Endre dato |
Beskrivelse |
---|---|
10/24/2024 |
Oppdatert tekst for klarhet i trinn 2 i delen «Utfør handling», i «Full håndhevelsesmodus»-beskrivelsen av delen «Tidslinje for Windows-oppdateringer», og reviderte datoinformasjonen for "Key Distribution Center (KDC)-registernøkkelen" og "Certificate Backdating Registry Key"-emnene i delen Informasjon om nøkkelnøkkel for nøkkel. |
9/10/2024 |
Endret beskrivelsen av full håndhevelsesmodus i delen Tidsberegning for Windows-oppdateringer for å gjenspeile nye datoer. 11. februar 2025 flytter enheter til håndhevelsesmodus, men lar støtte gå tilbake til kompatibilitetsmodus. Full støtte for registernøkkel avsluttes nå 10. september 2025. |
7/5/2024 |
Lagt til informasjon om SID-utvidelse i nøkkeldistribusjonssenterregisternøkkelen (KDC) i delen Informasjon om registernøkkel. |
10.10.2023 |
Lagt til informasjon om standardendringer for sterke tilordninger under «Tidslinje for Windows Oppdateringer» |
6/30/2023 |
Endret dato for full håndhevelsesmodus fra 14. november 2023 til 11. februar 2025 (disse datoene ble tidligere oppført som 19. mai 2023 til 14. november 2023). |
1/26/2023 |
Endret fjerning av deaktivert modus fra 14. februar 2023 til 11. april 2023 |
Sammendrag
CVE-2022-34691,CVE-2022-26931 og CVE-2022-26923 løser et sikkerhetsproblem med rettighetsutvidelser som kan oppstå når Kerberos Key Distribution Center (KDC) vedlikeholder en sertifikatbasert godkjenningsforespørsel. Før sikkerhetsoppdateringen 10. mai 2022 ville ikke sertifikatbasert godkjenning ta høyde for et dollartegn ($) på slutten av et maskinnavn. Dette gjorde det mulig for relaterte sertifikater å emuleres (forfalsket) på forskjellige måter. I tillegg ble konflikter mellom brukerhovednavn (UPN) og sAMAccountName introdusert andre emuleringsproblemer (spoofing) som vi også adresserer med denne sikkerhetsoppdateringen.
Iverksett tiltak
Følg disse trinnene for sertifikatbasert godkjenning for å beskytte miljøet:
-
Oppdater alle servere som kjører Active Directory Certificate Services og Windows-domenekontrollere som tjenestesertifikatbasert godkjenning med oppdateringen 10. mai 2022 (se kompatibilitetsmodus). Oppdateringen 10. mai 2022 gir overvåkingshendelser som identifiserer sertifikater som ikke er kompatible med full håndhevelsesmodus.
-
Hvis ingen overvåkingshendelseslogger opprettes på domenekontrollere i én måned etter at oppdateringen er installert, fortsetter du med aktivering av Full håndhevelse-modus på alle domenekontrollere. Innen februar 2025, hvis registernøkkelen StrongCertificateBindingEnforcement ikke er konfigurert, flyttes domenekontrollere til full håndhevelsesmodus. Ellers vil innstillingen for kompatibilitetsmodus for registernøkler fortsatt overholdes. Hvis et sertifikat ikke oppfyller de sterke (sikre) tilordningskriteriene (se sertifikattilordninger) i full håndhevelsesmodus, vil godkjenning nektes. Alternativet for å gå tilbake til kompatibilitetsmodus forblir imidlertid til september 2025.
Overvåkingshendelser
Windows-oppdateringen 10. mai 2022 legger til følgende hendelseslogger.
Finner ingen sterke sertifikattilordninger, og sertifikatet hadde ikke den nye sikkerhetsidentifikatorutvidelsen (SID) som KDC kunne validere.
