Modificare dată |
Descriere |
---|---|
10/24/2024 |
S-a actualizat textul pentru claritate în Pasul 2 din secțiunea "Acționați", în descrierea "Mod impunere completă" din secțiunea "Cronologie pentru actualizări Windows" și am revizuit informațiile despre dată ale subiectelor "Cheie de registry Key Distribution Center (KDC) și "Cheie de registry cu copiere de rezervă certificat" din secțiunea "Informații despre cheia de registry". |
9/10/2024 |
S-a modificat descrierea modului Impunere completă din secțiunea "Temporizare pentru actualizări Windows" pentru a reflecta datele noi. 11 februarie 2025 va muta dispozitivele în modul Impunere, dar va lăsa suportul pentru a reveni la modul Compatibilitate. Suportul complet pentru cheile de registry se va încheia acum, 10 septembrie 2025. |
7/5/2024 |
Am adăugat informații despre extensia SID la cheia de registry Key Distribution Center (KDC) din secțiunea "Informații despre cheia de registry". |
10/10/2023 |
S-au adăugat informații despre modificările implicite ale mapării puternice sub "Cronologie pentru Windows Actualizări" |
6/30/2023 |
S-a modificat data modului Impunere completă de la 14 noiembrie 2023 la 11 februarie 2025 (aceste date au fost listate anterior ca 19 mai 2023 - 14 noiembrie 2023). |
1/26/2023 |
S-a modificat eliminarea modului Dezactivat din 14 februarie 2023 până la 11 aprilie 2023 |
Rezumat
CVE-2022-34691,CVE-2022-26931 și CVE-2022-26923 tratează o vulnerabilitate de sporire a privilegiilor care poate apărea atunci când Centrul de distribuire a cheilor Kerberos (KDC) asigură service pentru o solicitare de autentificare bazată pe certificat. Înainte de actualizarea de securitate din 10 mai 2022, autentificarea bazată pe certificate nu ar fi cont pentru semnul dolar ($) la sfârșitul numelui computerului. Acest lucru permitea emularea (falsificarea) certificatelor asociate în diverse moduri. În plus, conflictele dintre Numele principale de utilizator (UPN) și sAMAccountName au introdus alte vulnerabilități de emulare (falsificare) pe care le rezolvăm și cu această actualizare de securitate.
Luați măsuri
Pentru a vă proteja mediul, parcurgeți următorii pași pentru autentificarea bazată pe certificat:
-
Actualizați toate serverele care rulează Active Directory Certificate Services și controlerele de domeniu Windows pentru autentificarea bazată pe certificate de serviciu cu actualizarea din 10 mai 2022 (consultați Modul compatibilitate). Actualizarea din 10 mai 2022 va furniza evenimente de audit care identifică certificatele care nu sunt compatibile cu modul Impunere completă.
-
Dacă nu sunt create jurnale de evenimente de auditare pe controlerele de domeniu timp de o lună după instalarea actualizării, continuați cu activarea modului Impunere completă pe toate controlerele de domeniu. Până în februarie 2025, dacă cheia de registry StrongCertificateBindingEnforcemennu este configurată, controlerele de domeniu vor trece la modul Impunere completă. În caz contrar, setarea mod compatibilitate pentru cheile de registry va continua să fie onorată. În modul Impunere completă, dacă un certificat nu reușește criteriile de mapare puternice (securizate) (consultați Mapările certificatelor), autentificarea va fi refuzată. Totuși, opțiunea de a reveni la modul compatibilitate va rămâne până în septembrie 2025.
Evenimente de audit
Actualizarea Windows din 10 mai 2022 adaugă următoarele jurnale de evenimente.
Nu s-au găsit mapări puternice ale certificatelor și certificatul nu a avut extensia identificatorului de securitate nou (SID) pe care KDC o poate valida.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment dacă KDC este în modul Compatibilitate Eroare dacă KDC este în modul Impunere |
Sursa de eveniment |
Kdcsvc |
ID eveniment |
39 41 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2) |
Text eveniment |
Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Astfel de certificate ar trebui fie înlocuite, fie mapate direct la utilizator prin mapare explicită. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat: <emitent cu nume de domeniu complet calificat (FQDN)> Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului> |
Certificatul a fost emis pentru utilizator înainte ca utilizatorul să existe în Active Directory și nu s-a găsit nicio mapare puternică. Acest eveniment este înregistrat în jurnal doar atunci când KDC este în modul Compatibilitate.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa de eveniment |
Kdcsvc |
ID eveniment |
40 48 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2 |
Text eveniment |
Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator valid, dar care nu a putut fi mapat la un utilizator într-un mod puternic (de exemplu, prin mapare explicită, mapare de încredere cheie sau SID). Certificatul a precedat și utilizatorul la care a mapat, așa că a fost respins. Consultați https://go.microsoft.com/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat:> FQDN al emitentului < Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului> Ora emiterii certificatului: <FILETIME al certificatului> Ora creării contului: <FILETIME al obiectului principal din> AD |
SID-ul conținut în noua extensie a certificatului utilizatorilor nu corespunde SID-ului utilizatorilor, ceea ce implică faptul că certificatul a fost emis pentru un alt utilizator.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa de eveniment |
Kdcsvc |
ID eveniment |
41 49 (Pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2) |
Text eveniment |
Centrul de distribuire cheie (KDC) a întâlnit un certificat de utilizator care era valid, dar conținea un SID diferit de utilizatorul la care a mapat. Prin urmare, solicitarea care implică certificatul nu a reușit. Consultați https://go.microsoft.cm/fwlink/?linkid=2189925 pentru a afla mai multe. Utilizator: <nume principal> SID utilizator: <SID al> principal de autentificare Subiectul certificatului: <numele subiectului în> certificatului Emitent certificat:> FQDN al emitentului < Număr de serie certificat: <numărul de serie al> certificatului Amprenta certificatului: <amprenta certificatului> SID certificat: <SID găsit în noul> de extensie de certificat |
Mapări de certificate
Administratorii de domeniu pot mapa manual certificatele la un utilizator din Active Directory utilizând atributul altSecurityIdentities al obiectului utilizatorilor. Există șase valori acceptate pentru acest atribut, trei mapări fiind considerate slabe (nesigure) și celelalte trei considerate puternice. În general, tipurile de mapare sunt considerate puternice dacă se bazează pe identificatori pe care nu îi puteți reutiliza. Prin urmare, toate tipurile de mapare bazate pe nume de utilizator și adrese de e-mail sunt considerate slabe.
Cartografiere |
Exemplu |
Tip |
Observații |
X509IssuerSubject |
"X509:<am>IssuerName<S>SubjectName" |
Slab |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Slab |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Slab |
Adresă de e-mail |
Număr X509IssuerSerialNumber |
"X509:<am>IssuerName<>1234567890 SR" |
Puternic |
Recomandat |
X509SKI |
"X509:<ski>123456789abcdef" |
Puternic |
|
Cheie X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Puternic |
Dacă clienții nu pot reissue certificate cu noua extensie SID, vă recomandăm să creați o mapare manuală utilizând una dintre mapările puternice descrise mai sus. Puteți face acest lucru adăugând șirul de mapare corespunzător la un atribut de utilizatori altSecurityIdentities din Active Directory.
Notă Anumite câmpuri, cum ar fi Emitent, Subiect și Număr serial, sunt raportate într-un format "redirecționare". Trebuie să inversați acest format atunci când adăugați șirul de mapare la atributul altSecurityIdentities . De exemplu, pentru a adăuga maparea X509IssuerSerialNumber la un utilizator, căutați în câmpurile "Emitent" și "Număr de serie" ale certificatului pe care doriți să-l mapați la utilizator. Vedeți rezultatul eșantionului de mai jos.
-
Emitent: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Număr Serial: 2B0000000011AC0000000012
Apoi actualizați atributul altSecurityIdentities al utilizatorului în Active Directory cu următorul șir:
-
"X509:<am>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"
Pentru a actualiza acest atribut utilizând Powershell, puteți utiliza comanda de mai jos. Rețineți că, în mod implicit, doar administratorii de domeniu au permisiunea de a actualiza acest atribut.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"}
Rețineți că, atunci când inversați număr SerialNumber, trebuie să păstrați ordinea byților. Aceasta înseamnă că inversarea numărului serial "A1B2C3" ar trebui să aibă ca rezultat șirul "C3B2A1" și nu "3C2B1A". Pentru mai multe informații, consultați Cum să: Mapați un utilizator la un certificat prin toate metodele disponibile în atributul altSecurityIdentities.
Cronologie pentru actualizări Windows
Important Faza de activare începe cu actualizările din 11 aprilie 2023 pentru Windows, care vor ignora setarea cheii de registry pentru modul dezactivat.
După ce ați instalat actualizările Windows din 10 mai 2022, dispozitivele vor fi în modul Compatibilitate. Dacă un certificat poate fi mapat puternic la un utilizator, autentificarea va avea loc așa cum vă așteptați. Dacă un certificat poate fi mapat slab doar la un utilizator, autentificarea va avea loc așa cum vă așteptați. Totuși, un mesaj de avertizare va fi înregistrat în jurnal dacă certificatul nu este mai vechi decât utilizatorul. Dacă certificatul este mai vechi decât utilizatorul și cheia de registry De rezervă certificat nu este prezentă sau zona se află în afara compensării de backup, autentificarea nu va reuși și se va înregistra un mesaj de eroare. Dacă cheia de registry Certificate Backdating este configurată, aceasta va înregistra un mesaj de avertisment în jurnalul de evenimente dacă datele se încadrează în compensarea de rezervă.
După ce instalați actualizările Windows din 10 mai 2022, urmăriți dacă apar mesaje de avertizare după o lună sau mai mult. Dacă nu există mesaje de avertizare, vă recomandăm ferm să activați modul Impunere completă pe toate controlerele de domeniu care utilizează autentificarea bazată pe certificate. Puteți utiliza cheia de registry KDC pentru a activa modul Impunere completă.
Cu excepția cazului în care sunt actualizate la modul audit sau impunere utilizând cheia de registry StrongCertificateBindingEnforcement mai devreme, controlerele de domeniu vor trece la modul Impunere completă atunci când este instalată actualizarea de securitate Windows din februarie 2025. Autentificarea va fi refuzată dacă un certificat nu poate fi mapat puternic. Opțiunea de a reveni la modul Compatibilitate va rămâne până în septembrie 2025. După această dată, cheia de registry StrongCertificateBindingEnforcement nu va mai fi acceptată
Dacă autentificarea bazată pe certificate se bazează pe o mapare slabă pe care nu o puteți muta din mediu, puteți plasa controlerele de domeniu în modul Dezactivat utilizând o setare de cheie de registry. Microsoft nu recomandă acest lucru și vom elimina modul Dezactivat pe 11 aprilie 2023.
După ce ați instalat actualizările Windows din 13 februarie 2024 sau mai recente pe Server 2019 și mai recent și ați acceptat clienții cu caracteristica opțională RSAT instalată, maparea certificatului în Utilizatori Active Directory & Computere va selecta implicit maparea puternică utilizând X509IssuerSerialNumber în loc de maparea slabă utilizând X509IssuerSubject. Setarea poate fi modificată în continuare după cum doriți.
Depanare
-
Utilizați jurnalul operațional Kerberos de pe computerul relevant pentru a determina ce controler de domeniu nu reușește conectarea. Accesați Vizualizator evenimente > Jurnale de aplicații și servicii\Microsoft \Windows\Security-Kerberos\Operational.
-
Căutați evenimente relevante în jurnalul de evenimente de sistem de pe controlerul de domeniu pentru care contul încearcă să se autentifice.
-
Dacă certificatul este mai vechi decât contul, reeșuați certificatul sau adăugați o mapare securizată altSecurityIdentities la cont (consultați Mapări certificate).
-
Dacă certificatul conține o extensie SID, verificați dacă SID se potrivește contului.
-
Dacă certificatul este utilizat pentru a autentifica mai multe conturi diferite, fiecare cont va avea nevoie de o mapare separată a entităților altSecurityId .
-
Dacă certificatul nu are o mapare securizată la cont, adăugați una sau lăsați domeniul în Modul compatibilitate până când se poate adăuga una.
Un exemplu de mapare a certificatelor TLS utilizează o aplicație web intranet IIS.
-
După instalarea protecțiilor CVE-2022-26391 și CVE-2022-26923 , aceste scenarii utilizează protocolul Kerberos Certificate Service for User (S4U) pentru maparea și autentificarea certificatelor în mod implicit.
-
În protocolul Kerberos Certificate S4U, solicitarea de autentificare continuă de la serverul de aplicație la controlerul de domeniu, nu de la client la controlerul de domeniu. Prin urmare, evenimentele relevante vor fi pe serverul aplicației.
Informații despre cheia de registry
După ce instalați protecții CVE-2022-26931 și CVE-2022-26923 în actualizările Windows lansate între 10 mai 2022 și 10 septembrie 2025 sau o versiune mai recentă, sunt disponibile următoarele chei de registry.
Această cheie de registry nu va fi acceptată după instalarea actualizărilor pentru Windows lansate pe sau după septembrie 2025.
Important
Utilizarea acestei chei de registry este o soluție temporară pentru mediile care o solicită și trebuie efectuată cu atenție. Utilizarea acestei chei de registry înseamnă următoarele pentru mediul dvs.:
-
Această cheie de registry funcționează doar în modul compatibilitate, începând cu actualizările lansate pe 10 mai 2022.
-
Această cheie de registry nu va fi acceptată după instalarea actualizărilor pentru Windows lansate pe 10 septembrie 2025.
-
Detectarea și validarea extensiei SID utilizate de impunerea legăturii puternice pentru certificate are o dependență de valoarea cheii de registry KDC UseSubjectAltName . Extensia SID va fi utilizată dacă valoarea de registry nu există sau dacă valoarea este setată la o valoare de 0x1. Extensia SID nu va fi utilizată dacă UseSubjectAltName există și valoarea este setată la 0x0.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valoare |
StrongCertificateBindingEnforcement |
Tip de date |
REG_DWORD |
Date |
1 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este permisă dacă contul de utilizator precedă certificatul. 2 – Verifică dacă există o mapare puternică a certificatelor. Dacă da, autentificarea este permisă. În caz contrar, KDC va verifica dacă certificatul are noua extensie SID și îl va valida. Dacă această extensie nu este prezentă, autentificarea este refuzată. 0 – Dezactivează verificarea puternică a mapării certificatelor. Nu se recomandă, deoarece acest lucru va dezactiva toate îmbunătățirile de securitate. Dacă setați această setare la 0, trebuie, de asemenea, să setați CertificateMappingMethods la 0x1F așa cum este descris în secțiunea cheie de registry Schannel de mai jos pentru ca autentificarea bazată pe certificat de computer să reușească. |
Repornire necesară? |
Nu |
Atunci când o aplicație server necesită autentificarea clientului, Schannel încearcă automat să mapeze certificatul furnizat de clientul TLS unui cont de utilizator. Puteți autentifica utilizatorii care se conectează cu un certificat de client prin crearea de mapări care asociaează informațiile despre certificat cu un cont de utilizator Windows. După ce creați și activați maparea unui certificat, de fiecare dată când un client prezintă un certificat de client, aplicația server asociază automat acel utilizator cu contul de utilizator Windows corespunzător.
Schannel va încerca să mapeze fiecare metodă de mapare a certificatului pe care ați activat-o până când reușește una. Schannel încearcă să mapeze mai întâi mapările Service-For-User-To-Self (S4U2Self). Mapările de certificate Subiect/Emitent, Emitent și UPN sunt considerate slabe și au fost dezactivate în mod implicit. Suma cu mască de biți a opțiunilor selectate determină lista de metode de mapare a certificatelor disponibile.
Cheia de registry SChannel implicită a fost 0x1F și este acum 0x18. Dacă întâmpinați erori de autentificare cu aplicațiile server bazate pe Schannel, vă sugerăm să efectuați un test. Adăugați sau modificați valoarea cheii de registry CertificateMappingMethods de pe controlerul de domeniu și setați-o la 0x1F și vedeți dacă aceasta tratează problema. Căutați erorile listate în acest articol în jurnalele de evenimente de sistem de pe controlerul de domeniu pentru mai multe informații. Rețineți că modificarea valorii cheii de registry SChannel înapoi la valoarea implicită anterioară (0x1F) va reveni la utilizarea metodelor slabe de mapare a certificatelor.
Subcheie de registry |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Valoare |
CertificateMappingMethods |
Tip de date |
DWORD |
Date |
0x0001 - maparea certificatului subiect/emitent (slabă - dezactivată în mod implicit) 0x0002 - maparea certificatului emitentului (slabă - dezactivată în mod implicit) 0x0004 - maparea certificatelor UPN (slabă - dezactivată în mod implicit) 0x0008 - S4U2Self certificate mapping (strong) 0x0010 - S4U2Self maparea explicită a certificatului (strong) |
Repornire necesară? |
Nu |
Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".
După ce instalați actualizările care adresă CVE-2022-26931 și CVE-2022-26923, autentificarea poate să nu reușească în cazurile în care certificatele de utilizator sunt mai vechi decât timpul de creare a utilizatorilor. Această cheie de registry permite autentificarea reușită atunci când utilizați mapări slabe ale certificatelor în mediul dvs., iar timpul certificatului este înainte de ora creării utilizatorului într-un interval setat. Această cheie de registry nu afectează utilizatorii sau mașinile cu mapări puternice de certificate, deoarece ora certificatului și ora creării utilizatorului nu sunt verificate cu mapări puternice ale certificatelor. Această cheie de registry nu are niciun efect atunci când StrongCertificateBindingEnforcement este setat la 2.
Utilizarea acestei chei de registry este o soluție temporară pentru mediile care o solicită și trebuie efectuată cu atenție. Utilizarea acestei chei de registry înseamnă următoarele pentru mediul dvs.:
-
Această cheie de registry funcționează doar în modul compatibilitate , începând cu actualizările lansate pe 10 mai 2022. Autentificarea va fi permisă în compensarea cu backdating, dar un avertisment de jurnal de evenimente va fi înregistrat în jurnal pentru legarea slabă.
-
Activarea acestei chei de registry permite autentificarea utilizatorului atunci când timpul certificatului este înainte de ora creării utilizatorului într-un interval setat, ca o mapare slabă. Mapările slabe nu vor fi acceptate după instalarea actualizărilor pentru Windows lansate pe sau după septembrie 2025.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Valoare |
CertificateBackdatingCompensation |
Tip de date |
REG_DWORD |
Date |
Valori pentru soluție de evitare în aproximativ ani:
Notă Dacă știți durata de viață a certificatelor în mediul dvs., setați această cheie de registry la puțin mai lungă decât durata de viață a certificatului. Dacă nu cunoașteți duratele de viață ale certificatelor pentru mediul dvs., setați această cheie de registry la 50 de ani. Implicit la 10 minute atunci când această cheie nu este prezentă, care se potrivește cu Active Directory Certificate Services (ADCS). Valoarea maximă este de 50 de ani (0x5E0C89C0). Această cheie setează diferența de timp, în secunde, pe care Centrul de distribuire a cheilor (KDC) o va ignora între ora emiterii unui certificat de autentificare și timpul de creare a contului pentru conturile de utilizator/computer. Important Setați această cheie de registry doar dacă mediul dvs. necesită acest lucru. Utilizarea acestei chei de registry dezactivează o verificare de securitate. |
Repornire necesară? |
Nu |
Autorități de certificare de întreprindere
Autoritățile de certificare de întreprindere (CA) vor începe să adauge o nouă extensie non-critică cu Object Identifier (OID) (1.3.6.1.4.1.311.25.2) în mod implicit în toate certificatele emise pentru șabloanele online după ce instalați actualizarea Windows din 10 mai 2022. Puteți opri adăugarea acestei extensii setând 0x00080000 bit în valoarea msPKI-Enrollment-Flag a șablonului corespunzător.
Rulați următoarea comandă certutil pentru a exclude certificatele șablonului de utilizator de la obținerea noii extensii.
-
Conectați-vă la un server de autoritate de certificare sau la un client Windows 10 asociat la domeniu cu administratorul de întreprindere sau acreditările echivalente.
-
Deschideți o linie de comandă și alegeți Rulare ca administrator.
-
Rulați certutil -dstemplate utilizator msPKI-Enrollment-Flag +0x00080000.
Dezactivarea adăugării acestei extensii va elimina protecția oferită de noua extensie. Luați în considerare acest lucru doar după una dintre următoarele:
-
Confirmați că certificatele corespunzătoare nu sunt acceptate pentru Criptografia cheilor publice pentru autentificarea inițială (PKINIT) în autentificările protocolului Kerberos la KDC
-
Certificatele corespunzătoare au configurate alte mapări puternice ale certificatelor
Mediile care au implementări non-Microsoft CA nu vor fi protejate utilizând noua extensie SID după instalarea actualizării Windows din 10 mai 2022. Clienții afectați ar trebui să lucreze cu distribuitorii ca corespunzători pentru a rezolva această problemă sau ar trebui să ia în considerare utilizarea altor mapări puternice de certificate descrise mai sus.
Pentru resurse suplimentare și asistență, consultați secțiunea "Resurse suplimentare".
Întrebări frecvente
Nu, reînnoirea nu este necesară. Ca va fi livrată în modul Compatibilitate. Dacă doriți o mapare puternică utilizând extensia ObjectSID, veți avea nevoie de un certificat nou.
În actualizarea Windows din 11 februarie 2025, dispozitivele care nu se află deja în Enforcement (valoarea de registry StrongCertificateBindingEnforcement este setată la 2) vor fi mutate la Impunere. Dacă autentificarea este refuzată, veți vedea ID-ul de eveniment 39 (sau ID-ul de eveniment 41 pentru Windows Server 2008 R2 SP1 și Windows Server 2008 SP2). Veți avea opțiunea de a seta valoarea cheii de registry înapoi la 1 (mod compatibilitate) în acest stadiu.
În actualizarea Windows din 10 septembrie 2025, valoarea de registry StrongCertificateBindingEnforcement nu va mai fi acceptată.
Resurse suplimentare
Pentru mai multe informații despre maparea certificatelor de client TLS, consultați următoarele articole: