Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Datum wijzigen

Beschrijving

10/24/2024

Bijgewerkte tekst voor duidelijkheid in stap 2 van de sectie Actie ondernemen, in de beschrijving van de volledige afdwingingsmodus van de sectie 'Tijdlijn voor Windows-updates', en de datumgegevens van de onderwerpen Key Distribution Center (KDC) Registry Key (KDC) en Certificate Backdating Registry Key in de sectie Registersleutelinformatie herzien.

9/10/2024

De beschrijving van de modus Volledig afdwingen in de sectie 'Tijdsinstellingen voor Windows-updates' is gewijzigd om nieuwe datums weer te geven. Op 11 februari 2025 worden apparaten verplaatst naar de afdwingingsmodus, maar de ondersteuning wordt overgelaten om terug te gaan naar de compatibiliteitsmodus. Volledige ondersteuning voor registersleutels eindigt nu op 10 september 2025.

7/5/2024

Informatie over de SID-extensie toegevoegd aan de KDC-registersleutel (Key Distribution Center) in de sectie Registersleutelgegevens.

10-10-2023

Informatie toegevoegd over standaardwijzigingen voor sterke toewijzingen onder Tijdlijn voor Windows Updates

6/30/2023

Datum van volledige afdwingingsmodus gewijzigd van 14 november 2023 tot 11 februari 2025 (deze datums werden eerder vermeld als 19 mei 2023 tot 14 november 2023).

1/26/2023

Verwijdering van uitgeschakelde modus gewijzigd van 14 februari 2023 in 11 april 2023

Samenvatting

CVE-2022-34691, CVE-2022-26931 en CVE-2022-26923 adres een beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden dat kan optreden wanneer het Kerberos Key Distribution Center (KDC) een verificatieaanvraag op basis van certificaten verwerkt. Vóór de beveiligingsupdate van 10 mei 2022 zou verificatie op basis van certificaten geen rekening houden met een dollarteken ($) aan het einde van een computernaam. Hierdoor konden gerelateerde certificaten op verschillende manieren worden geëmuleerd (vervalst). Daarnaast hebben conflicten tussen USER Principal Names (UPN) en sAMAccountName andere emulatieproblemen (spoofing) geïntroduceerd die we ook met deze beveiligingsupdate aanpakken. 

Actie ondernemen

Als u uw omgeving wilt beveiligen, voert u de volgende stappen uit voor verificatie op basis van certificaten:

  1. Werk alle servers met Active Directory Certificate Services en Windows-domeincontrollers die verificatie op basis van certificaten onderhouden bij met de update van 10 mei 2022 (zie Compatibiliteitsmodus). De update van 10 mei 2022 bevat controlegebeurtenissen waarmee certificaten worden geïdentificeerd die niet compatibel zijn met de modus Volledig afdwingen.

  2. Als er één maand na de installatie van de update geen auditgebeurtenislogboeken worden gemaakt op domeincontrollers, gaat u verder met het inschakelen van de modus Volledig afdwingen op alle domeincontrollers. Als de registersleutel StrongCertificateBindingEnforcement niet is geconfigureerd, worden domeincontrollers uiterlijk in februari 2025 naar de modus Volledig afdwingen verplaatst. Anders blijft de instelling compatibiliteitsmodus van registersleutels behouden. Als in de modus Volledig afdwingen de sterke (veilige) toewijzingscriteria (zie Certificaattoewijzingen) mislukt, wordt de verificatie geweigerd. De optie om terug te gaan naar de compatibiliteitsmodus blijft echter tot september 2025 bestaan. ​​​​​​​

Controlegebeurtenissen

De Windows-update van 10 mei 2022 voegt de volgende gebeurtenislogboeken toe.

Er zijn geen sterke certificaattoewijzingen gevonden en het certificaat had niet de nieuwe SID-extensie (Security Identifier) die de KDC kon valideren.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing als de KDC zich in de compatibiliteitsmodus bevindt

Fout als de KDC zich in de afdwingingsmodus bevindt

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

39

41 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)

Gebeurtenistekst

In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar niet op een sterke manier aan een gebruiker kon worden toegewezen (bijvoorbeeld via expliciete toewijzing, toewijzing van sleutelvertrouwen of een SID). Dergelijke certificaten moeten worden vervangen of rechtstreeks aan de gebruiker worden toegewezen via expliciete toewijzing. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie.

Gebruiker: <principal name>

Certificaatonderwerp: <onderwerpnaam in Certificaat>

Certificaatverlener: <FQDN (Fully Qualified Domain Name) >

Serienummer van certificaat: <serienummer van certificaat>

Certificaatvingerafdruk: <vingerafdruk van certificaat>

Het certificaat is uitgegeven aan de gebruiker voordat de gebruiker in Active Directory bestond en er geen sterke toewijzing kon worden gevonden. Deze gebeurtenis wordt alleen geregistreerd wanneer de KDC zich in de compatibiliteitsmodus bevindt.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Fout

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

40

48 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2

Gebeurtenistekst

In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar niet op een sterke manier aan een gebruiker kon worden toegewezen (bijvoorbeeld via expliciete toewijzing, toewijzing van sleutelvertrouwen of een SID). Het certificaat is ook vóór de gebruiker waaraan het is toegewezen, dus is het geweigerd. Zie https://go.microsoft.com/fwlink/?linkid=2189925 voor meer informatie.

Gebruiker: <principal name>

Certificaatonderwerp: <onderwerpnaam in Certificaat>

Certificaatverlener: <FQDN->

Serienummer van certificaat: <serienummer van certificaat>

Certificaatvingerafdruk: <vingerafdruk van certificaat>

Certificaatuitgiftetijd: <FILETIME van certificaat>

Aanmaaktijd van account: <FILETIME van het principal-object in AD>

De SID in de nieuwe extensie van het gebruikerscertificaat komt niet overeen met de GEBRUIKERS-SID, wat betekent dat het certificaat is uitgegeven aan een andere gebruiker.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Fout

Bron van gebeurtenis

Kdcsvc

Gebeurtenis-id

41

49 (voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2)

Gebeurtenistekst

In het Key Distribution Center (KDC) is een gebruikerscertificaat aangetroffen dat geldig was, maar een andere SID bevatte dan de gebruiker waaraan het is toegewezen. Als gevolg hiervan is de aanvraag met betrekking tot het certificaat mislukt. Zie https://go.microsoft.cm/fwlink/?linkid=2189925 voor meer informatie.

Gebruiker: <principal name>

Gebruikers-SID: <SID van de verifiërende principal>

Certificaatonderwerp: <onderwerpnaam in Certificaat>

Certificaatverlener: <FQDN->

Serienummer van certificaat: <serienummer van certificaat>

Certificaatvingerafdruk: <vingerafdruk van certificaat>

Certificaat-SID: <SID gevonden in de nieuwe> voor certificaatextensie

Certificaattoewijzingen

Domeinbeheerders kunnen certificaten handmatig toewijzen aan een gebruiker in Active Directory met behulp van het kenmerk altSecurityId-entiteiten van het gebruikersobject. Er zijn zes ondersteunde waarden voor dit kenmerk, met drie toewijzingen die als zwak (onveilig) worden beschouwd en de andere drie als sterk worden beschouwd. Over het algemeen worden toewijzingstypen als sterk beschouwd als ze zijn gebaseerd op id's die u niet opnieuw kunt gebruiken. Daarom worden alle toewijzingstypen op basis van gebruikersnamen en e-mailadressen als zwak beschouwd.

Toewijzing

Voorbeeld

Type

Opmerkingen

X509IssuerSubject

"X509:<ik>IssuerName<S>SubjectName"

Zwak

X509SubjectOnly

"X509:<S>SubjectName"

Zwak

X509RFC822

"X509:<RFC822>user@contoso.com"

Zwak

E-mailadres

X509IssuerSerialNumber

"X509:<Ik>IssuerName<SR>1234567890"

Sterk

Aanbevolen

X509SKI

"X509:<SKI>123456789abcdef"

Sterk

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Sterk

Als klanten geen certificaten opnieuw kunnen uitgeven met de nieuwe SID-extensie, raden we u aan een handmatige toewijzing te maken met behulp van een van de hierboven beschreven sterke toewijzingen. U kunt dit doen door de juiste toewijzingstekenreeks toe te voegen aan het kenmerk altSecurityId-entiteiten van gebruikers in Active Directory.

OpmerkingBepaalde velden, zoals Verlener, Onderwerp en Serienummer, worden gerapporteerd in een 'doorstuur'-indeling. U moet deze indeling omkeren wanneer u de toewijzingstekenreeks toevoegt aan het kenmerk altSecurityId-entiteiten . Als u bijvoorbeeld de toewijzing X509IssuerSerialNumber wilt toevoegen aan een gebruiker, zoekt u in de velden 'Issuer' en 'Serial Number' van het certificaat dat u aan de gebruiker wilt toewijzen. Zie de voorbeelduitvoer hieronder.

  • Verlener: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Serienummer: 2B0000000011AC0000000012

Werk vervolgens het kenmerk altSecurityId-entiteiten van de gebruiker in Active Directory bij met de volgende tekenreeks:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"

Als u dit kenmerk wilt bijwerken met powershell, kunt u de onderstaande opdracht gebruiken. Houd er rekening mee dat standaard alleen domeinbeheerders gemachtigd zijn om dit kenmerk bij te werken.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}

Houd er rekening mee dat wanneer u het serialnumber omkeert, u de bytevolgorde moet behouden. Dit betekent dat het omkeren van het serienummer "A1B2C3" moet resulteren in de tekenreeks "C3B2A1" en niet "3C2B1A". Zie HowTo: Een gebruiker toewijzen aan een certificaat via alle methoden die beschikbaar zijn in het kenmerk altSecurityIdentities voor meer informatie.

Tijdlijn voor Windows-updates

Belangrijk De activeringsfase begint met de updates van 11 april 2023 voor Windows, waarbij de registersleutelinstelling uitgeschakelde modus wordt genegeerd. 

Zodra u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, worden apparaten in de compatibiliteitsmodus geplaatst. Als een certificaat sterk kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Als een certificaat slechts zwak kan worden toegewezen aan een gebruiker, vindt verificatie plaats zoals verwacht. Er wordt echter een waarschuwingsbericht geregistreerd, tenzij het certificaat ouder is dan de gebruiker. Als het certificaat ouder is dan de gebruiker en de registersleutel Certificaat backdating niet aanwezig is of als het bereik buiten de backdatingcompensatie valt, mislukt de verificatie en wordt er een foutbericht geregistreerd.  Als de registersleutel Certificaat backdating is geconfigureerd, wordt er een waarschuwingsbericht in het gebeurtenislogboek geregistreerd als de datums binnen de compensatie voor backdating vallen.

Nadat u de Windows-updates van 10 mei 2022 hebt geïnstalleerd, watch voor een waarschuwingsbericht dat na een maand of langer wordt weergegeven. Als er geen waarschuwingsberichten zijn, raden we u ten zeerste aan de modus Volledig afdwingen in te schakelen op alle domeincontrollers met behulp van verificatie op basis van certificaten. U kunt de KDC-registersleutel gebruiken om de modus Volledig afdwingen in te schakelen.

Tenzij deze eerder is bijgewerkt naar de controlemodus of de afdwingingsmodus met behulp van de registersleutel StrongCertificateBindingEnforcement , worden domeincontrollers verplaatst naar de modus Volledig afdwingen wanneer de Windows-beveiligingsupdate van februari 2025 is geïnstalleerd. Verificatie wordt geweigerd als een certificaat niet sterk kan worden toegewezen. De optie om terug te gaan naar de compatibiliteitsmodus blijft tot september 2025 bestaan. Na deze datum wordt de registersleutel StrongCertificateBindingEnforcement niet meer ondersteund

Als verificatie op basis van certificaten afhankelijk is van een zwakke toewijzing die u niet vanuit de omgeving kunt verplaatsen, kunt u domeincontrollers in de uitgeschakelde modus plaatsen met behulp van een registersleutelinstelling. Microsoft raadt dit niet aan en we verwijderen de uitgeschakelde modus op 11 april 2023.

Zodra u de Windows-updates van 13 februari 2024 of hoger hebt geïnstalleerd op Server 2019 en hoger en ondersteunde clients waarop de optionele RSAT-functie is geïnstalleerd, wordt de certificaattoewijzing in Active Directory-gebruikers & computers standaard ingesteld op het selecteren van sterke toewijzing met behulp van de X509IssuerSerialNumber in plaats van zwakke toewijzing met behulp van het X509IssuerSubject. De instelling kan nog steeds naar wens worden gewijzigd.

Problemen oplossen

  • Gebruik het operationele kerberos-logboek op de relevante computer om te bepalen op welke domeincontroller de aanmelding mislukt. Ga naar Logboeken > Application and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.

  • Zoek naar relevante gebeurtenissen in het systeemgebeurtenislogboek op de domeincontroller waarvoor het account probeert te verifiëren.

  • Als het certificaat ouder is dan het account, geeft u het certificaat opnieuw uit of voegt u een beveiligde altSecurityId-entiteitstoewijzing toe aan het account (zie Certificaattoewijzingen).

  • Als het certificaat een SID-extensie bevat, controleert u of de SID overeenkomt met het account.

  • Als het certificaat wordt gebruikt om verschillende accounts te verifiëren, heeft elk account een afzonderlijke toewijzing van altSecurityId-entiteiten nodig.

  • Als het certificaat geen beveiligde toewijzing aan het account heeft, voegt u er een toe of laat u het domein in de compatibiliteitsmodus staan totdat er een kan worden toegevoegd.

Een voorbeeld van TLS-certificaattoewijzing is het gebruik van een IIS-intranetwebtoepassing.

  • Na de installatie van CVE-2022-26391 - en CVE-2022-26923-beveiligingen , wordt in deze scenario's standaard het S4U-protocol (Kerberos Certificate Service for User) gebruikt voor certificaattoewijzing en verificatie.

  • In het Kerberos Certificate S4U-protocol loopt de verificatieaanvraag van de toepassingsserver naar de domeincontroller, niet van de client naar de domeincontroller. Daarom worden relevante gebeurtenissen op de toepassingsserver weergegeven.

Registersleutelgegevens

Nadat u CVE-2022-26931- en CVE-2022-26923-beveiligingen hebt geïnstalleerd in de Windows-updates die zijn uitgebracht tussen 10 mei 2022 en 10 september 2025, zijn de volgende registersleutels beschikbaar.

Deze registersleutel wordt niet ondersteund na de installatie van updates voor Windows die zijn uitgebracht op of na september 2025.

Belangrijk

Het gebruik van deze registersleutel is een tijdelijke tijdelijke oplossing voor omgevingen waarvoor dit is vereist en moet voorzichtig worden uitgevoerd. Het gebruik van deze registersleutel betekent het volgende voor uw omgeving:

  • Deze registersleutel werkt alleen in de compatibiliteitsmodus vanaf updates die zijn uitgebracht op 10 mei 2022.

  • Deze registersleutel wordt niet ondersteund na de installatie van updates voor Windows die zijn uitgebracht op 10 september 2025.

  • De detectie en validatie van de SID-extensie die wordt gebruikt door het afdwingen van sterke certificaatbinding is afhankelijk van de waarde UseSubjectAltName van de KDC-registersleutel. De SID-extensie wordt gebruikt als de registerwaarde niet bestaat of als de waarde is ingesteld op een waarde van 0x1. De SID-extensie wordt niet gebruikt als UseSubjectAltName bestaat en de waarde is ingesteld op 0x0.

Registersubsleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

StrongCertificateBindingEnforcement

Gegevenstype

REG_DWORD

Gegevens

1: controleert of er een sterke certificaattoewijzing is. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze extensie niet aanwezig is, is verificatie toegestaan als het gebruikersaccount vóór het certificaat dateert.

2: controleert of er een sterke certificaattoewijzing is. Zo ja, dan is verificatie toegestaan. Anders controleert de KDC of het certificaat de nieuwe SID-extensie heeft en valideert deze. Als deze extensie niet aanwezig is, wordt verificatie geweigerd.

0: hiermee schakelt u de controle van sterke certificaattoewijzing uit. Niet aanbevolen omdat hiermee alle beveiligingsverbeteringen worden uitgeschakeld.

Als u dit instelt op 0, moet u ook CertificateMappingMethods instellen op 0x1F zoals beschreven in de sectie Schannel-registersleutel hieronder om verificatie op basis van een computercertificaat te laten slagen..

Opnieuw opstarten vereist?

Nee

Wanneer een servertoepassing clientverificatie vereist, probeert Schannel automatisch het certificaat toe te wijzen dat de TLS-client aan een gebruikersaccount levert. U kunt gebruikers die zich aanmelden met een clientcertificaat verifiëren door toewijzingen te maken die de certificaatgegevens aan een Windows-gebruikersaccount koppelen. Nadat u een certificaattoewijzing hebt gemaakt en ingeschakeld, koppelt uw servertoepassing die gebruiker automatisch aan het juiste Windows-gebruikersaccount wanneer een client een clientcertificaat presenteert.

Schannel probeert elke methode voor certificaattoewijzing toe te wijzen die u hebt ingeschakeld totdat een methode slaagt. Schannel probeert eerst de toewijzingen service-for-user-to-self (S4U2Self) toe te wijzen. De toewijzingen onderwerp/verlener, verlener en UPN-certificaat worden nu als zwak beschouwd en zijn standaard uitgeschakeld. De bitmasked som van de geselecteerde opties bepaalt de lijst met beschikbare certificaattoewijzingsmethoden.

De standaardwaarde van de SChannel-registersleutel is 0x1F en is nu 0x18. Als u verificatiefouten ondervindt met op Schannel gebaseerde servertoepassingen, raden we u aan een test uit te voeren. Voeg de registersleutelwaarde CertificateMappingMethods toe of wijzig deze op de domeincontroller en stel deze in op 0x1F en kijk of het probleem hiermee wordt opgelost. Kijk in de systeem gebeurtenislogboeken op de domeincontroller op eventuele fouten die in dit artikel worden vermeld voor meer informatie. Houd er rekening mee dat als u de waarde van de registersleutel SChannel weer wijzigt in de vorige standaardwaarde (0x1F), wordt hersteld naar het gebruik van zwakke methoden voor certificaattoewijzing.

Registersubsleutel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Value

CertificateMappingMethods

Gegevenstype

DWORD

Gegevens

0x0001 - Certificaattoewijzing onderwerp/uitgever (zwak – standaard uitgeschakeld)

0x0002 - Certificaattoewijzing van uitgever (zwak– standaard uitgeschakeld)

0x0004 - UPN-certificaattoewijzing (zwak– standaard uitgeschakeld)

0x0008 - S4U2Self-certificaattoewijzing (sterk)

0x0010 - S4U2Self expliciete certificaattoewijzing (sterk)

Opnieuw opstarten vereist?

Nee

Zie de sectie 'Aanvullende resources' voor aanvullende resources en ondersteuning.

Nadat u updates hebt geïnstalleerd die betrekking hebben op CVE-2022-26931 en CVE-2022-26923, kan verificatie mislukken in gevallen waarin de gebruikerscertificaten ouder zijn dan de aanmaaktijd van de gebruiker. Deze registersleutel maakt een geslaagde verificatie mogelijk wanneer u zwakke certificaattoewijzingen in uw omgeving gebruikt en de tijd voor het maken van het certificaat binnen een ingesteld bereik valt voordat de gebruiker het maakt. Deze registersleutel is niet van invloed op gebruikers of machines met sterke certificaattoewijzingen, omdat de tijd van het certificaat en de aanmaaktijd van de gebruiker niet worden gecontroleerd met sterke certificaattoewijzingen. Deze registersleutel heeft geen effect wanneer StrongCertificateBindingEnforcement is ingesteld op 2.

Het gebruik van deze registersleutel is een tijdelijke tijdelijke oplossing voor omgevingen waarvoor dit is vereist en moet voorzichtig worden uitgevoerd. Het gebruik van deze registersleutel betekent het volgende voor uw omgeving:

  • Deze registersleutel werkt alleen in de compatibiliteitsmodus vanaf updates die zijn uitgebracht op 10 mei 2022. Verificatie is toegestaan binnen de compensatiecompensatie voor backdating, maar er wordt een waarschuwing voor het gebeurtenislogboek vastgelegd voor de zwakke binding.

  • Als u deze registersleutel inschakelt, wordt de verificatie van de gebruiker mogelijk wanneer de certificaattijd zich vóór de aanmaaktijd van de gebruiker bevindt binnen een ingesteld bereik als een zwakke toewijzing. Zwakke toewijzingen worden niet ondersteund na de installatie van updates voor Windows die zijn uitgebracht op of na september 2025.

Registersubsleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value

CertificateBackdatingCompensation

Gegevenstype

REG_DWORD

Gegevens

Waarden voor tijdelijke oplossing in geschatte jaren:

  • 50 jaar: 0x5E0C89C0

  • 25 jaar: 0x2EFE0780

  • 10 jaar: 0x12CC0300

  • 5 jaar: 0x9660180

  • 3 jaar: 0x5A39A80

  • 1 jaar: 0x1E13380

Opmerking Als u de levensduur van de certificaten in uw omgeving kent, stelt u deze registersleutel in op iets langer dan de levensduur van het certificaat.  Als u de levensduur van het certificaat voor uw omgeving niet weet, stelt u deze registersleutel in op 50 jaar. De standaardwaarde is 10 minuten wanneer deze sleutel niet aanwezig is, wat overeenkomt met Active Directory Certificate Services (ADCS). De maximumwaarde is 50 jaar (0x5E0C89C0).

Met deze sleutel stelt u het tijdsverschil in seconden in dat het Key Distribution Center (KDC) negeert tussen de uitgiftetijd van een verificatiecertificaat en de aanmaaktijd van het account voor gebruikers-/machineaccounts.

Belangrijk Stel deze registersleutel alleen in als uw omgeving dit vereist. Als u deze registersleutel gebruikt, wordt een beveiligingscontrole uitgeschakeld.

Opnieuw opstarten vereist?

Nee

Certificeringsinstanties voor ondernemingen

Ondernemingscertificeringsinstanties (CA) beginnen met het toevoegen van een nieuwe niet-kritieke extensie met object-id (OID) (1.3.6.1.4.1.311.25.2) standaard in alle certificaten die zijn uitgegeven op basis van onlinesjablonen nadat u de Windows-update van 10 mei 2022 hebt geïnstalleerd. U kunt de toevoeging van deze extensie stoppen door de 0x00080000 bit in te stellen in de waarde msPKI-Enrollment-Flag van de bijbehorende sjabloon.

U voert de volgende certutil-opdracht uit om certificaten van de gebruikerssjabloon uit te sluiten van het ophalen van de nieuwe extensie.

  1. Meld u aan bij een certificeringsinstantieserver of een domein-gekoppelde Windows 10-client met ondernemingsbeheerder of de equivalente referenties.

  2. Open een opdrachtprompt en kies Als administrator uitvoeren.

  3. Voer certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000 uit. 

Als u de toevoeging van deze extensie uitschakelt, wordt de beveiliging van de nieuwe extensie verwijderd. U kunt dit pas doen na een van de volgende handelingen:

  1. U bevestigt dat de bijbehorende certificaten niet acceptabel zijn voor Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos Protocol-verificaties bij KDC

  2. Voor de bijbehorende certificaten zijn andere sterke certificaattoewijzingen geconfigureerd

Omgevingen met niet-Microsoft CA-implementaties worden niet beveiligd met de nieuwe SID-extensie na de installatie van de Windows-update van 10 mei 2022. Betrokken klanten moeten samenwerken met de bijbehorende CA-leveranciers om dit aan te pakken of moeten overwegen om andere sterke certificaattoewijzingen te gebruiken die hierboven worden beschreven.

Zie de sectie 'Aanvullende resources' voor aanvullende resources en ondersteuning.

Veelgestelde vragen

Nee, verlenging is niet vereist. De CA wordt verzonden in de compatibiliteitsmodus. Als u een sterke toewijzing wilt met behulp van de ObjectSID-extensie, hebt u een nieuw certificaat nodig.

In de Windows-update van 11 februari 2025 worden apparaten die nog niet zijn afgedwongen (registerwaarde StrongCertificateBindingEnforcement is ingesteld op 2), verplaatst naar Afdwingen. Als verificatie wordt geweigerd, ziet u gebeurtenis-id 39 (of gebeurtenis-id 41 voor Windows Server 2008 R2 SP1 en Windows Server 2008 SP2). U hebt in deze fase de optie om de waarde van de registersleutel weer in te stellen op 1 (compatibiliteitsmodus).

In de Windows-update van 10 september 2025 wordt de registerwaarde StrongCertificateBindingEnforcement niet meer ondersteund. ​​​​​​​

Aanvullende bronnen

Zie de volgende artikelen voor meer informatie over de toewijzing van TLS-clientcertificaten:

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.