Hendelseslogg |
System |
Hendelsestype |
Advarsel hvis KDC er i kompatibilitetsmodus Feil hvis KDC er i håndhevelsesmodus |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
39 41 (for Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) |
Hendelsestekst |
KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som ikke kunne tilordnes til en bruker på en sterk måte (for eksempel via eksplisitt tilordning, tilordning av nøkkelklarering eller sid). Slike sertifikater bør enten erstattes eller tilordnes direkte til brukeren gjennom eksplisitt tilordning. Se https://go.microsoft.com/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: <utsteder fullstendig domenenavn (FQDN)-> Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat> |
Sertifikatet ble utstedt til brukeren før brukeren fantes i Active Directory, og finner ingen sterk tilordning. Denne hendelsen logges bare når KDC er i kompatibilitetsmodus.
Hendelseslogg |
System |
Hendelsestype |
Feil |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
40 48 (For Windows Server 2008 R2 SP1 og Windows Server 2008 SP2 |
Hendelsestekst |
KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som ikke kunne tilordnes til en bruker på en sterk måte (for eksempel via eksplisitt tilordning, tilordning av nøkkelklarering eller sid). Sertifikatet forutså også brukeren det tilordnet til, slik at det ble avvist. Se https://go.microsoft.com/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: FQDN-> for <utsteder Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat> Sertifikat utstedelsestidspunkt: <FILETIME for sertifikat> Opprettelsestidspunkt for konto: <FILETIME for hovedobjekt i AD-> |
SID-en i den nye utvidelsen av brukersertifikatet samsvarer ikke med bruker-SID-en, noe som angir at sertifikatet ble utstedt til en annen bruker.
Hendelseslogg |
System |
Hendelsestype |
Feil |
Hendelseskilde |
Kdcsvc |
Hendelses-ID |
41 49 (for Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) |
Hendelsestekst |
KDC (Key Distribution Center) fant et brukersertifikat som var gyldig, men som inneholdt en annen SID enn brukeren den tilordnet til. Derfor mislyktes forespørselen som involverte sertifikatet. Se https://go.microsoft.cm/fwlink/?linkid=2189925 for å finne ut mer. Bruker: <hovednavn> Bruker-SID: <SID for godkjenningskontohaveren> Sertifikatemne: <emnenavn i sertifikat> Sertifikatutsteder: FQDN-> for <utsteder Sertifikatserienummer: <serienummer> Sertifikatavtrykk: <avtrykk av sertifikat> Sertifikat-SID: <SID funnet i den nye> |
Sertifikattilordninger
Domeneadministratorer kan manuelt tilordne sertifikater til en bruker i Active Directory ved hjelp av altSecurityIdentities-attributtet til brukerobjektet. Det finnes seks støttede verdier for dette attributtet, med tre tilordninger som anses som svake (usikre) og de tre andre anses som sterke. Generelt sett anses tilordningstyper som sterke hvis de er basert på identifikatorer som du ikke kan bruke på nytt. Derfor anses alle tilordningstyper basert på brukernavn og e-postadresser som svake.
Kartlegging |
Eksempel |
Type |
Merknader |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Svak |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Svak |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Svak |
E-postadresse |
X509IssuerSerialNumber |
"X509:<I>IssuerName<SR>1234567890" |
Sterk |
Anbefalt |
X509SKI |
"X509:<SKI>123456789abcdef" |
Sterk |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Sterk |
Hvis kunder ikke kan tilordne sertifikater på nytt med den nye SID-utvidelsen, anbefaler vi at du oppretter en manuell tilordning ved hjelp av en av de sterke tilordningene som er beskrevet ovenfor. Du kan gjøre dette ved å legge til den aktuelle tilordningsstrengen til et altSecurityIdentities-attributt for brukere i Active Directory.
Obs! Enkelte felt, for eksempel utsteder, emne og serienummer, rapporteres i et «fremover»-format. Du må reversere dette formatet når du legger til tilordningsstrengen i attributtet altSecurityIdentities . Hvis du for eksempel vil legge til X509IssuerSerialNumber-tilordningen til en bruker, søker du i feltene Utsteder og Serienummer i sertifikatet du vil tilordne til brukeren. Se eksempelutdataene nedenfor.
