Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Zmień datę

Opis

10/24/2024

Zaktualizowano tekst w celu zwiększenia przejrzystości w kroku 2 sekcji "Wykonywanie akcji" w opisie "Tryb pełnego wymuszania" sekcji "Oś czasu aktualizacji systemu Windows" i poprawiono informacje o dacie dotyczące klucza rejestru "Klucz rejestru Centrum dystrybucji kluczy" i "Klucz rejestru backdating certyfikatu" w sekcji "Informacje o kluczach rejestru".

9/10/2024

Zmieniono opis trybu pełnego wymuszania w sekcji "Chronometraż aktualizacji systemu Windows", aby odzwierciedlał nowe daty. 11 lutego 2025 r. przeniesie urządzenia do trybu wymuszania, ale pozostawi obsługę, aby wrócić do trybu zgodności. Pełna obsługa kluczy rejestru zakończy się 10 września 2025 r.

7/5/2024

Dodano informacje o rozszerzeniu SID klucza rejestru Centrum dystrybucji kluczy (KDC) w sekcji "Informacje o kluczach rejestru".

10.10.2023

Dodano informacje o silnych zmianach domyślnych mapowania w obszarze "Oś czasu systemu Windows Aktualizacje"

6/30/2023

Zmieniono datę trybu pełnego wymuszania z 14 listopada 2023 r. na 11 lutego 2025 r. (daty te były wcześniej wymienione jako 19 maja 2023 r. do 14 listopada 2023 r.).

1/26/2023

Zmieniono tryb wyłączony z 14 lutego 2023 r. na 11 kwietnia 2023 r.

Krótki opis

CVE-2022-34691,CVE-2022-26931 i CVE-2022-26923 usuwają lukę w zabezpieczeniach, która może wystąpić, gdy Centrum dystrybucji kluczy Kerberos (KDC) obsługuje żądanie uwierzytelniania oparte na certyfikacie. Przed aktualizacją zabezpieczeń z 10 maja 2022 r. uwierzytelnianie oparte na certyfikacie nie będzie oznaczać znaku dolara ($) na końcu nazwy komputera. Dzięki temu powiązane certyfikaty mogły być emulowane (sfałszowane) na różne sposoby. Ponadto konflikty między nazwami głównymi użytkowników (UPN) i sAMAccountName wprowadziły inne luki w zabezpieczeniach emulacji (spoofingu), które również usuwamy w tej aktualizacji zabezpieczeń. 

Aktywne działanie

Aby chronić środowisko, wykonaj następujące czynności związane z uwierzytelnianiem opartym na certyfikatach:

  1. Zaktualizuj wszystkie serwery, na których są uruchomione usługi Active Directory Certificate Services i kontrolery domeny systemu Windows, które obsługują uwierzytelnianie oparte na certyfikatach za pomocą aktualizacji z 10 maja 2022 r. (zobacz Tryb zgodności). Aktualizacja z 10 maja 2022 r. będzie udostępniać zdarzenia inspekcji identyfikujące certyfikaty, które nie są zgodne z trybem pełnego wymuszania.

  2. Jeśli po zainstalowaniu aktualizacji na kontrolerach domeny nie są tworzone żadne dzienniki zdarzeń inspekcji przez miesiąc, kontynuuj włączanie trybu pełnego wymuszania na wszystkich kontrolerach domeny. Jeśli do lutego 2025 r. klucz rejestru StrongCertificateBindingEnforcement nie zostanie skonfigurowany, kontrolery domeny zostaną przeniesione do trybu pełnego wymuszenia. W przeciwnym razie ustawienie trybu zgodności kluczy rejestru będzie nadal obsługiwane. W trybie pełnego wymuszania, jeśli certyfikat nie spełnia silnych (bezpiecznych) kryteriów mapowania (zobacz Mapowania certyfikatów), uwierzytelnianie zostanie odrzucone. Jednak opcja powrotu do trybu zgodności pozostanie do września 2025 r. ​​​​​​​

Inspekcja zdarzeń

Aktualizacja systemu Windows z 10 maja 2022 r. dodaje następujące dzienniki zdarzeń.

Nie można było odnaleźć silnych mapowań certyfikatów, a certyfikat nie miał nowego rozszerzenia identyfikatora zabezpieczeń (SID), które mogłoby zostać zweryfikowane przez centrum danych biznesowych.

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie, jeśli usługa łączności danych biznesowych jest w trybie zgodności

Błąd, jeśli usługa KDC jest w trybie wymuszania

Źródło zdarzenia

Kdcsvc

Identyfikator zdarzenia

39

41 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2)

Tekst zdarzenia

W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Takie certyfikaty powinny zostać zastąpione lub zamapowane bezpośrednio do użytkownika za pomocą jawnego mapowania. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej.

Użytkownik:> <głównej nazwy użytkownika

Temat certyfikatu: <nazwę tematu w> certyfikatu

Wystawca certyfikatu: <w pełni kwalifikowana nazwa domeny (FQDN) >

Numer seryjny certyfikatu: <numer seryjny certyfikatu>

Certificate Thumbprint: <Thumbprint of Certificate>

Certyfikat został wystawiony użytkownikowi, zanim użytkownik istniał w usłudze Active Directory i nie można było odnaleźć żadnego silnego mapowania. To zdarzenie jest rejestrowane tylko wtedy, gdy funkcja KDC jest w trybie zgodności.

Dziennik zdarzeń

System

Typ zdarzenia

Błąd

Źródło zdarzenia

Kdcsvc

Identyfikator zdarzenia

40

48 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2

Tekst zdarzenia

W Centrum dystrybucji kluczy (KDC) wystąpił certyfikat użytkownika, który był prawidłowy, ale nie mógł zostać zamapowany na użytkownika w sposób silny (na przykład za pośrednictwem jawnego mapowania, mapowania kluczy zaufania lub identyfikatora SID). Certyfikat również wstępnie wstępnie użytkownik zamapowany na, więc został odrzucony. Zobacz https://go.microsoft.com/fwlink/?linkid=2189925, aby dowiedzieć się więcej.

Użytkownik:> <głównej nazwy użytkownika

Temat certyfikatu: <nazwę tematu w> certyfikatu

Emitent certyfikatu:> FQDN emitenta <

Numer seryjny certyfikatu: <numer seryjny certyfikatu>

Certificate Thumbprint: <Thumbprint of Certificate>

Czas wydawania certyfikatu: <FILETIME certyfikatu>

Czas tworzenia konta: <FILETIME obiektu głównego w> AD

Identyfikator SID zawarty w nowym rozszerzeniu certyfikatu użytkownika nie odpowiada identyfikatorowi SID użytkowników, co oznacza, że certyfikat został wystawiony innemu użytkownikowi.

Dziennik zdarzeń

System

Typ zdarzenia

Błąd

Źródło zdarzenia

Kdcsvc

Identyfikator zdarzenia

41

49 (w systemach Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2)

Tekst zdarzenia

Centrum dystrybucji kluczy napotkało certyfikat użytkownika, który był prawidłowy, ale zawierał inny identyfikator SID niż użytkownik, do którego został zamapowany. W wyniku tego żądanie dotyczące certyfikatu nie powiodło się. Aby dowiedzieć się więcej, zobacz https://go.microsoft.cm/fwlink/?linkid=2189925.

Użytkownik:> <głównej nazwy użytkownika

User SID: <SID uwierzytelniającego> głównej

Temat certyfikatu: <nazwę tematu w> certyfikatu

Emitent certyfikatu:> FQDN emitenta <

Numer seryjny certyfikatu: <numer seryjny certyfikatu>

Certificate Thumbprint: <Thumbprint of Certificate>

Certyfikat SID: <SID znaleziona w nowym> rozszerzenia certyfikatu

Mapowania certyfikatów

Administratorzy domeny mogą ręcznie mapować certyfikaty na użytkownika w usłudze Active Directory przy użyciu atrybutu altSecurityIdentities obiektu użytkowników. Dla tego atrybutu jest obsługiwanych sześć wartości z trzema mapowaniami uważanymi za słabe (niezabezpieczone), a pozostałe trzy za silne. Ogólnie rzecz biorąc, typy map są uznawane za silne, jeśli są oparte na identyfikatorach, których nie można ponownie użyć. Dlatego wszystkie typy map na podstawie nazw użytkowników i adresów e-mail są uznawane za słabe.

Mapowanie

Przykład

Type (Typ)

Uwagi

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Słaby

X509SubjectOnly

"X509:<S>SubjectName"

Słaby

X509RFC822

"X509:<RFC822>user@contoso.com"

Słaby

Adres e-mail

X509IssuerSerialNumber

"X509:<I>Nazwa Emitenta<SR>1234567890"

Silny

Zalecane

X509SKI

"X509:<SKI>123456789abcdef"

Silny

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Silny

Jeśli klienci nie mogą ponownie tworzyć certyfikatów z nowym rozszerzeniem SID, zalecamy utworzenie ręcznego mapowania przy użyciu jednego z silnych mapowań opisanych powyżej. Możesz to zrobić, dodając odpowiedni ciąg mapowania do atrybutu altSecurityIdentities w usłudze Active Directory.

Uwaga Niektóre pola, takie jak Emitent, Temat i Numer seryjny, są zgłaszane w formacie "do przodu". Należy odwrócić ten format, dodając ciąg mapowania do atrybutu altSecurityIdentities . Aby na przykład dodać mapowanie X509IssuerSerialNumber do użytkownika, przeszukaj pola "Wystawcy" i "Numer seryjny" certyfikatu, który chcesz zamapować na użytkownika. Zobacz przykładowe dane wyjściowe poniżej.

  • Wystawca: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • Numer seryjny: 2B0000000011AC000000012

Następnie zaktualizuj atrybut altSecurityIdentities użytkownika w usłudze Active Directory za pomocą następującego ciągu:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Aby zaktualizować ten atrybut przy użyciu programu Powershell, możesz użyć poniższego polecenia. Pamiętaj, że domyślnie tylko administratorzy domeny mają uprawnienia do aktualizowania tego atrybutu.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Zwróć uwagę, że po odwróceniu numeru seryjnego należy zachować kolejność bajtów. Oznacza to, że odwrócenie numeru seryjnego "A1B2C3" powinno spowodować ciąg "C3B2A1", a nie "3C2B1A". Aby uzyskać więcej informacji, zobacz HowTo: Mapowanie użytkownika na certyfikat za pomocą wszystkich metod dostępnych w atrybucie altSecurityIdentities.

Oś czasu dla aktualizacji systemu Windows

Ważne Faza włączania rozpoczyna się od aktualizacji systemu Windows z 11 kwietnia 2023 r., które ignorują ustawienie klucza rejestru Tryb wyłączony. 

Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. urządzenia będą w trybie zgodności. Jeśli certyfikat można silnie zamapować na użytkownika, uwierzytelnianie będzie wykonywane zgodnie z oczekiwaniami. Jeśli certyfikat może być słabo zamapowany tylko na użytkownika, uwierzytelnianie odbywa się zgodnie z oczekiwaniami. Jednak komunikat ostrzegawczy zostanie zarejestrowany, chyba że certyfikat jest starszy od użytkownika. Jeśli certyfikat jest starszy niż użytkownik, a klucz rejestru Backdating certyfikatu nie jest obecny lub zakres znajduje się poza rekompensatą, uwierzytelnianie zakończy się niepowodzeniem i zostanie zarejestrowany komunikat o błędzie.  Jeśli klucz rejestru Backdating certyfikatu jest skonfigurowany, zarejestruje komunikat ostrzegawczy w dzienniku zdarzeń, jeśli daty mieszczą się w kompensacji.

Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. watch wszelkich komunikatów ostrzegawczych, które mogą pojawić się po upływie co najmniej miesiąca. Jeśli nie ma żadnych komunikatów ostrzegawczych, zdecydowanie zalecamy włączenie trybu pełnego wy wymuszania na wszystkich kontrolerach domeny przy użyciu uwierzytelniania opartego na certyfikatach. Aby włączyć tryb pełnego wy wymuszania, można użyć klucza rejestru usługi łączności danych biznesowych .

Jeśli wcześniej nie zaktualizowano do trybu inspekcji lub trybu wymuszenia przy użyciu klucza rejestru StrongCertificateBindingEnforcement , kontrolery domeny przejdą do trybu pełnego wymuszenia po zainstalowaniu aktualizacji zabezpieczeń systemu Windows z lutego 2025 r. Jeśli nie można zdecydowanie zamapować certyfikatu, zostanie odrzucone uwierzytelnianie. Opcja powrotu do trybu zgodności pozostanie do września 2025 r. Po tej dacie klucz rejestru StrongCertificateBindingEnforcement nie będzie już obsługiwany

Jeśli uwierzytelnianie oparte na certyfikatach korzysta ze słabego mapowania, które nie umożliwia przenoszenia się ze środowiska, można umieścić kontrolery domeny w trybie wyłączonym przy użyciu ustawienia klucza rejestru. Firma Microsoft tego nie zaleca , a tryb wyłączony zostanie wyłączony 11 kwietnia 2023 r.

Po zainstalowaniu aktualizacji systemu Windows z 13 lutego 2024 r. lub nowszych w systemie Server 2019 i nowszych oraz obsługiwanych klientach z zainstalowaną funkcją opcjonalną RSAT mapowanie certyfikatów w witrynie Użytkownicy usługi Active Directory & Komputery będzie domyślnie wybierać silne mapowanie przy użyciu X509IssuerSerialNumber zamiast słabego mapowania przy użyciu X509IssuerSubject. Nadal można zmienić to ustawienie zgodnie z potrzebami.

Rozwiązywanie problemów

  • Użyj dziennika operacyjnego Kerberos na odpowiednim komputerze, aby określić, który kontroler domeny kończy się niepowodzeniem logowania. Przejdź do Podgląd zdarzeń > Dzienniki aplikacji i usług\Microsoft \Windows\Security-Kerberos\Operational.

  • Poszukaj odpowiednich zdarzeń w dzienniku zdarzeń systemowych na kontrolerze domeny, przeciwko któremu konto próbuje się uwierzytelnić.

  • Jeśli certyfikat jest starszy od konta, ponownie zaimów certyfikat lub dodaj bezpieczne mapowanie wartości altSecurityIdentities na konto (zobacz Mapowania certyfikatów).

  • Jeśli certyfikat zawiera rozszerzenie SID, sprawdź, czy identyfikator SID jest zgodny z kontem.

  • Jeśli certyfikat jest używany do uwierzytelniania kilku różnych kont, każde konto będzie potrzebowało oddzielnego mapowania altSecurityIdentities .

  • Jeśli certyfikat nie ma bezpiecznego mapowania na konto, dodaj ją lub pozostaw domenę w trybie zgodności, dopóki nie będzie można dodać tej domeny.

Przykładem mapowania certyfikatów TLS jest użycie intranetowej aplikacji sieci Web usługi IIS.

  • Po zainstalowaniu zabezpieczeń CVE-2022-26391 i CVE-2022-26923 te scenariusze domyślnie używają protokołu Usługi certyfikatów Kerberos dla użytkownika (S4U) do mapowania certyfikatów i uwierzytelniania.

  • W protokole S4U certyfikatu Kerberos żądanie uwierzytelniania przepływa z serwera aplikacji do kontrolera domeny, a nie z klienta do kontrolera domeny. W związku z tym odpowiednie zdarzenia będą na serwerze aplikacji.

Informacje o kluczu rejestru

Po zainstalowaniu zabezpieczeń CVE-2022-26931 i CVE-2022-26923 w aktualizacjach systemu Windows wydanych między 10 maja 2022 r. a 10 września 2025 r. lub nowszym dostępne są następujące klucze rejestru.

Ten klucz rejestru nie będzieobsługiwać po zainstalowaniu aktualizacji systemu Windows wydanych we wrześniu 2025 r. lub później.

Ważne

Użycie tego klucza rejestru jest tymczasowym obejściem dla środowisk, które tego wymagają i należy to zrobić z zachowaniem ostrożności. Użycie tego klucza rejestru oznacza następujące znaczenie dla twojego środowiska:

  • Ten klucz rejestru działa tylko w trybie zgodności, począwszy od aktualizacji wydanych 10 maja 2022 r.

  • Ten klucz rejestru nie będzieobsługiwać po zainstalowaniu aktualizacji systemu Windows wydanych 10 września 2025 r.

  • Wykrywanie i sprawdzanie poprawności rozszerzenia SID używane przez wymuszanie mocnego powiązania certyfikatu jest zależne od klucza rejestru usługi łączności danych biznesowych UseSubjectAltName . Rozszerzenie SID będzie używane, jeśli wartość rejestru nie istnieje lub jeśli wartość jest ustawiona na wartość 0x1. Rozszerzenie SID nie będzie używane, jeśli istnieje UseSubjectAltName i wartość jest ustawiona na 0x0.

Podklucz rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value (Wartość)

StrongCertificateBindingEnforcement

Typ danych

REG_DWORD

Data (Dane)

1. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa łączności danych biznesowych sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, uwierzytelnianie jest dozwolone, jeśli konto użytkownika poprzedza certyfikat.

2. Sprawdza, czy istnieje silne mapowanie certyfikatów. Jeśli tak, uwierzytelnianie jest dozwolone. W przeciwnym razie usługa łączności danych biznesowych sprawdzi, czy certyfikat ma nowe rozszerzenie SID i sprawdzi jego poprawność. Jeśli to rozszerzenie nie jest dostępne, zostanie odrzucone uwierzytelnianie.

0 — wyłącza silne sprawdzanie mapowania certyfikatów. Niezalecane, ponieważ spowoduje to wyłączenie wszystkich ulepszeń zabezpieczeń.

Jeśli ustawiono wartość 0, musisz również ustawić dla usługi CertificateMappingMethods wartość 0x1F zgodnie z opisem w sekcji klucza rejestru Schannel poniżej, aby uwierzytelnianie oparte na certyfikatach komputera zakończyło się pomyślnie.

Wymagane ponowne uruchomienie?

Nie

Gdy aplikacja serwera wymaga uwierzytelniania klienta, Schannel automatycznie próbuje zamapować certyfikat dostarczony przez klienta TLS na konto użytkownika. Możesz uwierzytelnić użytkowników, którzy logują się za pomocą certyfikatu klienta, tworząc mapowania, które wiążą informacje o certyfikatach z kontem użytkownika systemu Windows. Po utworzeniu i włączeniu mapowania certyfikatów za każdym razem, gdy klient przedstawi certyfikat klienta, aplikacja serwera automatycznie skojarzy tego użytkownika z odpowiednim kontem użytkownika systemu Windows.

Narzędzie Schannel spróbuje zamapować każdą włączoną metodę mapowania certyfikatów, dopóki się nie powiedzie. Schannel próbuje najpierw zamapować mapowania usługi Service-For-User-To-Self (S4U2Self). Mapowania certyfikatów podmiotu/emitenta, emitenta i głównej nazwy użytkownika są obecnie uważane za słabe i zostały domyślnie wyłączone. Suma wybranych opcji z wyświetlonym monitem bitm określa listę dostępnych metod mapowania certyfikatów.

Klucz rejestru SChannel był domyślnie 0x1F i jest teraz 0x18. Jeśli wystąpią błędy uwierzytelniania w aplikacjach serwerowych opartych na architekturze Schannel, zalecamy wykonanie testu. Dodaj lub zmodyfikuj wartość klucza rejestru CertificateMappingMethods na kontrolerze domeny i ustaw ją na 0x1F i sprawdź, czy rozwiązuje to problem. Aby uzyskać więcej informacji, zobacz Dzienniki zdarzeń systemowych na kontrolerze domeny pod kątem błędów wymienionych w tym artykule. Należy pamiętać, że zmiana wartości klucza rejestru SChannel z powrotem na poprzednią domyślną (0x1F) spowoduje powrót do korzystania ze słabych metod mapowania certyfikatów.

Podklucz rejestru

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Value (Wartość)

CertificateMappingMethods

Typ danych

DWORD

Data (Dane)

0x0001 — mapowanie certyfikatów podmiotu/wystawców (słabe — domyślnie wyłączone)

0x0002 — mapowanie certyfikatów wystawców (słabe — domyślnie wyłączone)

0x0004 — mapowanie certyfikatów UPN (słabe — domyślnie wyłączone)

0x0008 — mapowanie certyfikatów S4U2Self (strong)

0x0010 — S4U2Self jawne mapowanie certyfikatów (silne)

Wymagane ponowne uruchomienie?

Nie

Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".

Po zainstalowaniu aktualizacji dotyczących cve-2022-26931 i CVE-2022-26923 uwierzytelnianie może zakończyć się niepowodzeniem w przypadkach, gdy certyfikaty użytkowników są starsze niż czas tworzenia użytkowników. Ten klucz rejestru umożliwia pomyślne uwierzytelnianie podczas używania słabych mapowań certyfikatów w środowisku, a czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie. Ten klucz rejestru nie wpływa na użytkowników ani komputery z silnymi mapowaniami certyfikatów, ponieważ czas certyfikatu i czas tworzenia użytkowników nie są sprawdzane przy użyciu silnych mapowań certyfikatów. Ten klucz rejestru nie ma żadnego wpływu, gdy wartość StrongCertificateBindingEnforcement jest ustawiona na wartość 2.

Użycie tego klucza rejestru jest tymczasowym obejściem dla środowisk, które tego wymagają i należy to zrobić z zachowaniem ostrożności. Użycie tego klucza rejestru oznacza następujące znaczenie dla twojego środowiska:

  • Ten klucz rejestru działa tylko w trybie zgodności , począwszy od aktualizacji wydanych 10 maja 2022 r. Uwierzytelnianie będzie dozwolone w ramach kompensacji odwrotnej, ale zostanie zarejestrowane ostrzeżenie dziennika zdarzeń dla słabego powiązania.

  • Włączenie tego klucza rejestru umożliwia uwierzytelnianie użytkownika, gdy czas certyfikatu jest przed czasem utworzenia użytkownika w określonym zakresie jako słabe mapowanie. Słabe mapowania nie będą obsługiwane po zainstalowaniu aktualizacji dla systemu Windows wydanych we wrześniu 2025 r. lub później.

Podklucz rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value (Wartość)

CertificateBackdatingCompensation

Typ danych

REG_DWORD

Data (Dane)

Wartości obejścia w przybliżonych latach:

  • 50 lat: 0x5E0C89C0

  • 25 lat: 0x2EFE0780

  • 10 lat: 0x12CC0300

  • 5 lat: 0x9660180

  • 3 lata: 0x5A39A80

  • 1 rok: 0x1E13380

Uwaga Jeśli znasz okres istnienia certyfikatów w środowisku, ustaw ten klucz rejestru na nieco dłuższy niż okres istnienia certyfikatu.  Jeśli nie znasz okresów istnienia certyfikatu dla środowiska, ustaw ten klucz rejestru na 50 lat. Domyślnie wynosi 10 minut, gdy ten klucz nie jest obecny, co odpowiada usługom certyfikatów active directory (ADCS). Maksymalna wartość to 50 lat (0x5E0C89C0).

Ten klucz określa w sekundach różnicę czasową ignorowaną przez Centrum dystrybucji kluczy między godziną wydania certyfikatu uwierzytelniania a czasem utworzenia konta dla kont użytkowników/komputerów.

Ważne Ten klucz rejestru można ustawić tylko wtedy, gdy środowisko tego wymaga. Użycie tego klucza rejestru powoduje wyłączenie sprawdzania zabezpieczeń.

Wymagane ponowne uruchomienie?

Nie

Urzędy certyfikacji przedsiębiorstwa

Po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. urzędy certyfikacji przedsiębiorstwa zaczną dodawać nowe rozszerzenie niekrytyczny z identyfikatorem obiektu (OID) (1.3.6.1.4.1.311.25.2). Możesz zatrzymać dodawanie tego rozszerzenia, ustawiając bit 0x00080000 w wartości msPKI-Enrollment-Flag odpowiedniego szablonu.

Uruchom następujące polecenie certutil , aby wykluczyć certyfikaty szablonu użytkownika z uzyskiwania nowego rozszerzenia.

  1. Zaloguj się na serwerze urząd certyfikacji lub kliencie przyłączonym do domeny Windows 10 przy użyciu administratora przedsiębiorstwa lub równoważnych poświadczeń.

  2. Otwórz wiersz polecenia i wybierz polecenie Uruchom jako administrator.

  3. Uruchom certutil -dstemplate użytkownika msPKI-Enrollment-Flag +0x00080000. 

Wyłączenie dodawania tego rozszerzenia spowoduje usunięcie ochrony zapewnianej przez nowe rozszerzenie. Rozważ wykonanie tej czynności tylko po jednej z następujących czynności:

  1. Potwierdzasz, że odpowiadające im certyfikaty są nie do przyjęcia dla kryptografii klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT) w uwierzytelnianiu protokołu Kerberos w usłudze KDC

  2. Odpowiednie certyfikaty mają skonfigurowane inne silne mapowania certyfikatów

Środowiska z wdrożeniami innych niż Microsoft CA nie będą chronione przy użyciu nowego rozszerzenia SID po zainstalowaniu aktualizacji systemu Windows z 10 maja 2022 r. Klienci, których dotyczy problem, powinni współpracować z odpowiednimi dostawcami urzędu certyfikacji, aby rozwiązać ten problem, lub rozważyć użycie innych silnych mapowań certyfikatów opisanych powyżej.

Dodatkowe zasoby i pomoc techniczna można znaleźć w sekcji "Dodatkowe zasoby".

Często zadawane pytania

Nie, odnowienie nie jest wymagane. Urząd certyfikacji zostanie wyświetlony w trybie zgodności. Jeśli chcesz mieć silne mapowanie przy użyciu rozszerzenia ObjectSID, będziesz potrzebować nowego certyfikatu.

W aktualizacji systemu Windows z 11 lutego 2025 r. urządzenia, które nie są jeszcze w wymuszaniu (wartość rejestru StrongCertificateBindingEnforcement jest ustawiona na 2), zostaną przeniesione do sekcji Wymuszanie. Jeśli zostanie odrzucone uwierzytelnianie, zostanie wyświetlony identyfikator zdarzenia 39 (lub identyfikator zdarzenia 41 dla systemów Windows Server 2008 R2 z dodatek SP1 i Windows Server 2008 z dodatek SP2). Na tym etapie będzie można ustawić wartość klucza rejestru z powrotem na 1 (tryb zgodności).

W aktualizacji systemu Windows z 10 września 2025 r. wartość rejestru StrongCertificateBindingEnforcement nie będzie już obsługiwana. ​​​​​​​

Dodatkowe zasoby

Aby uzyskać więcej informacji na temat mapowania certyfikatów klienta TLS, zobacz następujące artykuły:

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.