Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Promeni datum

Opis

10/24/2024

Ažurirani tekst radi jasnoće u 2. koraku odeljka "Preduzimanje radnje", u opisu "Režim potpune sprovođenja" odeljka "Ispravke vremenske ose za Windows" i korigovane su informacije o datumu ključa registratora "Ključni centar za distribuciju (KDC)" i teme "Rezervna verzija ključa registratora" u odeljku "Informacije o ključu registratora".

9/10/2024

Promenjen je opis režima potpune primene u odeljku "Podešavanje vremena za Windows ispravke" tako da odražava nove datume. 11. februar 2025. će premestiti uređaje u režim sprovođenja, ali će ostaviti podršku da se vrati u režim kompatibilnosti. Puna podrška za ključ registratora završiće se 10. septembra 2025.

7/5/2024

Dodate su informacije o PROŠIRENJU SID proširenja ključu centra za distribuciju (KDC) u odeljku "Informacije o ključu registratora".

10/10/2023

Dodate su informacije o podrazumevanim promenama jakih mapiranja u okviru "Vremenska osa za Windows Novosti"

6/30/2023

Datum promene punog režima sprovođenja sa 14. novembra 2023. na 11. februar 2025. (ti datumi su prethodno navedeni kao 19. maj 2023. do 14. novembra 2023. godine).

1/26/2023

Promenjeno uklanjanje onemogućenog režima sa 14. februara 2023. na 11. april 2023.

Rezime

CVE-2022-34691,CVE-2022-26931 i CVE-2022-26923 adresirajte na podizanje ranjivosti privilegija do kojeg može doći kada Kerberos key Distribution Center (KDC) pruža zahtev za potvrdu identiteta zasnovan na certifikatu. Pre bezbednosne ispravke od 10. maja 2022. godine, potvrda identiteta zasnovana na certifikatu neće imati znak dolara ($) na kraju imena mašine. Ovo je dozvolilo da srodni certifikati budu emulirani (prevareni) na različite načine. Pored toga, neusaglašenosti između glavnih korisničkih imena (UPN) i SAMAccountName uvele su druge ranjivosti emulacije (lažnog predstavljanja) na koje se odnosimo i pomoću ove bezbednosne ispravke. 

Aktivirajte se

Da biste zaštitili okruženje, dovršite sledeće korake za potvrdu identiteta zasnovanu na certifikatu:

  1. Ažurirajte sve servere koji pokreću Usluge certifikata aktivnog direktorijuma i Windows kontrolere domena da bi potvrda identiteta zasnovana na certifikatima usluge izvršila ispravkom od 10. maja 2022. (pogledajte režim kompatibilnosti). Ispravka od 10. maja 2022. će obezbediti događaje nadzora koji identifikuju certifikate koji nisu kompatibilni sa režimom potpune primene.

  2. Ako se na kontrolerima domena ne kreira nijedna evidencija događaja nadzora mesec dana nakon instaliranja ispravke, nastavite sa omogućavanjem režima potpune primene na svim kontrolama domena. Do februara 2025. ako ključ registratora StrongCertificateBindingEnforcemennije konfigurisan, kontrolori domena će preći u režim potpune primene. U suprotnom, postavka režima kompatibilnosti ključeva registratora će i dalje biti poštovana. U režimu potpune sprovođenja, ako certifikat ne uspe da ispuni jake (bezbedne) kriterijume mapiranja (pogledajte mapiranja certifikata), potvrda identiteta će biti odbijena. Međutim, opcija za povratak u režim kompatibilnosti ostaće do septembra 2025. ​​​​​​​

Događaji nadzora

Windows ispravka od 10. maja 2022. dodaje sledeće evidencije događaja.

Nije bilo moguće pronaći snažna mapiranja certifikata, a certifikat nema novu oznaku tipa bezbednosnog identifikatora (SID) za koju KDC može da proveri valjanost.