-
Utsteder: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
SerialNumber: 2B0000000011AC000000012
Deretter oppdaterer du brukerens altSecurityIdentities-attributt i Active Directory med følgende streng:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"
Hvis du vil oppdatere dette attributtet ved hjelp av Powershell, kan du bruke kommandoen nedenfor. Husk at som standard er det bare domeneadministratorer som har tillatelse til å oppdatere dette attributtet.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}
Vær oppmerksom på at når du reverserer SerialNumber, må du beholde byterekkefølgen. Dette betyr at tilbakeføring av SerialNumber "A1B2C3" skal resultere i strengen "C3B2A1" og ikke "3C2B1A". Hvis du vil ha mer informasjon, kan du se HowTo: Tilordne en bruker til et sertifikat via alle metodene som er tilgjengelige i attributtet altSecurityIdentities.
Tidslinje for Windows-oppdateringer
Viktig Aktiveringsfasen starter med oppdateringene for Windows 11. april 2023, som ignorerer registernøkkelinnstillingen deaktivert modus.
Når du har installert Windows-oppdateringene for 10. mai 2022, vil enhetene være i kompatibilitetsmodus. Hvis et sertifikat kan tilordnes på det sterkeste til en bruker, skjer godkjenningen som forventet. Hvis et sertifikat bare kan tilordnes svakt til en bruker, skjer godkjenningen som forventet. En advarsel blir imidlertid logget med mindre sertifikatet er eldre enn brukeren. Hvis sertifikatet er eldre enn brukeren og registernøkkelen for tilbakesendelse av sertifikat ikke finnes eller området er utenfor kompensasjonen, vil godkjenningen mislykkes, og en feilmelding blir logget. Hvis registernøkkelen for tilbakedatering av sertifikat er konfigurert, loggfører den en advarsel i hendelsesloggen hvis datoene er innenfor tilbakedateringskompensasjonen.
Når du har installert Windows-oppdateringene for 10. mai 2022, kan du se etter eventuelle advarsler som kan vises etter en måned eller mer. Hvis det ikke finnes noen advarsler, anbefaler vi på det sterkeste at du aktiverer full håndhevelsesmodus på alle domenekontrollere ved hjelp av sertifikatbasert godkjenning. Du kan bruke KDC-registernøkkelen til å aktivere full håndhevelsesmodus.
Med mindre de oppdateres til overvåkingsmodus eller håndhevelsesmodus ved hjelp av StrongCertificateBindingEnforcement-registernøkkelen tidligere, flyttes domenekontrollere til Full håndhevelse-modus når windows-sikkerhetsoppdateringen for februar 2025 er installert. Godkjenning vil bli avslått hvis et sertifikat ikke kan tilordnes på det sterkeste. Alternativet for å gå tilbake til kompatibilitetsmodus vil forbli til september 2025. Etter denne datoen vil registernøkkelen StrongCertificateBindingEnforcement ikke lenger støttes
Hvis sertifikatbasert godkjenning er avhengig av en svak tilordning som du ikke kan flytte fra miljøet, kan du plassere domenekontrollere i deaktivert modus ved hjelp av en registernøkkelinnstilling. Microsoft anbefaler ikke dette, og vi fjerner deaktivert modus 11. april 2023.
Når du har installert 13. februar 2024 eller nyere Windows-oppdateringer på Server 2019 og nyere og støttede klienter med den valgfrie funksjonen RSAT installert, vil sertifikattilordningen i Active Directory-brukere & Computers som standard velge sterk tilordning ved hjelp av X509IssuerSerialNumber i stedet for svak tilordning ved hjelp av X509IssuerSubject. Innstillingen kan fremdeles endres etter behov.
Feilsøking
-
Bruk Kerberos-operasjonsloggen på den aktuelle datamaskinen til å finne ut hvilken domenekontroller som ikke kan logge på. Gå til Hendelsesliste > Programmer og tjenestelogger\Microsoft \Windows\Security-Kerberos\Operational.
-
Se etter relevante hendelser i systemhendelsesloggen på domenekontrolleren som kontoen prøver å godkjenne mot.
-
Hvis sertifikatet er eldre enn kontoen, kan du tilordne sertifikatet på nytt eller legge til en sikker altSecurityIdentities-tilordning til kontoen (se sertifikattilordninger).
-
Hvis sertifikatet inneholder en SID-utvidelse, må du kontrollere at SID-en samsvarer med kontoen.
-
Hvis sertifikatet brukes til å godkjenne flere forskjellige kontoer, trenger hver konto en separat tilordning av altSecurityIdentities .
-
Hvis sertifikatet ikke har en sikker tilordning til kontoen, kan du legge til et eller forlate domenet i kompatibilitetsmodus til du kan legge det til.
Et eksempel på TLS-sertifikattilordning bruker et webprogram for IIS-intranett.
-
Når du har installert CVE-2022-26391 - og CVE-2022-26923-beskyttelser , bruker disse scenariene Kerberos Certificate Service For User (S4U)-protokollen for sertifikattilordning og godkjenning som standard.
-
I Kerberos Certificate S4U-protokollen flyter godkjenningsforespørselen fra programserveren til domenekontrolleren, ikke fra klienten til domenekontrolleren. Derfor vil relevante hendelser være på programserveren.
Informasjon om registernøkkel
Når du har installert CVE-2022-26931- og CVE-2022-26923-beskyttelse i Windows-oppdateringene som ble utgitt mellom 10. mai 2022 og 10. september 2025 eller nyere, er følgende registernøkler tilgjengelige.
Denne registernøkkelen støttes ikke etter installasjon av oppdateringer for Windows utgitt på eller etter september 2025.
Viktig
Bruk av denne registernøkkelen er en midlertidig løsning for miljøer som krever det, og må gjøres med forsiktighet. Bruk av denne registernøkkelen betyr følgende for miljøet ditt:
-
Denne registernøkkelen fungerer bare i kompatibilitetsmodus og starter med oppdateringer utgitt 10. mai 2022.
-
Denne registernøkkelen støttes ikke etter installasjon av oppdateringer for Windows utgitt 10. september 2025.
-
Gjenkjenning og validering av SID-utvidelse som brukes av Håndhevelse av sterk sertifikatbinding, er avhengig av verdien for KDC-registernøkkelen UseSubjectAltName . SID-utvidelsen brukes hvis registerverdien ikke finnes, eller hvis verdien er satt til en verdi for 0x1. SID-utvidelsen brukes ikke hvis UseSubjectAltName finnes, og verdien er satt til 0x0.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Verdi |
StrongCertificateBindingEnforcement |
Datatype |
REG_DWORD |
Data |
1 – Kontrollerer om det finnes en sterk sertifikattilordning. Hvis ja, er godkjenning tillatt. Hvis ikke, kontrollerer KDC om sertifikatet har den nye SID-utvidelsen og validerer den. Hvis denne utvidelsen ikke finnes, tillates godkjenning hvis brukerkontoen er forut for sertifikatet. 2 – Kontrollerer om det finnes en sterk sertifikattilordning. Hvis ja, er godkjenning tillatt. Hvis ikke, kontrollerer KDC om sertifikatet har den nye SID-utvidelsen og validerer den. Hvis denne utvidelsen ikke finnes, nektes godkjenning. 0 – Deaktiverer kontroll av sterk sertifikattilordning. Anbefales ikke fordi dette deaktiverer alle sikkerhetsforbedringer. Hvis du angir 0, må du også angi CertificateMappingMethods til 0x1F som beskrevet i Schannel-registernøkkeldelen nedenfor for at datamaskinsertifikatbasert godkjenning skal lykkes.. |
Må du starte på nytt? |
Nei |
Når et serverprogram krever klientgodkjenning, forsøker Schannel automatisk å tilordne sertifikatet som TLS-klienten leverer til en brukerkonto. Du kan godkjenne brukere som logger på med et klientsertifikat, ved å opprette tilordninger som relaterer sertifikatinformasjonen til en Windows-brukerkonto. Når du har opprettet og aktivert en sertifikattilordning hver gang en klient presenterer et klientsertifikat, knytter serverprogrammet automatisk denne brukeren til den aktuelle Windows-brukerkontoen.
