Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Spremeni datum

Opis

10/24/2024

Posodobljeno besedilo zaradi jasnosti v 2. koraku razdelka »Ukrepajte« v opisu »Način popolnega uveljavljanja« razdelka »Časovnica za posodobitve sistema Windows« in spremenili datumski podatki o registrskem ključu »Središče za distribucijo ključev (KDC)« in »Registrski ključ s varnostno kopiranjem s potrdilom« v razdelku »Informacije o registrskem ključu«.

9/10/2024

Spremenili smo opis načina »Popolno uveljavljanje« v razdelku »Časovna usklajenost za posodobitve sistema Windows« tako, da odraža nove datume. 11. februar 2025 bo naprave premaknila v način uveljavljanja, vendar bo podpora za vrnitev nazaj v združljivostni način premaknjena nazaj. Polna podpora za registrski ključ se bo končala 10. septembra 2025.

7/5/2024

Dodali informacije o razširitvi SID v registrski ključ središča za porazdelitev ključev (KDC) v razdelku »Informacije o registrskem ključu«.

10/10/2023

V razdelek »Časovnica za Windows Posodobitve« smo dodali informacije o privzetih preslikavah Posodobitve«

6/30/2023

Spremenjen je bil poln datum načina uveljavljanja od 14. novembra 2023 do 11. februarja 2025 (ti datumi so bili prej navedeni kot 19. maj 2023 do 14. novembra 2023).

1/26/2023

Spremenjeno odstranjevanje onemogočenega načina iz 14. februarja 2023 v 11. april 2023

Povzetek

CVE-2022-34691,CVE-2022-26931 in CVE-2022-26923 nagovorijo ranljivost pri dvigu pravic, do katere lahko pride, ko središče za porazdelitev ključa Kerberos (KDC) servisiranje zahteve za preverjanje pristnosti, ki temelji na potrdilu. Pred varnostno posodobitvijo z dne 10. maja 2022 preverjanje pristnosti, ki temelji na potrdilu, ne bo štek za dolar ($) na koncu imena računalnika. S tem so bila povezana potrdila lahko emulirana (ponarejena) na različne načine. Poleg tega so v sporih med glavnimi imeni uporabnikov (UPN) in sAMAccountName uvedene druge ranljivosti zaradi emulacije (zakrivanja), ki jih odpravljamo tudi s to varnostno posodobitvijo. 

Vzemite stvari v svoje roke

Če želite zaščititi svoje okolje, dokončajte te korake za preverjanje pristnosti, ki temelji na potrdilu:

  1. Posodobite vse strežnike, ki izvajajo storitve Active Directory Certificate Services in krmilnike domene sistema Windows, ki podpirajo preverjanje pristnosti na podlagi potrdila storitve, s posodobitvijo z dne 10. maja 2022 (glejte Združljivostni način). Posodobitev z dne 10. maja 2022 bo zagotovila dogodke nadzora, ki identificirajo potrdila, ki niso združljiva z načinom popolnega uveljavljanja.

  2. Če v krmilnikih domene en mesec po namestitvi posodobitve ni ustvarjen noben dnevnik dogodkov nadzora, nadaljujte z omogočanjem načina popolnega uveljavljanja v vseh krmilnikih domene. Če registrski ključ StrongCertificateBindingEnforcemen tdo februarja 2025 ni konfiguriran, bodo krmilniki domene premaknjeni v način popolnega uveljavljanja. V nasprotnem primeru bo nastavitev združljivostnega načina registrskih ključev še naprej spoštovana. Če v načinu popolnega uveljavljanja potrdilo ne uspe zapletenih (varnih) pogojev preslikave (glejte Preslikave potrdil), bo preverjanje pristnosti zavrnjeno. Vendar pa bo možnost za povrnitev na združljivostni način ostala do septembra 2025. ​​​​​​​

Dogodki nadzora

Posodobitev sistema Windows z dne 10. maja 2022 doda te dnevnike dogodkov.