Evidencija događaja

Sistem

Tip događaja

Upozorenje ako je KDC u režimu kompatibilnosti

Greška ako je KDC u režimu sprovođenja

Izvor događaja

Kdcsvc

ID događaja

39

41 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za ključnu distribuciju (KDC) je naišao na važeći korisnički certifikat, ali ga nije moguće mapirati na jak način (na primer putem eksplicitnog mapiranja, mapiranja ključne pouzdanosti ili SID-a). Takvi certifikati treba da se zamene ili mapiraju direktno korisniku putem eksplicitnog mapiranja. Pogledajte https://go.microsoft.com/fwlink/?linkid=2189925 biste saznali više.

Korisnik: <imena>

Tema certifikata: <ime teme u odeljku>

Izdavalac certifikata: <potpuno određeno ime domena (FQDN)>

Serijski broj certifikata: <serijski broj>

Otisak certifikata: <otisak certifikata>

Certifikat je izdat korisniku pre nego što je korisnik postojao u aktivnom direktorijumu i nije bilo moguće pronaći čvrsto mapiranje. Ovaj događaj se evidentira samo kada je KDC u režimu kompatibilnosti.

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Kdcsvc

ID događaja

40

48 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2

Tekst događaja

Centar za ključnu distribuciju (KDC) je naišao na važeći korisnički certifikat, ali ga nije moguće mapirati na jak način (na primer putem eksplicitnog mapiranja, mapiranja ključne pouzdanosti ili SID-a). Certifikat je takođe pretekao korisnika sa иime je mapiran, tako da je odbijen. Pogledajte https://go.microsoft.com/fwlink/?linkid=2189925 biste saznali više.

Korisnik: <imena>

Tema certifikata: <ime teme u odeljku>

Izdavalac certifikata: <FQDN>

Serijski broj certifikata: <serijski broj>

Otisak certifikata: <otisak certifikata>

Vreme izdavanja certifikata: <VREME DATOTEKE certifikata>

Vreme kreiranja naloga: <FILETIME glavnih objekata u AD>

SID koji sadrži novo proširenje certifikata korisnika ne podudara se sa SID-om korisnika, što znači da je certifikat izdat drugom korisniku.

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

Kdcsvc

ID događaja

41

49 (za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2)

Tekst događaja

Centar za ključnu distribuciju (KDC) je naišao na važeći korisnički certifikat, ali je sadržao drugačiji SID od korisnika sa kojim je mapiran. Kao rezultat toga, zahtev koji uključuje certifikat nije uspeo. Pogledajte https://go.microsoft.cm/fwlink/?linkid=2189925 biste saznali više.

Korisnik: <imena>

SID korisnika: <SID principala potvrde identiteta>

Tema certifikata: <ime teme u odeljku>

Izdavalac certifikata: <FQDN>

Serijski broj certifikata: <serijski broj>

Otisak certifikata: <otisak certifikata>

SID certifikata: <SID pronađen u novom>

Mapiranja certifikata

Administratori domena mogu ručno da mapnu certifikate sa korisnikom u usluzi Active Directory pomoću atributa altSecurityIdentities objekta korisnika. Postoji šest podržanih vrednosti za ovaj atribut, sa tri mapiranja koja se smatraju slabim (nebeznim), dok se druga tri smatraju jakim. Tipovi mapiranja se obično smatraju jakim ako su zasnovani na identifikatorima koje ne možete ponovo da koristite. Zbog toga se svi tipovi mapiranja zasnovani na korisničkim imenima i adresama e-pošte smatraju slabim.

Mapiranje

Primer

Tip

Napomene

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Slab

X509SubjectOnly

"X509:<S>SubjectName"

Slab

X509RFC822

"X509:<RFC822>user@contoso.com"

Slab

Adresa e-pošte

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Jak

Preporučuje se

X509SKI

"X509:<SKI>123456789abcdef"

Jak

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Jak

Ako klijenti ne mogu ponovo da koriste certifikate sa novim SID proširenjem, preporučujemo da ručno mapirate pomoću jednog od jakih mapiranja koje je opisano iznad. To možete da uradite tako što ćete dodati odgovarajuću nisku za mapiranje u atribut altSecurityIdentities korisnika u aktivnom direktorijumu.

Napomena Određena polja, kao što su izdalac, tema i serijski broj, prijavljaju se u formatu "prosleđivanje". Morate da opozivate ovaj format kada dodate nisku za mapiranje u atribut altSecurityIdentities . Na primer, da biste korisniku dodali X509IssuerSerialNumber mapiranje, pretražite polja "Izdavač" i "Serijski broj" certifikata koje želite da mapirate sa korisnikom. Pogledajte dolenavedeni uzorak rezultata.

  • Izdalac: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC000000012

Zatim ažurirajte atribut altSecurityIdentities korisnika u usluzi Active Directory sledećom niskom:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>120000000AC11000000002B"

Da biste ažurirali ovaj atribut pomoću programa Powershell, možete da koristite dolenavedenu komandu. Imajte na umu da samo administratori domena podrazumevano imaju dozvolu da ažuriraju ovaj atribut.

  • set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Imajte na umu da kada obrnete SerialNumber, morate zadržati redosled bajta. To znači da vraćanje funkcije SerialNumber "A1B2C3" treba da dovede do niske "C3B2A1 ", a ne "3C2B1A". Više informacija potražite u članku Kako Da: Mapiranje korisnika u certifikat putem svih metoda dostupnih u atributu altSecurityIdentities.

Vremenska osa za ispravke za Windows

Važno Faza omogućavanja počinje ispravkama za Windows od 11. aprila 2023. koje će zanemariti postavku ključa registratora onemogućenog režima. 

Kada instalirate ispravke za Windows od 10. maja 2022. godine, uređaji će biti u režimu kompatibilnosti. Ako se certifikat može strogo mapirati sa korisnikom, potvrda identiteta će se obavljati na očekivani način. Ako je samo korisniku moguće slabo mapirati certifikat, potvrda identiteta će se obavljati na očekivani način. Međutim, poruka upozorenja će biti evidentirana, osim ako je certifikat stariji od korisnika. Ako je certifikat stariji od korisnika i ključ registratora za pravljenje rezervne aktivacije certifikata nije prisutan ili je opseg izvan rezervne kompetencije, potvrda identiteta neće uspeti i poruka o grešci će biti evidentirana.  Ako je konfigurisan ključ registratora "Rezervna verzija certifikata", on će evidentovati poruku upozorenja u evidenciji događaja ako datumi budu u okviru rezervne kompeencije.

Kada instalirate ispravke za Windows od 10. maja 2022. godine, pogledajte sve poruke upozorenja koje se mogu pojaviti posle mesec dana ili više. Ako nema poruka upozorenja, preporučujemo da omogućite režim potpune primene na svim kontrolere domena pomoću potvrde identiteta zasnovane na certifikatu. Možete da koristite ključ KDC registratora da biste omogućili režim potpune primene.

Osim ako nije ažurirano u režim nadzora ili režim sprovođenja pomoću ključa registratora StrongCertificateBindingEnforcement ranije, kontrolori domena će se premestiti u režim potpune primene kada se instalira Windows bezbednosna ispravka iz februara 2025. Potvrda identiteta će biti odbijena ako nije moguće strogo mapirati certifikat. Opcija za povratak u režim kompatibilnosti ostaće do septembra 2025. Nakon ovog datuma, ključ registratora StrongCertificateBindingEnforcement više neće biti podržan

Ako se potvrda identiteta zasnovana na certifikatu oslanja na slabo mapiranje koje ne možete da premestite iz okruženja, kontrolere domena možete da postavite u onemogućeni režim pomoću postavke ključa registratora. Microsoft to ne preporučuje i uklonićemo onemogućeni režim 11. aprila 2023.

Kada instalirate ispravke za 13. februar 2024. ili novije verzije operativnog sistema Windows na serveru 2019 i novijim verzijama i podržanim klijentima sa instaliranom opcionalnom FUNKCIJOM RSAT, mapiranje certifikata u active Directory korisnicima & Računari podrazumevano biraju snažno mapiranje pomoću X509IssuerSerialNumber umesto slabog mapiranja pomoću X509IsuerSubject. Postavka se i dalje može menjati po želji.

Rešavanje problema

  • Koristite Kerberos operativnu evidenciju na relevantnom računaru da biste utvrdili koji kontroler domena ne uspeva da se prijavi. Idite na Prikazivač događaja > evidencije aplikacija i usluga\Microsoft \Windows\Security-Kerberos\Operational.

  • Potražite relevantne događaje u evidenciji sistemskih događaja na kontroleru domena protiv kojih nalog pokušava da izvrši potvrdu identiteta.

  • Ako je certifikat stariji od naloga, ponovo ga dodajte ili dodajte bezbedno mapiranje altSecurityIdentities na nalog (pogledajte članak Mapiranja certifikata).

  • Ako certifikat sadrži siD proširenje, proverite da li se SID podudara sa nalogom.

  • Ako se certifikat koristi za potvrdu identiteta nekoliko različitih naloga, svakom nalogu će biti potrebno posebno mapiranje altSecurityIdentities .

  • Ako certifikat nema bezbedno mapiranje naloga, dodajte ga ili napustite domen u režimu kompatibilnosti dok ga ne dodate.

Primer mapiranja TLS certifikata koristi IIS intranet veb aplikaciju.

  • Nakon instaliranja zaštita CVE-2022-26391 i CVE-2022-26923 , ti scenariji podrazumevano koriste protokol Kerberos usluga certifikata za korisnike (S4U) za mapiranje certifikata i potvrdu identiteta.

  • U protokolu Kerberos certificate S4U zahtev za potvrdu identiteta prelazi sa servera aplikacije na kontroler domena, a ne od klijenta do kontrolera domena. Stoga će relevantni događaji biti na serveru aplikacije.

Informacije o ključu registratora

Kada instalirate zaštitu CVE-2022-26931 i CVE-2022-26923 u ispravkama za Windows objavljenim između 10. maja 2022. i 10. septembra 2025. ili novijih, dostupni su sledeći ključevi registratora.

Ovaj ključ registratora neće biti podržan nakon instaliranja ispravki za Windows objavljenih u septembru 2025. ili posle septembra 2025.

Važno

Korišćenje ovog ključa registratora je privremeno zaobilazno rešenje za okruženja koja ga zahtevaju i moraju da se vrše oprezno. Korišćenje ovog ključa registratora znači sledeće za okruženje:

  • Ovaj ključ registratora funkcioniše samo u režimu kompatibilnosti, počevši od ispravki objavljenih 10. maja 2022. godine.

  • Ovaj ključ registratora neće biti podržan nakon instaliranja ispravki za Windows objavljenih 10. septembra 2025.

  • Otkrivanje i provera valjanosti SID proširenja koje koristi sprovođenje strogog povezivanja certifikata zavise od ključa registratora KDC UseSubjectAltName . Proširenje SID će se koristiti ako vrednost registratora ne postoji ili ako je vrednost postavljena na vrednost 0x1. Proširenje SID neće se koristiti ako postoji UseSubjectAltName, a vrednost je podešena na 0x0.

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

StrongCertificateBindingEnforcement

Tip podataka

REG_DWORD

Podaci

1 – Proverava da li postoji snažno mapiranje certifikata. Ako jeste, dozvoljena je potvrda identiteta. U suprotnom, KDC će proveriti da li certifikat ima novo SID proširenje i proveriti mu valjanost. Ako ovo proširenje nije prisutno, potvrda identiteta je dozvoljena ako korisnički nalog prethodi certifikatu.

2 – Proverava da li postoji snažno mapiranje certifikata. Ako jeste, dozvoljena je potvrda identiteta. U suprotnom, KDC će proveriti da li certifikat ima novo SID proširenje i proveriti mu valjanost. Ako ovo proširenje nije prisutno, potvrda identiteta je odbijena.

0 – Onemogućavanje jake provere mapiranja certifikata. Ne preporučuje se jer će to onemogućiti sva bezbednosna poboljšanja.

Ako podesite ovo na 0, morate da postavite i svojstvo CertificateMappingMethods na 0x1F kao što je opisano u dolenavedenom odeljku ključa registratora Schannel da bi potvrda identiteta zasnovana na certifikatu računara uspela..

Potrebno je ponovno pokretanje?

Ne

Kada aplikacija servera zahteva potvrdu identiteta klijenta, Šenel automatski pokušava da mapirate certifikat koji TLS klijent obezbeđuje na korisnički nalog. Možete da potvrdite identitet korisnika koji se prijave pomoću certifikata klijenta tako što ćete kreirati mapiranja koja su povezana sa informacijama o certifikatu sa Windows korisničkim nalogom. Kada kreirate i omogućite mapiranje certifikata, svaki put kada klijent izlaže certifikat klijenta, aplikacija servera automatski povezuje tog korisnika sa odgovarajućim Windows korisničkim nalogom.

Schannel će pokušati da mapira svaki metod mapiranja certifikata koji ste omogućili dok jedan ne uspe. Šannel prvo pokušava da mapira mapiranja Service-For-User-To-Self (S4U2Self). Mapiranja certifikata "Tema/izdavač", "Izdavač" i "UPN" sada se smatraju slabim i podrazumevano su onemogućena. Rasterani zbir izabranih opcija određuje listu dostupnih metoda mapiranja certifikata.

Podrazumevani ključ registratora SChannel je 0x1F i sada se 0x18. Ako naiđete na greške pri potvrdi identiteta u aplikacijama servera zasnovanim na Šenelu, predlažemo da izvršite test. Dodajte ili izmenite vrednost ključa registratora CertificateMappingMethods na kontroler domena i podesite je na 0x1F i vidite da li to rešava problem. Više informacija potražite u evidencijama događaja sistema na kontroleru domena za sve greške navedene u ovom članku. Imajte na umu da će promena vrednosti ključa SChannel registratora na prethodnu podrazumevanu vrednost (0x1F) vratiti na korišćenje slabih metoda mapiranja certifikata.

Potključ registratora

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Vrednost

Mape certifikata

Tip podataka

DWORD

Podaci

0x0001 – Mapiranje certifikata teme/izdavača (slabo – podrazumevano onemogućeno)

0x0002 – Mapiranje certifikata izdavača (slabo – podrazumevano onemogućeno)

0x0004 – UPN mapiranje certifikata (slabo – podrazumevano onemogućeno)

0x0008 – S4U2Self mapiranje certifikata (strogo)

0x0010 – S4U2Self eksplicitno mapiranje certifikata (strogo)

Potrebno je ponovno pokretanje?

Ne

Dodatne resurse i podršku potražite u odeljku "Dodatni resursi".

Kada instalirate ispravke sa adresom CVE-2022-26931 i CVE-2022-26923, potvrda identiteta može da ne uspe u slučajevima kada su korisnički certifikati stariji od vremena kreiranja korisnika. Ovaj ključ registratora omogućava uspešnu potvrdu identiteta kada koristite slaba mapiranja certifikata u okruženju, a vreme certifikata pre vremena kreiranja korisnika u okviru skupa opsega. Ovaj ključ registratora ne utiče na korisnike ili računare sa jakim mapiranjem certifikata jer se vreme kreiranja certifikata i vreme kreiranja korisnika ne proveravaju pomoću jakih mapiranja certifikata. Ovaj ključ registratora nema nikakvog efekta kada je StrongCertificateBindingEnforcement postavljen na 2.

Korišćenje ovog ključa registratora je privremeno zaobilazno rešenje za okruženja koja ga zahtevaju i moraju da se vrše oprezno. Korišćenje ovog ključa registratora znači sledeće za okruženje:

  • Ovaj ključ registratora funkcioniše samo u režimu kompatibilnosti , počevši od ispravki objavljenih 10. maja 2022. godine. Potvrda identiteta će biti dozvoljena u okviru potpornog pomaka kompetencije, ali će upozorenje evidencije događaja biti evidentirano radi slabog povezivanja.

  • Omogućavanje ovog ključa registratora omogućava potvrdu identiteta korisnika kada je vreme certifikata pre vremena kreiranja korisnika unutar skupa opsega kao slabo mapiranje. Slaba mapiranja neće biti podržana nakon instaliranja ispravki za Windows objavljenih u septembru 2025. ili posle septembra 2025.

