e "Chiave del Registro di sistema di backdating del certificato" nella sezione "Informazioni sulla chiave del Registro di sistema".

9/10/2024

È stata modificata la descrizione della modalità applicazione completa nella sezione "Intervallo per gli aggiornamenti di Windows" per riflettere le nuove date. L'11 febbraio 2025 sposterà i dispositivi in modalità di applicazione, ma lascerà il supporto per tornare alla modalità compatibilità. Il supporto completo della chiave del Registro di sistema terminerà il 10 settembre 2025.

7/5/2024

Sono state aggiunte informazioni sull'estensione SID alla chiave del Registro di sistema Key Distribution Center (KDC) nella sezione "Informazioni sulla chiave del Registro di sistema".

10/10/2023

Sono state aggiunte informazioni sulle modifiche predefinite dei mapping strong in "Sequenza temporale per Windows Aggiornamenti"

6/30/2023

La data della modalità Di applicazione completa è stata modificata dal 14 novembre 2023 all'11 febbraio 2025 (queste date erano elencate in precedenza come 19 maggio 2023 e 14 novembre 2023).

1/26/2023

Rimozione modificata della modalità di disabilitazione dal 14 febbraio 2023 all'11 aprile 2023

Riepilogo

CVE-2022-34691,CVE-2022-26931 e CVE-2022-26923 risolvono una vulnerabilità nell'elevazione dei privilegi che può verificarsi quando il Centro di distribuzione delle chiavi Kerberos (KDC) riceve una richiesta di autenticazione basata su certificato. Prima dell'aggiornamento della sicurezza del 10 maggio 2022, l'autenticazione basata su certificato non tiene conto del simbolo del dollaro ($) alla fine del nome di un computer. In questo modo i certificati correlati possono essere emulati (falsificati) in vari modi. Inoltre, i conflitti tra i nomi dell'entità utente (UPN) e sAMAccountName hanno introdotto altre vulnerabilità di emulazione (spoofing) che sono state affrontate anche con questo aggiornamento della sicurezza. 

Entrare in azione

Per proteggere l'ambiente, completare i passaggi seguenti per l'autenticazione basata su certificato:

  1. Aggiornare tutti i server che eseguono Servizi certificati Active Directory e controller di dominio Windows che eseguono l'autenticazione basata su certificato con l'aggiornamento del 10 maggio 2022 (vedere Modalità compatibilità). L'aggiornamento del 10 maggio 2022 fornirà eventi di controllo che identificano i certificati non compatibili con la modalità di applicazione completa.

  2. Se non vengono creati registri eventi di controllo sui controller di dominio per un mese dopo l'installazione dell'aggiornamento, procedere con l'abilitazione della modalità di applicazione completa in tutti i controller di dominio. Entro febbraio 2025, se la chiave del Registro di sistema StrongCertificateBindingEnforcement non è configurata, i controller di dominio passeranno alla modalità di applicazione completa. In caso contrario, l'impostazione della modalità compatibilità delle chiavi del Registro di sistema continuerà a essere rispettata. In modalità Di applicazione completa, se un certificato non soddisfa i criteri di mapping sicuri (vedere Mapping dei certificati), l'autenticazione verrà negata. Tuttavia, l'opzione per tornare alla modalità compatibilità rimarrà fino a settembre 2025. ​​​​​​​

Eventi di controllo

L'aggiornamento di Windows del 10 maggio 2022 aggiunge i log eventi seguenti.

Non è stato possibile trovare mapping di certificati forti e il certificato non disponeva della nuova estensione SID (Security Identifier) convalidata da KDC.

Registro eventi

Sistema

Tipo di evento

Avviso se il KDC è in modalità compatibilità

Errore se il KDC è in modalità di imposizione

Origine evento

Kdcsvc

ID evento

39

41 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)

Testo evento

Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma non mappato a un utente in modo sicuro, ad esempio tramite mapping esplicito, mapping dell'attendibilità chiave o SID. Tali certificati devono essere sostituiti o mappati direttamente all'utente tramite mapping esplicito. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2189925.

Utente: <> del nome dell'entità principale

Oggetto certificato: <nome del soggetto nella> Certificato

Autorità di certificazione: nome di dominio completo (FQDN) <emittente >

Numero di serie del certificato: <numero di serie del certificato>

Identificazione personale certificato: <identificazione personale del> certificato

Il certificato è stato rilasciato all'utente prima dell'esistenza dell'utente in Active Directory e non è stato trovato alcun mapping sicuro. Questo evento viene registrato solo quando il KDC è in modalità compatibilità.

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

Kdcsvc

ID evento

40

48 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2

Testo evento

Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma non mappato a un utente in modo sicuro, ad esempio tramite mapping esplicito, mapping dell'attendibilità chiave o SID. Il certificato precedeva anche l'utente a cui è stato mappato, quindi è stato rifiutato. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2189925.

Utente: <> del nome dell'entità principale

Oggetto certificato: <nome del soggetto nella> Certificato

Autorità di certificazione:> FQDN <Autorità di certificazione

Numero di serie del certificato: <numero di serie del certificato>

Identificazione personale certificato: <identificazione personale del> certificato

Ora rilascio certificati: <FILETIME del> del certificato

Ora creazione account: <FILETIME dell'oggetto entità in>

Il SID contenuto nella nuova estensione del certificato utente non corrisponde al SID degli utenti, il che implica che il certificato è stato rilasciato a un altro utente.

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

Kdcsvc

ID evento

41

49 (per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2)

Testo evento

Il centro di distribuzione delle chiavi (KDC) ha rilevato un certificato utente valido ma contenente un SID diverso dall'utente a cui è stato mappato. Di conseguenza, la richiesta che coinvolge il certificato non è riuscita. Per altre informazioni, vedi https://go.microsoft.cm/fwlink/?linkid=2189925.

Utente: <> del nome dell'entità principale

SID utente: <SID dell'entità di autenticazione>

Oggetto certificato: <nome del soggetto nella> Certificato

Autorità di certificazione:> FQDN <Autorità di certificazione

Numero di serie del certificato: <numero di serie del certificato>

Identificazione personale certificato: <identificazione personale del> certificato

SID certificato: <SID trovato nella nuova> di estensione del certificato

Mapping dei certificati

Gli amministratori di dominio possono eseguire manualmente il mapping dei certificati a un utente in Active Directory usando l'attributo altSecurityIdentities dell'oggetto users. Sono disponibili sei valori supportati per questo attributo, con tre mapping considerati deboli (non sicuri) e gli altri tre considerati forti. In generale, i tipi di mapping sono considerati forti se sono basati su identificatori che non è possibile riutilizzare. Pertanto, tutti i tipi di mapping basati su nomi utente e indirizzi di posta elettronica sono considerati deboli.

Mapping

Esempio

Type

Osservazioni

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Debole

X509SubjectOnly

"X509:<S>SubjectName"

Debole

X509RFC822

"X509:<RFC822>user@contoso.com"

Debole

Indirizzo di posta elettronica

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Forte

Consigliato

X509SKI

"X509:<SKI>123456789abcdef"

Forte

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Forte

Se i clienti non possono ripubblicare i certificati con la nuova estensione SID, è consigliabile creare una mappatura manuale usando uno dei mapping sicuri descritti in precedenza. A questo scopo, aggiungere la stringa di mapping appropriata a un attributo altSecurityIdentities degli utenti in Active Directory.

Nota:Alcuni campi, ad esempio Emittente, Oggetto e Numero seriale, vengono riportati in formato "inoltrato". È necessario invertire questo formato quando si aggiunge la stringa di mapping all'attributo altSecurityIdentities . Ad esempio, per aggiungere il mapping X509IssuerSerialNumber a un utente, cercare i campi "Emittente" e "Numero seriale" del certificato da associare all'utente. Vedere l'output di esempio seguente.