Ni bilo mogoče najti zapletenih preslikav potrdil in potrdilo nima nove razširitve varnostnega identifikatorja (SID), ki bi jo KDC lahko potrdil.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Opozorilo, če je KDC v združljivostnem načinu

Napaka, če je KDC v načinu uveljavljanja

Vir dogodka

Kdcsvc

ID dogodka

39

41 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2)

Besedilo dogodka

Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar ga ni bilo mogoče močno preslikati v uporabnika (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Takšna potrdila je treba zamenjati ali preslikati neposredno uporabniku z eksplicitno preslikavo. Če želite https://go.microsoft.com/fwlink/?linkid=2189925 več informacij, glejte Članek z več podatki.

Uporabnik: <ime>

Zadeva potrdila: <zadeva v potrdilu>

Izdajatelj potrdila: <izdajatelja popolnoma kvalificiranega imena domene (FQDN)>

Serijska številka potrdila: <serijska številka potrdila>

Certificate Thumbprint: <Thumbprint of Certificate>

Potrdilo je bilo izdano uporabniku, preden je uporabnik obstajal v imeniku Active Directory, zato ni bilo mogoče najti zapletene preslikave. Ta dogodek je zabeležen le, ko je KDC v združljivostnem načinu.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Napaka

Vir dogodka

Kdcsvc

ID dogodka

40

48 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2

Besedilo dogodka

Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar ga ni bilo mogoče močno preslikati v uporabnika (na primer z eksplicitno preslikavo, preslikavo zaupanja ključa ali SID). Potrdilo je bilo vnaprej dodeljeno uporabniku, ki mu je bilo preslikano, zato je bilo zavrnjeno. Če želite https://go.microsoft.com/fwlink/?linkid=2189925 več informacij, glejte Članek z več podatki.

Uporabnik: <ime>

Zadeva potrdila: <zadeva v potrdilu>

Izdajatelj potrdila: <FQDN izdajatelja>

Serijska številka potrdila: <serijska številka potrdila>

Certificate Thumbprint: <Thumbprint of Certificate>

Čas izdaje potrdila: <FILETIME potrdila>

Čas nastanka računa: <FILETIME glavnega predmeta v ad>

SID, vsebovan v novi razširitvi uporabniškega potrdila, se ne ujema z uporabniškim SID-jem, kar pomeni, da je bilo potrdilo izdano drugemu uporabniku.

Dnevnik dogodkov

Sistem

Vrsta dogodka

Napaka

Vir dogodka

Kdcsvc

ID dogodka

41

49 (Za Windows Server 2008 R2 s servisnim paketom SP1 in Windows Server 2008 s servisnim paketom SP2)

Besedilo dogodka

Središče za porazdelitev ključa (KDC) je naletelo na veljavno uporabniško potrdilo, vendar je vsebovalo drug SID, kot ga je preslikal uporabnik. Posledično zahteva, ki vključuje potrdilo, ni uspela. Če želite https://go.microsoft.cm/fwlink/?linkid=2189925 več informacij, glejte Temo.

Uporabnik: <ime>

SID uporabnika: <SID glavnega overjenega>

Zadeva potrdila: <zadeva v potrdilu>

Izdajatelj potrdila: <FQDN izdajatelja>

Serijska številka potrdila: <serijska številka potrdila>

Certificate Thumbprint: <Thumbprint of Certificate>

SID s potrdilom: <sid, ki ga najdete v novem pogovornem oknu za>

Preslikave potrdil

Skrbniki domen lahko ročno preslikajo potrdila uporabniku v imeniku Active Directory z atributom altSecurityIdentities za uporabnikov predmet. Za ta atribut obstaja šest podprtih vrednosti, pri tem pa so tri preslikave obravnavane kot šibke (nezaščitene), druge tri pa so obravnavane kot močne. Na splošno so vrste preslikave obravnavane kot močne, če temeljijo na identifikatorjev, ki jih ni mogoče znova uporabiti. Zato so vse vrste preslikav na podlagi uporabniških imen in e-poštnih naslovov obravnavane kot šibke.

Preslikava

Primer

Vrsta

Opombe

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Slab

X509SubjectOnly

"X509:<S>SubjectName"

Slab

X509RFC822

"X509:<RFC822>user@contoso.com"

Slab

E-poštni naslov

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Močno

Priporočeno

X509SKI

"X509:<SKI>123456789abcdef"

Močno

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Močno

Če stranke ne morejo znova izdajati potrdil z novo razširitvijo SID, priporočamo, da ustvarite ročno preslikavo z eno od močnih preslikav, ki so opisane zgoraj. To lahko naredite tako, da dodate ustrezen niz preslikave v atribut altSecurityIdentities uporabnikov v imeniku Active Directory.

Opomba Nekatera polja, kot so izdajatelj, zadeva in serijska številka, so zapisana v obliki »naprej«. To obliko zapisa morate razveljaviti, ko dodate niz za preslikavo atributu altSecurityIdentities . Če želite uporabniku na primer dodati preslikavo X509IssuerSerialNumber, poiščite polji »Izdajatelj« in »Serijska številka« potrdila, ki ga želite preslikati uporabniku. Oglejte si spodnji vzorčni rezultat.

  • Izdajatelj: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC0000000012

Nato posodobite atribut altSecurityIdentities uporabnika v imeniku Active Directory z naslednjim nizom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC1100000002B"

Če želite posodobiti ta atribut s storitvijo Powershell, lahko uporabite spodnji ukaz. Upoštevajte, da imajo za posodobitev tega atributa privzeto dovoljenje le skrbniki domen.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Upoštevajte, da morate pri negativu SerialNumber obdržati bajtni vrstni red. To pomeni, da bi ponovitev serialnumber "A1B2C3" morala povzročiti niz "C3B2A1" in ne "3C2B1A". Če želite več informacij, glejte HowTo: Preslikaj uporabnika v potrdilo z vsemi načini, ki so na voljo v atributu altSecurityIdentities.

Časovnica za posodobitve sistema Windows

Pomembno Faza omogočanja se začne s posodobitvami za Sistem Windows z dne 11. aprila 2023, kar prezre nastavitev registrskega ključa onemogočenega načina. 

Ko namestite posodobitve sistema Windows z dne 10. maja 2022, bodo naprave v združljivostnem načinu. Če je potrdilo mogoče močno preslikati uporabniku, bo prišlo do preverjanja pristnosti po pričakovanjih. Če je potrdilo mogoče šibko preslikati le uporabniku, bo preverjanje pristnosti izvedeno v skladu s pričakovanji. Vendar pa bo opozorilno sporočilo zabeleženo, razen če je potrdilo starejše od uporabnika. Če je potrdilo starejše od uporabnika in registrski ključ za varnostno kopiranje potrdil ni prisoten ali pa je obseg zunaj nadomestila za varnostno kopiranje, preverjanje pristnosti ne bo uspelo in sporočilo o napaki bo zabeleženo.  Če je registrski ključ za varnostno kopiranje potrdil konfiguriran, bo v dnevnik dogodkov zabeleženo opozorilno sporočilo, če datumi padejo v nadomestilo za varnostno kopiranje.

Ko namestite posodobitve sistema Windows z dne 10. maja 2022, bodite pozorni na opozorilo, ki se lahko prikaže po mesecu ali več. Če ni opozoril, priporočamo, da v vseh krmilnikih domene omogočite način popolnega uveljavljanja s preverjanjem pristnosti, ki temelji na potrdilu. Z registrskem ključem KDC lahko omogočite način popolnega uveljavljanja.

Če z registrskim ključem StrongCertificateBindingEnforcement prej ne posodobite v način nadzora ali način uveljavljanja, se krmilniki domene premaknejo v način popolnega uveljavljanja, ko je nameščena varnostna posodobitev sistema Windows iz februarja 2025. Preverjanje pristnosti bo zavrnjeno, če potrdila ni mogoče močno preslikati. Možnost za vrnitev v združljivostni način bo ostala do septembra 2025. Po tem datumu registrski ključ StrongCertificateBindingEnforcement ne bo več podprt

Če preverjanje pristnosti, ki temelji na potrdilu, temelji na šibki preslikavi, ki je ni mogoče premakniti iz okolja, lahko krmilnike domene postavite v način »Onemogočeno« z nastavitvijo registrskega ključa. Microsoft tega ne priporoča in način »Onemogočeno« bomo odstranili 11. aprila 2023.

Ko namestite posodobitve sistema Windows z dne 13. februarja 2024 ali novejše v strežniku Server 2019 in novejših različicah ter podprte odjemalce, v katerih je nameščena izbirna funkcija RSAT, bo preslikava potrdila v računalnikih imenika Active Directory & Računalnike privzeto izbrali močno preslikavo z uporabo X509IssuerSerialNumber namesto šibke preslikave z uporabo funkcije X509IssuerSubject. Nastavitev lahko še vedno spremenite po želji.

Odpravljanje težav

  • Z dnevnikom delovanja Kerberos v zadevnem računalniku določite, kateri krmilnik domene ne uspe pri vpisu. Pojdite na Pregledovalnik dogodkov > dnevnike aplikacij in storitev\Microsoft \Windows\Security-Kerberos\Operational.

  • Poiščite ustrezne dogodke v dnevniku sistemskih dogodkov v krmilniku domene, s katero poskuša račun preveriti pristnost.

  • Če je potrdilo starejše od računa, znova pridobite potrdilo ali v račun dodajte varno preslikavo altSecurityIdentities (glejte Preslikave potrdil).

  • Če je v potrdilu razširitev SID, preverite, ali se SID ujema z računom.

  • Če se potrdilo uporablja za preverjanje pristnosti več različnih računov, mora vsak račun imeti ločeno preslikavo altSecurityIdentities .

  • Če potrdilo nima varne preslikave v račun, dodajte eno domeno ali jo pustite v združljivostnem načinu, dokler je ni mogoče dodati.

Primer preslikave potrdila TLS je uporaba intranetne spletne aplikacije IIS.

  • Po namestitvi zaščite CVE-2022-26391 in CVE-2022-26923 ti scenariji privzeto uporabljajo protokol Kerberos Certificate Service for User (S4U) za preslikavo potrdil in preverjanje pristnosti.

  • V protokolu Kerberos Certificate S4U se zahteva za preverjanje pristnosti pretaka iz strežnika aplikacije v krmilnik domene in ne iz odjemalca v krmilnik domene. Zato bodo ustrezni dogodki v strežniku aplikacije.

Informacije o registrskem ključu

Ko namestite zaščito CVE-2022-26931 in CVE-2022-26923 v posodobitvah sistema Windows, ki so bile izdane med 10. majem 2022 in 10. septembrom 2025 ali novejšo različico, so na voljo spodnji registrski ključi.

Ta registrski ključ ne bo podprt po namestitvi posodobitev za Windows, izdanih septembra 2025 ali po tem.

Pomembno

Uporaba tega registrskega ključa je začasna rešitev za okolja, ki ga zahtevajo, in jo je treba izvesti previdno. Uporaba tega registrskega ključa pomeni to za vaše okolje:

  • Ta registrski ključ deluje le v združljivostnem načinu in se začne s posodobitvami, izdanimi 10. maja 2022.

  • Ta registrski ključ ne bo podprt po namestitvi posodobitev za Windows, ki so bile izdane 10. septembra 2025.

  • Zaznavanje in preverjanje razširitev SID, ki ju uporablja močno uveljavljanje vpenjanje potrdil, je odvisno od registrskega ključa KDC UseSubjectAltName vrednosti. Pripona SID bo uporabljena, če vrednost registra ne obstaja ali če je vrednost nastavljena na vrednost 0x1. Pripona SID ne bo uporabljena, če obstaja UseSubjectAltName in je vrednost nastavljena na 0x0.

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value (Vrednost)

StrongCertificateBindingEnforcement

Vrsta podatkov

REG_DWORD

Podatki

1 – Preveri, ali je na voljo zapletena preslikava potrdil. Če je tako, je dovoljeno preverjanje pristnosti. V nasprotnem primeru KDC preveri, ali ima potrdilo novo razširitev SID, in ga preveri. Če ta razširitev ni na voljo, je preverjanje pristnosti dovoljeno, če uporabniški račun preda potrdilo.

2 – Preveri, ali je na voljo zapletena preslikava potrdil. Če je tako, je dovoljeno preverjanje pristnosti. V nasprotnem primeru KDC preveri, ali ima potrdilo novo razširitev SID, in ga preveri. Če te razširitve ni, je preverjanje pristnosti zavrnjeno.

0 – Onemogoči močno preverjanje preslikave potrdil. Ni priporočljivo, ker s tem onemogočite vse varnostne izboljšave.

Če nastavite to vrednost na 0, morate nastaviti tudi certificateMappingMethods na 0x1F, kot je opisano v spodnjem razdelku Registrski ključ Schannel, da omogočite preverjanje pristnosti na osnovi potrdil računalnika..

Ali je vnovični zagon obvezen?

Ne

Ko strežniška aplikacija zahteva preverjanje pristnosti odjemalca, Schannel samodejno poskuša preslikati potrdilo, ki ga odjemalec TLS pošlje v uporabniški račun. Uporabnike, ki se vpišete z odjemalskim potrdilom, lahko preverite tako, da ustvarite preslikave, ki podatke o potrdilu povezujejo z uporabniškim računom sistema Windows. Ko ustvarite in omogočite preslikavo potrdila, bo vaš strežniški program vsakič, ko odjemalec predstavi odjemalsko potrdilo, tega uporabnika samodejno povezal z ustreznim uporabniškim računom sistema Windows.

Schannel bo poskusil preslikati vsak način preslikave potrdila, ki ste ga omogočili, dokler ne uspe. Schannel poskuša najprej preslikati preslikave storitve za uporabnika v self (S4U2Self). Preslikave potrdil osebe/izdajatelja, izdajatelja in upn., so zdaj obravnavane kot šibke in so privzeto onemogočene. Bitna vsota izbranih možnosti določa seznam načinov preslikave potrdil, ki so na voljo.

Privzeti registrski ključ SChannel je bil 0x1F in je zdaj 0x18. Če pride do napak pri preverjanju pristnosti v strežniških aplikacijah s kanalom, vam priporočamo, da izvedete preskus. Dodajte ali spremenite vrednost registrskega ključa CertificateMappingMethods v krmilniku domene in ga nastavite na 0x1F in preverite, ali ste odpravili težavo. Če želite več informacij, v dnevnikih sistemskih dogodkov v krmilniku domene poiščite morebitne napake, navedene v tem članku. Imejte v mislih, da bo sprememba vrednosti registrskega ključa SChannel nazaj na prejšnjo privzeto vrednost (0x1F) povrnjena na uporabo šibkih načinov preslikave potrdila.

Registrski podključ

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Value (Vrednost)

CertificateMappingMethods

Vrsta podatkov

DWORD

Podatki

0x0001 – preslikava potrdila osebe/izdajatelja (šibko – privzeto onemogočeno)

0x0002 – preslikava potrdila izdajatelja (šibko – privzeto onemogočeno)

0x0004 – preslikava potrdila UPN (šibko – privzeto onemogočeno)

0x0008 – S4U2Seoči preslikava potrdila (močna)

0x0010 – S4U2Se samo eksplicitna preslikava potrdil (strong)

Ali je vnovični zagon obvezen?

Ne

Če želite dodatne vire in podporo, glejte razdelek »Dodatni viri«.

Ko namestite posodobitve z naslovom CVE-2022-26931 in CVE-2022-26923, preverjanje pristnosti morda ne uspe v primerih, ko so uporabniška potrdila starejša od časa ustvarjanja uporabnikov. Ta registrski ključ omogoča uspešno preverjanje pristnosti, ko uporabljate šibke preslikave potrdil v svojem okolju, čas potrdila pa je pred časom ustvarjanja uporabnika v nastavljenem obsegu. Ta registrski ključ ne vpliva na uporabnike ali računalnike z močnimi preslikavami potrdil, saj čas in čas ustvarjanja potrdila pri zapletenih preslikavah potrdil niso potrjeni. Ta registrski ključ nima nobenega učinka, če je vrednost StrongCertificateBindingEnforcement nastavljena na 2.

Uporaba tega registrskega ključa je začasna rešitev za okolja, ki ga zahtevajo, in jo je treba izvesti previdno. Uporaba tega registrskega ključa pomeni to za vaše okolje:

  • Ta registrski ključ deluje le v združljivostnem načinu in se začne s posodobitvami, izdanimi 10. maja 2022. Preverjanje pristnosti bo dovoljeno v okviru zaodrju kompenzacije, vendar bo za šibko vezavo zabeleženo opozorilo v dnevniku dogodkov.

  • Omogočanje tega registrskega ključa omogoča preverjanje pristnosti uporabnika, ko je čas potrdila pred časom ustvarjanja uporabnika v nastavljenem obsegu kot šibko preslikavo. Šibke preslikave ne bodo podprte po namestitvi posodobitev za Windows, izdanih septembra 2025 ali po tem.

Registrski podključ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Value (Vrednost)

CertificateBackdatingCompensation

Vrsta podatkov

REG_DWORD

Podatki

Vrednosti za nadomestno rešitev v približnih letih:

  • 50 let: 0x5E0C89C0

  • 25 let: 0x2EFE0780

  • 10 let: 0x12CC0300

  • 5 let: 0x9660180

  • 3 leta: 0x5A39A80

  • 1 leto: 0x1E13380

Opomba Če poznate življenjsko dobo potrdil v svojem okolju, nastavite ta registrski ključ na nekoliko dlje kot življenjska doba potrdila.  Če ne poznate življenjske dobe potrdila za svoje okolje, nastavite ta registrski ključ na 50 let. Privzeto je nastavljeno na 10 minut, če ta ključ ni na voljo, kar se ujema s storitvami ADCS (Active Directory Certificate Services). Največja vrednost je 50 let (0x5E0C89C0).

S tem ključem nastavite časovno razliko v sekundah, ki jo središče za porazdelitev ključa (KDC) prezre med časom izdaje potrdila za preverjanje pristnosti in časom nastanka računa za račune uporabnikov/računalnikov.

Pomembno Ta registrski ključ nastavite le, če to zahteva vaše okolje. Uporaba tega registrskega ključa onemogoča varnostno preverjanje.

Ali je vnovični zagon obvezen?

Ne

Overitelji potrdil podjetja

Overitelji potrdil podjetja bodo začeli dodajati novo ne kritično razširitev z identifikatorjem predmeta (OID) (1.3.6.1.4.1.311.25.2) privzeto v vsa potrdila, izdana za spletne predloge, potem ko namestite posodobitev sistema Windows z dne 10. maja 2022. Dodajanje te razširitve lahko ustavite tako, da nastavite 0x00080000 v vrednosti zastavice msPKI-Enrollment-Flag ustrezne predloge.

Zaženite ta ukaz certutil , da izključite potrdila uporabniške predloge iz pridobivanje nove razširitve.

  1. Vpišite se v strežnik overitelja digitalnih potrdil ali v odjemalca, Windows 10 pridružen domeni, s skrbnikom podjetja ali enakovrednimi poverilnicami.

  2. Odprite ukazni poziv in izberite Zaženi kot skrbnik.

  3. Zaženite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Če onemogočite dodajanje te razširitve, boste odstranili zaščito, ki jo zagotavlja nova razširitev. To lahko naredite le po enem od teh dejanj:

  1. Potrdite, da ustrezna potrdila niso sprejemljiva za šifriranje javnega ključa za začetno preverjanje pristnosti (PKINIT) v preverjanje pristnosti protokola Kerberos pri KDC-ju

  2. Ustrezna potrdila imajo konfigurirane druge zapletene preslikave potrdil

Okolja z uvedbami, ki niso Microsoftova overilja digitalnih potrdil, ne bodo zaščitena z novo razširitvijo SID po namestitvi posodobitve sistema Windows z dne 10. maja 2022. Prizadete stranke morajo to težavo odpraviti z ustreznimi prodajalci overitelja digitalnih potrdil, lahko pa razmislijo o uporabi drugih zapletenih preslikav potrdil, ki so opisane zgoraj.

Če želite dodatne vire in podporo, glejte razdelek »Dodatni viri«.

Pogosta vprašanja

Ne, podaljšanje ni potrebno. Overilnik digitalnih potrdil bo na voljo v združljivostnem načinu. Če želite močno preslikavo uporabiti s pripono ObjectSID, boste potrebovali novo potrdilo.

V posodobitvi sistema Windows z dne 11. februarja 2025 bodo naprave, ki še niso v uveljavitve (vrednost registra StrongCertificateBindingEnforcement nastavljena na 2), premaknjene na Uveljavitev. Če je preverjanje pristnosti zavrnjeno, boste videli ID dogodka 39 (ali ID dogodka 41 za Windows Server 2008 R2 SP1 in Windows Server 2008 SP2). Na tej stopnji boste lahko vrednost registrskega ključa nastavili nazaj na 1 (združljivostni način).

V posodobitvi sistema Windows z dne 10. septembra 2025 vrednost registra StrongCertificateBindingEnforcement ne bo več podprta. ​​​​​​​

Dodatni viri

Če želite več informacij o preslikavi potrdil odjemalca TLS, glejte te članke:

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.