Potključ registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Vrednost

CertificateBackdatingCompensation

Tip podataka

REG_DWORD

Podaci

Vrednosti za privremeno rešenje u približnim godinama:

  • 50 godina: 0x5E0C89C0

  • 25 godina: 0x2EFE0780

  • 10 godina: 0x12CC0300

  • 5 godina: 0x9660180

  • 3 godine: 0x5A39A80

  • 1 godina: 0x1E13380

Napomena Ako znate trajanje certifikata u okruženju, podesite ovaj ključ registratora na nešto duže od veka trajanja certifikata.  Ako ne znate vek trajanja certifikata za okruženje, podesite ovaj ključ registratora na 50 godina. Podrazumevano se koristi 10 minuta kada ovaj ključ nije prisutan, što se podudara sa uslugama certifikata aktivnog direktorijuma (ADCS). Maksimalna vrednost je 50 godina (0x5E0C89C0).

Ovaj ključ postavlja vremensku razliku u sekundama koju će Key Distribution Center (KDC) zanemariti između vremena izdavanja certifikata potvrde identiteta i vremena kreiranja naloga za korisničke/mašinske naloge.

Važno Podesite ovaj ključ registratora samo ako ga okruženje zahteva. Korišćenje ovog ključa registratora onemogućavanje bezbednosne provere.

Potrebno je ponovno pokretanje?

Ne

Autoriteti za izdavanje certifikata preduzeća

Enterprise Certificate Authorities (CA) će početi da dodaje novo nepokritično proširenje pomoću identifikatora objekta (OID) (1.3.6.1.4.1.311.25.2) u svim certifikatima izdatim protiv predložaka na mreži nakon instalacije ispravke za Windows od 10. maja 2022. Dodavanje ovog proširenja možete da zaustavite tako što ćete podesiti vrednost 0x00080000 bita u vrednosti msPKI-Enrollment-Flag odgovarajućeg predloška.

Pokrećete sledeću certutil komandu da biste izuzeli certifikate korisničkog predloška iz pribavljanja novog proširenja.

  1. Prijavite se na server autoriteta za izdavanje certifikata ili na klijenta pridruženog Windows 10 domena sa administratorom preduzeća ili sa jednakim akreditivema.

  2. Otvorite komandnu liniju i odaberite stavku Pokreni kao administrator.

  3. Pokrenite certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000. 

Onemogućavanje dodavanja ovog proširenja ukloniće zaštitu koju pruža novo proširenje. Razmislite o tome da ovo uradite samo posle jednog od sledećih koraka:

  1. Potvrđujete da odgovarajući certifikati nisu prihvatljivi za javnu kriptografiju za početnu potvrdu identiteta (PKINIT) u kerberos protokolu potvrde identiteta u KDC-u

  2. Odgovarajući certifikati imaju konfigurisana druga jaka mapiranja certifikata

Okruženja koja imaju primene koje nisu Microsoft CA neće biti zaštićena korišćenjem novog SID proširenja nakon instaliranja ispravke za Windows od 10. maja 2022. Ugroženi klijenti bi trebalo da rade sa odgovarajućim ca prodavcima da bi rešili ovaj problem ili bi trebalo da razmotrite korišćenje drugih snažnih mapiranja certifikata opisanih iznad.

Dodatne resurse i podršku potražite u odeljku "Dodatni resursi".

Najčešća pitanja

Ne, nije potrebno obnavljanje. Ca će se isporučiti u režimu kompatibilnosti. Ako želite snažno mapiranje pomoću proširenja ObjectSID, biće vam potreban novi certifikat.

U Windows ispravki od 11. februara 2025. godine uređaji koji već nisu u primeni (Vrednost registratora StrongCertificateBindingEnforcement postavljena je na 2) biće premešteni u Sprovođenje. Ako potvrda identiteta nije dozvoljena, videćete ID događaja 39 (ili ID događaja 41 za Windows Server 2008 R2 SP1 i Windows Server 2008 SP2). Imaćete opciju da u ovoj fazi vrednost ključa registratora vratite na 1 (režim kompatibilnosti).

U Windows ispravci od 10. septembra 2025. godine vrednost registratora StrongCertificateBindingEnforcement više neće biti podržana. ​​​​​​​

Dodatni resursi

Više informacija o mapiranju certifikata TLS klijenta potražite u sledećim člancima:

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.