  • Emittente: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC0000000012

Quindi, aggiornare l'attributo altSecurityIdentities dell'utente in Active Directory con la stringa seguente:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Per aggiornare questo attributo con Powershell, è possibile usare il comando seguente. Tenere presente che, per impostazione predefinita, solo gli amministratori di dominio sono autorizzati ad aggiornare questo attributo.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Si noti che quando si inverte SerialNumber, è necessario mantenere l'ordine dei byte. Questo significa che l'inversione del numero seriale "A1B2C3" dovrebbe generare la stringa "C3B2A1" e non "3C2B1A". Per altre informazioni, vedere HowTo: Associare un utente a un certificato tramite tutti i metodi disponibili nell'attributo altSecurityIdentities.

Sequenza temporale per gli aggiornamenti di Windows

Importante La fase di abilitazione inizia con gli aggiornamenti dell'11 aprile 2023 per Windows, che ignorano l'impostazione della chiave del Registro di sistema modalità disabilitata. 

Dopo aver installato gli aggiornamenti di Windows del 10 maggio 2022, i dispositivi saranno in modalità compatibilità. Se è possibile eseguire il mapping di un certificato a un utente, l'autenticazione verrà eseguita come previsto. Se un certificato può essere mappato solo in modo debole a un utente, l'autenticazione verrà eseguita come previsto. Verrà tuttavia registrato un messaggio di avviso, a meno che il certificato non sia precedente all'utente. Se il certificato è precedente all'utente e la chiave del Registro di sistema di backdating del certificato non è presente o l'intervallo si trova al di fuori del compenso di backdating, l'autenticazione avrà esito negativo e verrà registrato un messaggio di errore.  Se la chiave del Registro di sistema Certificate Backdating è configurata, registrerà un messaggio di avviso nel registro eventi se le date rientrano nel compenso di backdating.

Dopo aver installato gli aggiornamenti di Windows del 10 maggio 2022, watch per qualsiasi messaggio di avviso che potrebbe essere visualizzato dopo un mese o più. Se non sono presenti messaggi di avviso, è consigliabile abilitare la modalità di applicazione completa in tutti i controller di dominio che usano l'autenticazione basata su certificato. È possibile usare la chiave del Registro di sistema KDC per abilitare la modalità di applicazione completa.

A meno che non sia stato aggiornato alla modalità di controllo o di applicazione utilizzando la chiave del Registro di sistema StrongCertificateBindingEnforcement in precedenza, i controller di dominio passeranno alla modalità di applicazione completa quando verrà installato l'aggiornamento della sicurezza di Windows di febbraio 2025. L'autenticazione verrà negata se non è possibile eseguire il mapping di un certificato. L'opzione per tornare in modalità compatibilità rimarrà fino a settembre 2025. Dopo questa data, la chiave del Registro di sistema StrongCertificateBindingEnforcement non sarà più supportata

Se l'autenticazione basata su certificato si basa su un mapping debole che non è possibile spostare dall'ambiente, è possibile impostare i controller di dominio in modalità disabilitata usando un'impostazione della chiave del Registro di sistema. Microsoft non lo consiglia e rimuoverà la modalità di disabilitazione l'11 aprile 2023.

Dopo aver installato gli aggiornamenti di Windows del 13 febbraio 2024 o versione successiva in Server 2019 e versioni successive e aver supportato i client con la funzionalità facoltativa RSAT installata, il mapping del certificato in Utenti di Active Directory & Computer selezionerà per impostazione predefinita il mapping sicuro usando X509IssuerSerialNumber invece di un mapping debole usando X509IssuerSubject. L'impostazione può comunque essere modificata come desiderato.

Risoluzione dei problemi

  • Utilizzare il log operativo Kerberos nel computer pertinente per determinare quale controller di dominio non esegue l'accesso. Passare a Visualizzatore eventi log di applicazioni e servizi di>\Microsoft \Windows\Security-Kerberos\Operational.

  • Cercare gli eventi rilevanti nel registro eventi di sistema nel controller di dominio in cui l'account sta tentando di eseguire l'autenticazione.

  • Se il certificato è precedente all'account, ripubblicare il certificato o aggiungere un mapping di altSecurityIdentities sicuro all'account (vedere Mapping dei certificati).

  • Se il certificato contiene un'estensione SID, verificare che il SID corrisponda all'account.

  • Se il certificato viene usato per autenticare più account diversi, per ogni account sarà necessario un mapping altSecurityIdentities distinto.

  • Se il certificato non ha un mapping sicuro all'account, aggiungerne uno o lasciarlo in modalità compatibilità finché non ne viene aggiunto uno.

Un esempio di mapping del certificato TLS è l'uso di un'applicazione Web Intranet iis.

  • Dopo l'installazione delle protezioni CVE-2022-26391 e CVE-2022-26923 , in questi scenari viene utilizzato il protocollo S4U (Certificate Service for User) Kerberos per la mappatura e l'autenticazione dei certificati per impostazione predefinita.

  • Nel protocollo S4U certificato Kerberos la richiesta di autenticazione passa dal server applicazioni al controller di dominio, non dal client al controller di dominio. Pertanto, gli eventi rilevanti saranno sul server applicazioni.

Informazioni sulla chiave del Registro di sistema

Dopo aver installato le protezioni CVE-2022-26931 e CVE-2022-26923 negli aggiornamenti di Windows rilasciati tra il 10 maggio 2022 e il 10 settembre 2025 o versione successiva, sono disponibili le chiavi del Registro di sistema seguenti.

Questa chiave del Registro di sistema non sarà supportata dopo l'installazione degli aggiornamenti per Windows rilasciati dopo settembre 2025 o successivamente.

Importante

L'uso di questa chiave del Registro di sistema è una soluzione temporanea per gli ambienti che lo richiedono e deve essere eseguita con cautela. L'uso di questa chiave del Registro di sistema significa quanto segue per l'ambiente in uso:

  • Questa chiave del Registro di sistema funziona solo in modalità compatibilità a partire da aggiornamenti rilasciati il 10 maggio 2022.

  • Questa chiave del Registro di sistema non sarà supportata dopo l'installazione degli aggiornamenti per Windows rilasciati il 10 settembre 2025.

  • Il rilevamento e la convalida dell'estensione SID usati dall'applicazione dell'associazione dei certificati strong dipendono dal valore UseSubjectAltName della chiave del Registro di sistema KDC. L'estensione SID verrà utilizzata se il valore del Registro di sistema non esiste o se il valore è impostato su un valore di 0x1. L'estensione SID non verrà usata se esiste UseSubjectAltName e il valore è impostato su 0x0.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

StrongCertificateBindingEnforcement

Tipo di dati

REG_DWORD

Data

1 – Controlla se è presente un mapping del certificato sicuro. In caso affermativo, è consentita l'autenticazione. In caso contrario, il KDC verificherà se il certificato ha la nuova estensione SID e lo convaliderà. Se questa estensione non è presente, l'autenticazione è consentita se l'account utente precede il certificato.

2 – Controlla se è presente una mappatura del certificato forte. In caso affermativo, è consentita l'autenticazione. In caso contrario, il KDC verificherà se il certificato ha la nuova estensione SID e lo convaliderà. Se questa estensione non è presente, l'autenticazione viene negata.

0 – Disabilita il controllo della mappatura dei certificati forti. Non consigliato perché disabiliterà tutti i miglioramenti della sicurezza.

Se si imposta questo valore su 0, è necessario impostare anche CertificateMappingMethods su 0x1F come descritto nella sezione chiave del Registro di sistema Schannel seguente per l'esito positivo dell'autenticazione basata su certificato del computer.

Riavvio Richiesto?

No

Quando un'applicazione server richiede l'autenticazione client, Schannel tenta automaticamente di eseguire il mapping del certificato fornito dal client TLS a un account utente. È possibile autenticare gli utenti che accedono con un certificato client creando mapping che correlano le informazioni sul certificato a un account utente di Windows. Dopo aver creato e abilitato il mapping di un certificato, ogni volta che un client presenta un certificato client, l'applicazione server associa automaticamente l'utente all'account utente di Windows appropriato.

Schannel tenterà di eseguire il mapping di ogni metodo di mapping del certificato abilitato fino al completamento. Schannel tenta prima di tutto di eseguire il mapping Service-For-User-To-Self (S4U2Self). I mapping di certificato Oggetto/Emittente, Emittente e UPN sono ora considerati deboli e sono stati disabilitati per impostazione predefinita. La somma mascherata di bit delle opzioni selezionate determina l'elenco dei metodi di mapping dei certificati disponibili.

La chiave del Registro di sistema SChannel era 0x1F ed è ora 0x18. Se si verificano errori di autenticazione con le applicazioni server basate su Schannel, è consigliabile eseguire un test. Aggiungere o modificare il valore della chiave del Registro di sistema CertificateMappingMethods nel controller di dominio e impostarlo su 0x1F e verificare se il problema viene risolto. Per altre informazioni, cercare eventuali errori elencati in questo articolo nei registri eventi di sistema nel controller di dominio. Tieni presente che se si ripristina il valore della chiave del Registro di sistema SChannel al valore predefinito precedente (0x1F) verrà ripristinato usando metodi di mapping dei certificati deboli.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Value

CertificateMappingMethods

Tipo di dati

DWORD

Data

0x0001 - Mapping del certificato soggetto/emittente (debole - Disabilitato per impostazione predefinita)

0x0002 - Mapping del certificato dell'autorità emittente (debole - Disabilitato per impostazione predefinita)

0x0004 - Mapping del certificato UPN (debole - Disabilitato per impostazione predefinita)

0x0008 - S4U2Self certificate mapping (strong)

0x0010 - S4U2Self mapping esplicito del certificato (strong)

Riavvio Richiesto?

No

Per altre risorse e supporto, vedere la sezione "Risorse aggiuntive".

Dopo aver installato gli aggiornamenti relativi a CVE-2022-26931 e CVE-2022-26923, l'autenticazione potrebbe non riuscire nei casi in cui i certificati utente sono più vecchi dei tempi di creazione degli utenti. Questa chiave del Registro di sistema consente di eseguire correttamente l'autenticazione quando si usano mapping di certificati deboli nell'ambiente e l'ora del certificato precede l'ora di creazione dell'utente all'interno di un intervallo impostato. Questa chiave del Registro di sistema non influisce su utenti o computer con mapping dei certificati forti, in quanto l'ora del certificato e l'ora di creazione degli utenti non vengono controllate con i mapping dei certificati forti. Questa chiave del Registro di sistema non ha alcun effetto quando StrongCertificateBindingEnforcement è impostato su 2.

L'uso di questa chiave del Registro di sistema è una soluzione temporanea per gli ambienti che lo richiedono e deve essere eseguita con cautela. L'uso di questa chiave del Registro di sistema significa quanto segue per l'ambiente in uso:

  • Questa chiave del Registro di sistema funziona solo in modalità compatibilità a partire da aggiornamenti rilasciati il 10 maggio 2022. L'autenticazione sarà consentita all'interno dell'offset di compensazione di backdating, ma verrà registrato un avviso del registro eventi per l'associazione debole.

  • L'abilitazione di questa chiave del Registro di sistema consente l'autenticazione dell'utente quando l'ora del certificato è prima dell'ora di creazione dell'utente all'interno di un intervallo impostato come mapping debole. I mapping deboli non saranno supportati dopo l'installazione degli aggiornamenti per Windows rilasciati a partire da settembre 2025 o successivamente.

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

CertificateBackdatingCompensation

Tipo di dati

REG_DWORD

Data

Valori per la soluzione alternativa in anni approssimativi:

  • 50 anni: 0x5E0C89C0

  • 25 anni: 0x2EFE0780

  • 10 anni: 0x12CC0300

  • 5 anni: 0x9660180

  • 3 anni: 0x5A39A80

  • 1 anno: 0x1E13380

Nota Se si conosce la durata dei certificati nell'ambiente, impostare questa chiave del Registro di sistema su una durata leggermente superiore a quella del certificato.  Se non si conoscono le durate dei certificati per l'ambiente, impostare questa chiave del Registro di sistema su 50 anni. Il valore predefinito è 10 minuti quando questa chiave non è presente, che corrisponde a Servizi certificati Active Directory. Il valore massimo è 50 anni (0x5E0C89C0).

Questa chiave imposta la differenza di ora, in secondi, che il Centro di distribuzione delle chiavi ignorerà tra l'ora di rilascio di un certificato di autenticazione e l'ora di creazione dell'account per gli account utente/computer.

Importante Impostare questa chiave del Registro di sistema solo se l'ambiente lo richiede. L'uso di questa chiave del Registro di sistema disabilita un controllo di sicurezza.

Riavvio Richiesto?

No

Autorità di certificazione organizzazione

Le autorità di certificazione (CA) dell'organizzazione inizieranno ad aggiungere una nuova estensione non critica con L'identificatore di oggetto (OID) (1.3.6.1.4.1.311.25.2) per impostazione predefinita in tutti i certificati emessi sui modelli online dopo l'installazione dell'aggiornamento di Windows del 10 maggio 2022. È possibile interrompere l'aggiunta di questa estensione impostando il bit di 0x00080000 nel valore msPKI-Enrollment-Flag del modello corrispondente.

Eseguire il comando certutil seguente per escludere i certificati del modello utente dal recupero della nuova estensione.

  1. Accedere a un server autorità di certificazione o a un client Windows 10 aggiunto a un dominio con l'amministratore aziendale o con credenziali equivalenti.

  2. Aprire un prompt dei comandi e scegliere Esegui come amministratore.

  3. Esegui certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

La disabilitazione dell'aggiunta di questa estensione rimuoverà la protezione fornita dalla nuova estensione. È consigliabile eseguire questa operazione solo dopo una delle operazioni seguenti:

  1. Si conferma che i certificati corrispondenti non sono accettabili per la crittografia a chiave pubblica per l'autenticazione iniziale (PKINIT) nelle autenticazioni del protocollo Kerberos in KDC

  2. I certificati corrispondenti hanno altri mapping dei certificati forti configurati

Gli ambienti che hanno distribuzioni di CA non Microsoft non verranno protetti con la nuova estensione SID dopo l'installazione dell'aggiornamento di Windows del 10 maggio 2022. I clienti interessati devono collaborare con i fornitori di CA corrispondenti per risolvere questo problema o valutare l'utilizzo di altre mappe dei certificati forti descritte in precedenza.

Per altre risorse e supporto, vedere la sezione "Risorse aggiuntive".

Domande frequenti

No, non è richiesto il rinnovo. L'autorità di certificazione verrà spedita in modalità compatibilità. Se si vuole un mapping sicuro usando l'estensione ObjectSID, è necessario un nuovo certificato.

Nell'aggiornamento di Windows dell'11 febbraio 2025, i dispositivi che non sono già in Enforcement (StrongCertificateBindingEnforcement valore del Registro di sistema è impostato su 2), verranno spostati in Enforcement. Se l'autenticazione viene negata, verrà visualizzato l'ID evento 39 (o l'ID evento 41 per Windows Server 2008 R2 SP1 e Windows Server 2008 SP2). In questa fase sarà possibile impostare nuovamente il valore della chiave del Registro di sistema su 1 (modalità compatibilità).

Nell'aggiornamento di Windows del 10 settembre 2025, il valore del Registro di sistema StrongCertificateBindingEnforcement non sarà più supportato. ​​​​​​​

Altre risorse

Per altre informazioni sul mapping del certificato client TLS, vedere gli articoli seguenti:

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.