Schannel vil prøve å tilordne hver metode for sertifikattilordning du har aktivert til en lykkes. Schannel prøver først å tilordne tilordningene Service-For-User-To-Self (S4U2Self). Sertifikattilordningene Emne/Utsteder, Utsteder og UPN anses nå som svake og har blitt deaktivert som standard. Den bitmaskede summen av de valgte alternativene bestemmer listen over tilgjengelige metoder for sertifikattilordning.
SChannel-registernøkkelstandarden ble 0x1F og er nå 0x18. Hvis du opplever godkjenningsfeil med Schannel-baserte serverprogrammer, foreslår vi at du utfører en test. Legg til eller endre registernøkkelverdien CertificateMappingMethods på domenekontrolleren, og angi den til 0x1F og se om dette løser problemet. Se i systemhendelsesloggene på domenekontrolleren etter eventuelle feil som er oppført i denne artikkelen, for mer informasjon. Husk at endring av SChannel-registernøkkelverdien tilbake til forrige standardverdi (0x1F) går tilbake til å bruke svake metoder for sertifikattilordning.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Verdi |
CertificateMappingMethods |
Datatype |
DWORD |
Data |
0x0001 – tilordning av emne-/utstedersertifikat (svak – deaktivert som standard) 0x0002 – tilordning av utstedersertifikat (svak – deaktivert som standard) 0x0004 – UPN-sertifikattilordning (svak – deaktivert som standard) 0x0008 – S4U2Self-sertifikattilordning (sterk) 0x0010 – S4U2Self eksplisitt sertifikattilordning (sterk) |
Må du starte på nytt? |
Nei |
Hvis du vil ha flere ressurser og støtte, kan du se delen Flere ressurser.
Når du har installert oppdateringer som adresserer CVE-2022-26931 og CVE-2022-26923, kan godkjenning mislykkes i tilfeller der brukersertifikatene er eldre enn brukernes opprettelsestid. Denne registernøkkelen tillater vellykket godkjenning når du bruker svake sertifikattilordninger i miljøet, og sertifikattiden er før brukerens opprettelsestid innenfor et angitt område. Denne registernøkkelen påvirker ikke brukere eller maskiner med sterke sertifikattilordninger, da sertifikattid og brukeropprettingstid ikke kontrolleres med sterke sertifikattilordninger. Denne registernøkkelen har ingen effekt når StrongCertificateBindingEnforcement er satt til 2.
Bruk av denne registernøkkelen er en midlertidig løsning for miljøer som krever det, og må gjøres med forsiktighet. Bruk av denne registernøkkelen betyr følgende for miljøet ditt:
-
Denne registernøkkelen fungerer bare i kompatibilitetsmodus og starter med oppdateringer utgitt 10. mai 2022. Godkjenning tillates i kompensasjonsforskyvningen, men en hendelsesloggadvarsel logges for den svake bindingen.
-
Aktivering av denne registernøkkelen tillater godkjenning av brukeren når sertifikattidspunktet er før brukerens opprettelsestid innenfor et angitt område som en svak tilordning. Svake tilordninger støttes ikke etter installasjon av oppdateringer for Windows utgitt på eller etter september 2025.
Registerundernøkkel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Verdi |
CertificateBackdatingCompensation |
Datatype |
REG_DWORD |
Data |
Verdier for midlertidig løsning i omtrentlige år:
Obs! Hvis du vet levetiden til sertifikatene i miljøet ditt, angir du at denne registernøkkelen er litt lengre enn sertifikatets levetid. Hvis du ikke vet levetiden til sertifikatet for miljøet ditt, angir du denne registernøkkelen til 50 år. Standard er 10 minutter når denne nøkkelen ikke finnes, som samsvarer med Active Directory Certificate Services (ADCS). Maksimumsverdien er 50 år (0x5E0C89C0). Denne nøkkelen angir tidsforskjellen, i sekunder, som KDC (Key Distribution Center) ignorerer mellom et utstedelsestid for godkjenningssertifikat og tidspunktet for oppretting av konto for bruker-/maskinkontoer. Viktig Angi bare denne registernøkkelen hvis miljøet krever det. Bruk av denne registernøkkelen deaktiverer en sikkerhetskontroll. |
Må du starte på nytt? |
Nei |
Virksomhetssertifiseringsinstanser
Enterprise Certificate Authorities (CA) vil begynne å legge til en ny ikke-kritisk utvidelse med Object Identifier (OID) (1.3.6.1.4.1.311.25.2) som standard i alle sertifikater utstedt mot maler på nettet etter at du har installert Windows-oppdateringen 10. mai 2022. Du kan stoppe tillegget av denne utvidelsen ved å angi 0x00080000 bit i msPKI-Enrollment-Flag-verdien for den tilsvarende malen.
Du kjører følgende certutil-kommando for å utelate sertifikater for brukermalen fra å hente den nye utvidelsen.
-
Logg deg på en sertifiseringsinstansserver eller en domenetilkoblet Windows 10-klient med bedriftsadministrator eller tilsvarende legitimasjon.
-
Åpne en ledetekst, og velg Kjør som administrator.
-
Kjør certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Hvis du deaktiverer tillegget av denne utvidelsen, fjernes beskyttelsen fra den nye utvidelsen. Vurder å gjøre dette bare etter ett av følgende:
-
Du bekrefter at de tilsvarende sertifikatene ikke er akseptable for kryptografi for fellesnøkkel for første godkjenning (PKINIT) i Kerberos Protocol-godkjenninger på KDC
-
De tilsvarende sertifikatene har andre sterke sertifikattilordninger konfigurert
Miljøer som har ikke-Microsoft CA-distribusjoner, beskyttes ikke ved hjelp av den nye SID-utvidelsen etter installasjon av Windows-oppdateringen 10. mai 2022. Berørte kunder bør samarbeide med tilsvarende sertifiseringsinstansleverandører for å løse dette, eller bør vurdere å bruke andre sterke sertifikattilordninger som er beskrevet ovenfor.
Hvis du vil ha flere ressurser og støtte, kan du se delen Flere ressurser.
Vanlige spørsmål
Nei, fornyelse er ikke nødvendig. Sertifiseringsinstansen sendes i kompatibilitetsmodus. Hvis du vil ha en sterk tilordning ved hjelp av ObjectSID-utvidelsen, trenger du et nytt sertifikat.
I Windows-oppdateringen 11. februar 2025 flyttes enheter som ikke allerede er i Håndhevelse (StrongCertificateBindingEnforcement-registerverdien til 2), til Håndhevelse. Hvis godkjenning nektes, ser du hendelses-ID 39 (eller hendelses-ID 41 for Windows Server 2008 R2 SP1 og Windows Server 2008 SP2). Du kan angi registernøkkelverdien tilbake til 1 (Kompatibilitetsmodus) på dette stadiet.
I Windows-oppdateringen 10. september 2025 støttes ikke lenger registerverdien StrongCertificateBindingEnforcement .
Flere ressurser
Hvis du vil ha mer informasjon om tilordning av TLS-klientsertifikat, kan du se følgende artikler: