Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Datuma maiņa

Apraksts

10/24/2024

Atjaunināts teksts, lai tas būtu saprotams sadaļas "Darbība" 2. darbībā, sadaļas "Laika grafiks Windows atjauninājumiem" "Izpildes režīms" un sadaļas "Atslēgas izplatīšanas centrs (KDC) reģistra atslēgas" un "Ar sertifikātu atpakaļiepazāmā reģistra atslēga" datuma informācija pārskatīta sadaļā "Reģistra atslēgas informācija".

9/10/2024

Mainīja full enforcement režīma aprakstu sadaļā "Hronometrāža Windows atjauninājumiem", lai atspoguļotu jaunos datumus. 2025. gada 11. februāris pārvirzīs ierīces uz ieviešanas režīmu, taču atstājiet atbalstu, lai tas pārietu atpakaļ uz saderības režīmu. Pilnīga reģistra atslēgu atbalsts tiks pārtraukts 2025. gada 10. septembrī.

7/5/2024

Pievienota informācija par SID paplašinājumu atslēgas adresātu centra (KDC) reģistra atslēgai sadaļā "Reģistra atslēgas informācija".

10/10/2023

Pievienota informācija par stipriem kartējumiem Noklusējuma izmaiņas sadaļā "Laika grafiks operētājsistēmai Windows Atjauninājumi"

6/30/2023

Mainīts pilnekrāna režīma datums no 2023. gada 14. novembra uz 2025. gada 11. februāri (šie datumi iepriekš tika norādīti kā 2023. gada 19. maijs–2023. gada 14. novembris).

1/26/2023

Mainīta atspējotā režīma noņemšana no 2023. gada 14. februāra uz 2023. gada 11. aprīli

Kopsavilkums

CVE-2022-34691,CVE-2022-26931 un CVE-2022-26923 adresē privilēģiju ievainojamības pacēlumu, kas var rasties, ja Kerberos atslēgu adresātu centrs (KDC) apkalpošanas sertifikāta autentifikācijas pieprasījumu. Pirms 2022. gada 10. maija drošības atjauninājuma autentifikācijai, kuras pamatā ir sertifikāts, datora nosaukuma beigās nebūs dolāra zīmes ($) konts. Līdz ar to saistītie sertifikāti tika dažādos veidos atsēroti (izlikšanās). Turklāt konflikti starp pamatnosaukumu (User Principal Names — UPN) un sAMAccountName ieviesa citas ikonsulēšanas (izlikšanās) ievainojamības, uz kurām vērsts arī šis drošības atjauninājums. 

Rīkojieties

Lai aizsargātu savu vidi, veiciet šādas darbības autentifikācijai, kuras pamatā ir sertifikāts:

  1. Ar 2022. gada 10. maija atjauninājumu atjauniniet visus serverus, kas izmanto Active Directory sertifikātu pakalpojumus un Windows domēna kontrollerus, kuru pakalpojuma sertifikāta autentifikācija ir pamatota (skatiet saderības režīmu). 2022. gada 10. maija atjauninājums nodrošinās audita notikumus, kas identificē sertifikātus, kas nav saderīgi ar pilnīgas ieviešanas režīmu.

  2. Ja domēna kontrolleros vienu mēnesi pēc atjauninājuma instalēšanas netiek izveidoti audita notikumu žurnāli, turpiniet ar pilnīgas ieviešanas režīma iespējošanu visiem domēna kontrolleriem. Līdz 2025. gada februārim, ja reģistra atslēga StrongCertificateBindingEnforcement nav konfigurēta, domēna kontrolleri tiks pārvietoti uz pilnekrāna režīmu. Pretējā gadījumā reģistra atslēgu saderības režīma iestatījums joprojām tiks paturēts. Pilnekrāna režīmā, ja sertifikāts neatbilst stiprajiem (drošajiem) kartēšanas kritērijiem (skatiet sadaļu Sertifikātu kartējumi), autentifikācija tiks liegta. Tomēr opcija, lai pārietu atpakaļ uz saderības režīmu, paliks līdz 2025. gada septembrim. ​​​​​​​

Auditēšanas notikumi

2022. gada 10. maija Windows atjauninājums pievieno šādus notikumu žurnālus.

Nevar atrast nevienu stipru sertifikātu kartējumu, un sertifikātam nav jaunā drošības identifikatora (SID) paplašinājuma, ko KDC varētu validēt.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums, ja KDC ir saderības režīmā

Kļūda, ja KDC ir ieviešanas režīmā

Notikuma avots

Kdcsvc

Notikuma ID

39

41 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Šādi sertifikāti ir vai nu jānomaina vai jākartē tieši lietotājam, veicot tiešu kartēšanu. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija.

Lietotājs: <pamatnosaucvārds>

Sertifikāta tēma: <tēmas nosaukums sertifikāta>

Sertifikāta izdevējs: <pilnā domēna nosaukuma (FQDN)>

Sertifikāta sērijas numurs: <sērijas numurs>

Sertifikāta īkšķis: <īkšķa nospiešana>

Sertifikāts tika izsniegts lietotājam, pirms lietotājs pastāvēja pakalpojumā Active Directory, un nevarēja atrast stipru kartēšanu. Šis notikums tiek reģistrēts tikai tad, ja KDC ir saderības režīmā.

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

Kdcsvc

Notikuma ID

40

48 (sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, bet to nevarēja kartēt ar lietotāju stingri (piemēram, izmantojot tiešu kartēšanu, atslēgu drošības kontroles kartēšanu vai SID). Sertifikāts bija arī pirms lietotāja, ar kuru tas tika kartēts, tāpēc tas tika noraidīts. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija.

Lietotājs: <pamatnosaucvārds>

Sertifikāta tēma: <tēmas nosaukums sertifikāta>

Sertifikāta izdevējs: <izsniedzējs FQDN>

Sertifikāta sērijas numurs: <sērijas numurs>

Sertifikāta īkšķis: <īkšķa nospiešana>

Sertifikāta izsniegšanas laiks: <sertifikāta izsniegšanas laiks FILETIME>

Konta izveides laiks: <AD> FILETIME

SID, kas iekļauts lietotāju sertifikāta jaunajā paplašinājumā, neatbilst lietotāja SID failam, tas norāda, ka sertifikāts ir izsniegts citam lietotājam.

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

Kdcsvc

Notikuma ID

41

49 (Sistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2)

Notikuma teksts

Atslēgu adresātu centrā (KDC) radās lietotāja sertifikāts, kas bija derīgs, taču saturēja citu SID numuru, nevis lietotāju, kuram tas tika kartēts. Rezultātā pieprasījums, kas saistīti ar sertifikātu, neizdevās. Papildinformāciju https://go.microsoft.cm/fwlink/?linkid=2189925 skatiet rakstā Papildinformācija.

Lietotājs: <pamatnosaucvārds>

Lietotāja SID: <autentificēšanas pamatsummas>

Sertifikāta tēma: <tēmas nosaukums sertifikāta>

Sertifikāta izdevējs: <izsniedzējs FQDN>

Sertifikāta sērijas numurs: <sērijas numurs>

Sertifikāta īkšķis: <īkšķa nospiešana>

Sertifikāts SID: <SID ir atrodams jaunajā sertifikāta paplašinājuma>

Sertifikātu kartējumi

Domēna administratori var manuāli kartēt sertifikātus lietotājam pakalpojumā Active Directory, izmantojot lietotāju objekta atribūtu altSecurityIdentities . Šim atribūtam ir sešas atbalstītās vērtības, trīs kartējumi tika uzskatīti par vāju (nedrošu), bet pārējie trīs tika uzskatīti par stipriem. Parasti kartējuma tipi tiek uzskatīti par stipriem, ja to pamatā ir identifikatori, ko nevar izmantot atkārtoti. Tāpēc visi kartējuma tipi, kuru pamatā ir lietotājvārdi un e-pasta adreses, tiek uzskatīti par vāju.

Kartēšanas

Piemērs

Tips

Piezīmes

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Vārgs

X509SubjectOnly

"X509:<S>SubjectName"

Vārgs

X509RFC822

"X509:<RFC822>user@contoso.com"

Vārgs

E-pasta adrese

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Stiprs

Ieteicamie

X509SKI

"X509:<SKI>123456789abcdef"

Stiprs

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Stiprs

Ja klienti nevar atkārtoti izdot sertifikātus ar jauno paplašinājums SID, ieteicams izveidot manuālu kartēšanu, izmantojot kādu no iepriekš aprakstītajiem stiprajiem kartējumiem. To var izdarīt, pievienojot lietotājam atbilstošo kartējuma virkni atribūtam altSecurityIdentities pakalpojumā Active Directory.

Piezīme Par noteiktiem laukiem, piemēram, Izdevējs, Tēma un Sērijas numurs, tiek ziņots "pārsūtīšanas" formātā. Šis formāts ir jāatgriež, kad pievienojat kartējuma virkni atribūtam altSecurityIdentities . Piemēram, lai lietotājam pievienotu X509IssuerSerialNumber kartējumu, meklējiet tā sertifikāta laukus "Izdevējs" un "Sērijas numurs", ko vēlaties kartēt lietotājam. Skatiet tālāko paraugu izvadi.

  • Izdevējs: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Sērijas numurs: 2B0000000011AC0000000012

Pēc tam atjauniniet lietotāja atribūtu altSecurityIdentities pakalpojumā Active Directory ar šādu virkni:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Lai atjauninātu šo atribūtu, izmantojot Powershell, varat izmantot tālāk norādīto komandu. Ņemiet vērā, ka pēc noklusējuma tikai domēnu administratoriem ir atļauja atjaunināt šo atribūtu.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"}

Ievērojiet, ka, apvērsot SerialNumber, baitu secība ir jāsaglabā. Tas nozīmē, ka, ja seriālais_skaitlis ir "A1B2C3", tiek izraisīta virkne "C3B2A1", nevis " 3C2B1A". Papildinformāciju skatiet rakstā HowTo: lietotāja kartēšana uz sertifikātu, izmantojot visas metodēm, kas pieejamas atribūtā altSecurityIdentities.

Windows atjauninājumu laika grafiks

Svarīgi! Iespējošanas posms sākas ar 2023. gada 11. aprīļa atjauninājumiem operētājsistēmai Windows, kas ignorē atspējotā režīma reģistra atslēgas iestatījumu. 

Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas ierīces būs saderības režīmā. Ja sertifikātu var stingri kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Ja sertifikātu var tikai vājš kartēt ar lietotāju, autentifikācija notiek, kā paredzēts. Tomēr tiek reģistrēts brīdinājuma ziņojums, ja vien sertifikāts nav vecāks par lietotāju. Ja sertifikāts ir vecāks par lietotāju, bet sertifikāta atpakaļ sūtīšanas reģistra atslēga nav pieejama vai diapazons atrodas ārpus neveiksmju kompensāciju, autentifikācija neizdosies un tiks reģistrēts kļūdas ziņojums.  Ja ir konfigurēta reģistra atslēga Sertifikāts backdating, tas notikumu žurnālā reģistrēs brīdinājuma ziņojumu, ja datumi atbilst atpakaļešanas kompensācijas ziņojumam.

Pēc 2022. gada 10. maija Windows atjauninājumu instalēšanas skatieties, vai nav brīdinājuma ziņojumu, kas var tikt parādīts pēc mēneša vai ilgāka atjauninājuma. Ja nav brīdinājuma ziņojumu, iesakām iespējot pilnekrāna režīmu visiem domēna kontrolleriem, izmantojot sertifikāta autentifikāciju. Lai iespējotu pilnekrāna režīmu, varat izmantot KDC reģistra atslēgu.

Ja vien tie nav atjaunināti uz audita režīmu vai ieviešanas režīmu, izmantojot reģistra atslēgu StrongCertificateBindingEnforcement iepriekš, domēna kontrolleri pēc 2025. gada februāra Windows drošības atjauninājuma instalēšanas tiks pārvietoti uz pilnekrāna režīmu. Autentifikācija tiks liegta, ja sertifikātu nevar stingri kartēt. Opcija, lai pārietu atpakaļ uz saderības režīmu, paliks līdz 2025. gada septembrim. Pēc šī datuma reģistra atslēga StrongCertificateBindingEnforcement vairs netiks atbalstīta

Ja autentifikācija, kuras pamatā ir sertifikāts, izmanto vājš kartējumu, ko nevar pārvietot no vides, varat novietot domēnu kontrollerus atspējotā režīmā, izmantojot reģistra atslēgas iestatījumu. Microsoft to neiesaka , un 2023. gada 11. aprīlī mēs noņemiet atspējoto režīmu.

Pēc 2024. gada 13. februāra vai jaunākas versijas Windows atjauninājumu instalēšanas serverī 2019 un jaunākās versijās un atbalstītajiem klientiem, kuros instalēts RSAT neobligātais līdzeklis, sertifikātu kartēšanas pakalpojumā Active Directory lietotāji & Datori noklusējuma izvēlēsies stipru kartēšanu, izmantojot X509IssuerSerialNumber, nevis vāju kartēšanu, izmantojot X509IssuerSubject. Iestatījumu joprojām var mainīt pēc vajadzības.

Problēmu novēršana

  • Izmantojiet Kerberos darbības žurnālu attiecīgajā datorā, lai noteiktu, kurā domēna kontrollerī neizdodas pierakstīties. Dodieties uz Notikumu skatītājs > Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

  • Meklējiet atbilstošus notikumus domēna kontrollera sistēmas notikumu žurnālā, pret kuru konts mēģina autentificēties.

  • Ja sertifikāts ir vecāks par kontu, atkārtoti izsniedziet sertifikātu vai kontam pievienojiet drošu altSecurityIdentities kartējumu (skatiet rakstu Sertifikātu kartējumi).

  • Ja sertifikātā ir SID paplašinājums, pārliecinieties, vai SID atbilst kontam.

  • Ja sertifikāts tiek izmantots, lai autentificētu vairākus atšķirīgus kontus, katram kontam ir nepieciešama atsevišķa altSecurityIdentities kartēšana .

  • Ja sertifikātam nav drošas kartēšanas uz kontu, pievienojiet to vai atstājiet domēnu saderības režīmā, līdz to var pievienot.

TLS sertifikāta kartēšanas piemērs izmanto IIS iekštīkla tīmekļa lietojumprogrammu.

  • Pēc CVE-2022-26391 un CVE-2022-26923 aizsardzības instalēšanas šajos scenārijos tiek izmantots Kerberos sertifikātu pakalpojuma lietotājam (S4U) protokols sertifikātu kartēšanai un autentifikācijai pēc noklusējuma.

  • Kerberos sertifikāta S4U protokols autentifikācijas pieprasījums plūst no lietojumprogrammas servera uz domēna kontrolleri, nevis no klienta uz domēna kontrolleri. Tāpēc lietojumprogrammu serverī būs atbilstoši notikumi.

Reģistra atslēgas informācija

Pēc CVE-2022-26931 un CVE-2022-26923 aizsardzības instalēšanas Windows atjauninājumos, kas izlaisti no 2022. gada 10. maija līdz 2025. gada 10. septembrim, vai jaunākām versijām, ir pieejamas šādas reģistra atslēgas.

Šī reģistra atslēga netiks atbalstīta pēc windows atjauninājumu instalēšanas, kas izlaisti 2025. gada septembrī vai pēc tās.

Svarīgi!

Šīs reģistra atslēgas izmantošana ir pagaidu risinājums vidēm, kurām tas ir nepieciešams, un tas ir jāveic piesardzīgi. Izmantojot šo reģistra atslēgu, jūsu videi ir šādi līdzekļi:

  • Šī reģistra atslēga darbojas tikai saderības režīmā, sākot ar 2022. gada 10. maijā izlaistajiem atjauninājumiem.

  • Šī reģistra atslēga netiks atbalstīta pēc tam, kad būs instalēti 2025. gada 10. septembrī izlaistie Windows atjauninājumi.

  • SID paplašinājuma noteikšana un validācija, ko izmanto stipra sertifikātu saistīšanas ieviešana, ir atkarīga no KDC reģistra atslēgas UseSubjectAltName vērtības. SID paplašinājums tiks izmantots, ja reģistra vērtība nepastāv vai ja vērtība ir iestatīta kā 0x1. SID paplašinājums netiks izmantots, ja pastāv UseSubjectAltName un vērtība ir iestatīta kā 0x0.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vērtība

StrongCertificateBindingEnforcement

Datu tips

REG_DWORD

Dati

1. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir atļauta, ja lietotāja konts ir pirms sertifikāta.

2. Pārbauda, vai ir stipra sertifikāta kartēšana. Ja jā, autentifikācija ir atļauta. Pretējā gadījumā KDC pārbaudīs, vai sertifikātam ir jaunais SID paplašinājums, un to validēs. Ja šis paplašinājums nav pieejams, autentifikācija ir liegta.

0. Atspējo stipru sertifikātu kartēšanas pārbaudi. Nav ieteicams, jo tiks atspējoti visi drošības uzlabojumi.

Ja šī vērtība ir iestatīta kā 0, ir jāiestata arī iestatījums CertificateMappingMethods uz 0x1F kā aprakstīts tālāk sadaļā Schannel reģistra atslēga, lai autentifikācija, kuras pamatā ir dators, būtu veiksmīga.

Vai restartēt obligāti?

Ja servera lietojumprogrammai ir nepieciešama klienta autentifikācija, Schannel automātiski mēģina kartēt sertifikātu, ko TLS klienta krājumi ir kartēti lietotāja kontam. Lietotājus, kuri pierakstās ar klienta sertifikātu, var autentificēt, izveidojot kartējumus, kas saista sertifikāta informāciju ar Windows lietotāja kontu. Kad esat izveidojis un iespējojis sertifikāta kartēšanu, ikreiz, kad klients prezentē klienta sertifikātu, servera lietojumprogramma automātiski saista lietotāju ar atbilstošo Windows lietotāja kontu.

Schannel mēģinās kartēt katru iespējoto sertifikāta kartēšanas metodi līdz brīdim, kad būs veiksmīga. Schannel vispirms mēģina kartēt kartējumus Service-For-User-To-Self (S4U2Self). Tēmas/izdevēja, izdevēja un UPN sertifikātu kartējumi tagad tiek uzskatīti par vāju un pēc noklusējuma ir atspējoti. Atlasīto opciju bitmasked summa nosaka pieejamo sertifikātu kartēšanas metožu sarakstu.

Reģistra atslēga SChannel tika pēc noklusējuma 0x1F ir 0x18. Ja autentifikācijas kļūmes rodas ar Schannel servera lietojumprogrammām, ieteicams veikt pārbaudi. Pievienojiet vai modificējiet certificateMappingMethods reģistra atslēgas vērtību domēna kontrollerī un iestatiet to kā 0x1F kā arī pārbaudiet, vai problēma tiek novērsta. Papildinformāciju skatiet domēna kontrollera sistēmas notikumu žurnālos, lai uzzinātu par visām šajā rakstā uzskaitītajām kļūdām. Ņemiet vērā, ka, mainot SChannel reģistra atslēgas vērtību atpakaļ uz iepriekšējo noklusējuma (0x1F) versiju, tiks atjaunota pāreja uz vājām sertifikātu kartēšanas metodēm.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Vērtība

CertificateMappingMethods

Datu tips

DWORD

Dati

0x0001 — tēmas/izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma)

0x0002 - izsniedzēja sertifikāta kartēšana (vāja – atspējota pēc noklusējuma)

0x0004 - UPN sertifikāta kartēšana (vāja — atspējota pēc noklusējuma)

0x0008 - S4U2Self sertifikāta kartēšana (stipra)

0x0010 - S4U2Self tieša sertifikāta kartēšana (stipra)

Vai restartēt obligāti?

Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".

Kad esat instalējis atjauninājumus, kas adresē CVE-2022-26931 un CVE-2022-26923, autentifikācija var neizdoties gadījumos, kad lietotāju sertifikāti ir vecāki par lietotāju izveides laiku. Šī reģistra atslēga ļauj veikt veiksmīgu autentifikāciju, ja vidē izmantojat vājus sertifikātu kartējumus un sertifikāta laiks ir pirms lietotāja izveides laika noteiktā diapazonā. Šī reģistra atslēga neietekmē lietotājus vai datorus ar stipriem sertifikātu kartējumiem, jo sertifikāta laiks un lietotāju izveides laiks netiek pārbaudīts ar stipru sertifikātu kartējumu. Šī reģistra atslēga nedarbojas, ja StrongCertificateBindingEnforcement ir iestatīts uz 2.

Šīs reģistra atslēgas izmantošana ir pagaidu risinājums vidēm, kurām tas ir nepieciešams, un tas ir jāveic piesardzīgi. Izmantojot šo reģistra atslēgu, jūsu videi ir šādi līdzekļi:

  • Šī reģistra atslēga darbojas tikai saderības režīmā, sākot ar 2022. gada 10. maijā izlaistajiem atjauninājumiem. Autentifikācija tiks atļauta atpakaļnoteikšanās kompensācijas nobīdē, bet par vājo saistījumu tiks reģistrēts notikumu žurnāla brīdinājums.

  • Iespējojot šo reģistra atslēgu, var autentificēt lietotāju, kad sertifikāta laiks ir pirms lietotāja izveides laika iestatītā diapazonā kā vāja kartēšana. Pēc Windows atjauninājumu instalēšanas, kas izlaisti 2025. gada septembrī vai pēc tam, pēc 2025. gada septembra, vājš kartējums netiks atbalstīts.

Reģistra apakšatslēga

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vērtība

CertificateBackdatingCompensation

Datu tips

REG_DWORD

Dati

Risinājuma vērtības aptuvenos gados:

  • 50 gadi: 0x5E0C89C0

  • 25 gadi: 0x2EFE0780

  • 10 gadi: 0x12CC0300

  • 5 gadi: 0x9660180

  • 3 gadi: 0x5A39A80

  • 1 gads: 0x1E13380

Piezīme Ja zināt, ka sertifikātu darbības laiks jūsu vidē ir ilgāks par sertifikāta darbības laiku, iestatiet šo reģistra atslēgu.  Ja nezināt, cik sertifikātu ilgums ir jūsu vidē, iestatiet šo reģistra atslēgu uz 50 gadiem. Noklusējums ir 10 minūtes, ja šī atslēga nav pieejama, kas atbilst Active Directory sertifikātu pakalpojumiem (ADCS). Maksimālā vērtība ir 50 gadi (0x5E0C89C0).

Šī atslēga iestata laika atšķirību sekundēs, ko atslēgu adresātu centrs (KDC) ignorēs starp autentifikācijas sertifikāta problēmas laiku un konta izveides laiku lietotāja/datora kontiem.

Svarīgi! Iestatiet šo reģistra atslēgu tikai tad, ja tā ir nepieciešama jūsu vidē. Izmantojot šo reģistra atslēgu, tiek atspējota drošības pārbaude.

Vai restartēt obligāti?

Uzņēmuma sertificēšanas iestādes

Uzņēmuma sertificēšanas iestādes (CA) pēc noklusējuma pievienos jaunu paplašinājumu, kas nav kritisks, ar objekta identifikatoru (OID) (1.3.6.1.4.1.311.25.2) visos sertifikāti, kas izdoti tiešsaistes veidnēs pēc 2022. gada 10. maija Windows atjauninājuma instalēšanas. Varat pārtraukt šī paplašinājuma papildinājumu, iestatot 0x00080000 bits atbilstošās veidnes vērtībā msPKI-Enrollment-Flag .

Izpildiet šo komandu certutil , lai izslēgtu sertifikātus lietotāja veidnē no jauna paplašinājuma iegūšanas.

  1. Pierakstieties sertificēšanas iestādes serverī vai domēnam savienotā klienta ar Windows 10 administratoram vai līdzvērtīgiem akreditācijas datiem.

  2. Atveriet komandu uzvedni un izvēlieties Palaist kā administratoram.

  3. Run certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Atspējojot šī paplašinājuma papildinājumu, tiek noņemta jaunā paplašinājuma nodrošinātā aizsardzība. Apsveriet iespēju to izdarīt tikai pēc vienas no šīm darbībām:

  1. Jūs apstiprināt, ka atbilstošie sertifikāti nav pieņemami sākotnējās autentifikācijas (Public Key Cryptography – PKINIT) publiskās atslēgas šifrēšanai Kerberos protokola autentifikācijā KDC

  2. Attiecīgajiem sertifikātiem ir konfigurēti citi stipru sertifikātu kartējumi

Vides, kurās ir izvietojumi ārpus Microsoft CA, pēc 2022. gada 10. maija Windows atjauninājuma instalēšanas netiks aizsargātas, izmantojot jauno SID paplašinājumu. Ietekmētajiem klientiem ir jādarbojas ar atbilstošajiem CA piegādātājiem, lai to novērstu, vai arī ir jāapsver iespēja izmantot citus iepriekš aprakstītos stipros sertifikātu kartējumus.

Papildu resursus un atbalstu skatiet sadaļā "Papildu resursi".

Bieži uzdotie jautājumi

Nē, atjaunošana nav nepieciešama. CA tiks piegādāta saderības režīmā. Ja vēlaties stipru kartēšanu, izmantojot paplašinājumu ObjectSID, būs nepieciešams jauns sertifikāts.

2025. gada 11. februāra Windows atjauninājumā ierīces, kas vēl nav ieviešanas ierīcēs (StrongCertificateBindingEnforcement reģistra vērtība tiek iestatīta kā 2), tiks pārvietotas uz lietojumprogrammu. Ja autentifikācija ir liegta, redzēsit notikuma ID 39 (vai notikuma ID 41 operētājsistēmai Windows Server 2008 R2 SP1 un Windows Server 2008 SP2). Šajā posmā jums ir iespēja iestatīt reģistra atslēgas vērtību atpakaļ uz 1 (saderības režīmu).

2025. gada 10. septembra Windows atjauninājumā reģistra vērtība StrongCertificateBindingEnforcement vairs netiks atbalstīta. ​​​​​​​

Papildu resursi

Papildinformāciju par TLS klienta sertifikātu kartēšanu skatiet šādos rakstos:

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.