Applies ToWindows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Service Pack 2 Windows Server 2016, all editions Windows Server, version 20H2, all editions Windows Server 2022 Windows Server 2019

Змінити дату

Опис

9/10/2024

Змінено опис режиму повного застосування в розділі "Хронометраж оновлень Windows", щоб відобразити нові дати. 11 лютого 2025 р. перемістить пристрої в режим примусового виконання, але залишить підтримку для повернення в режим сумісності. Повна підтримка розділів реєстру завершиться 10 вересня 2025 року.

7/5/2024

Додано відомості про розширення SID до розділу реєстру Центру розподілу ключів (KDC) у розділі "Відомості розділу реєстру".

10 жовтня 2023 р.

Додано інформацію про зміни за замовчуванням сильних зіставлень у розділі "Часова шкала для Windows Оновлення"

6/30/2023

Змінено дату в повноекранному режимі з 14 листопада 2023 року на 11 лютого 2025 року (раніше ці дати були вказані як 19 травня 2023 року до 14 листопада 2023 року).

1/26/2023

Змінено видалення неактивного режиму з 14 лютого 2023 року на 11 квітня 2023 р.

Зведення

CVE-2022-34691,CVE-2022-26931 і CVE-2022-26923 вирішують підвищення вразливості прав, яке може статися, коли Центр розподілення ключів Kerberos (KDC) обслуговуватиме запит автентифікації на основі сертифіката. До оновлення системи безпеки від 10 травня 2022 року автентифікація на основі сертифіката не припадає на знак долара ($) наприкінці імені комп'ютера. Це дозволило емулювати пов'язані сертифікати (спуфінгу) різними способами. Крім того, конфлікти між іменами учасників-користувачів (UPN) і sAMAccountName ввели інші вразливості емуляції (спуфінгу), які ми також вирішуємо з цим оновленням системи безпеки. 

Вжити заходів

Щоб захистити середовище, виконайте наведені нижче дії для автентифікації на основі сертифіката.

  1. Оновіть усі сервери, на яких запущено служби сертифікатів Active Directory та контролери домену Windows, для автентифікації на основі сертифікатів служби з оновленням від 10 травня 2022 р. (див. статтю Режим сумісності). Оновлення від 10 травня 2022 року забезпечить події аудиту , які визначають сертифікати, несумісні з режимом повного застосування.

  2. Якщо журнали подій аудиту не створюються на контролерах домену протягом одного місяця після інсталяції оновлення, увімкніть режим повного застосування на всіх контролерах домену. До 11 лютого 2025 року всі пристрої буде оновлено до режиму повного застосування. У цьому режимі, якщо сертифікат не відповідає критеріям надійного (безпечного) зіставлення (див. зіставлення сертифікатів), автентифікацію буде відмовлено. Однак параметр повернення до режиму сумісності залишиться до 10 вересня 2025 року.

Події аудиту

Оновлення Windows від 10 травня 2022 р. додає такі журнали подій.

Не вдалося знайти надійні зіставлення сертифікатів, і сертифікат не має розширення нового ідентифікатора безпеки (SID), яке може перевірити KDC.

Журнал подій

Система

Тип події

Попередження, якщо KDC перебуває в режимі сумісності

Помилка, якщо KDC перебуває в режимі примусового виконання

Джерело події

Kdcsvc

Ідентифікатор події

39

41 (для Windows Server 2008 R2 з пакетом оновлень 1 (SP1) і Windows Server 2008 з пакетом оновлень 2 (SP2)

Текст події

Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але його не вдалося зіставити з користувачем належним чином (наприклад, через явне зіставлення, зіставлення довіри ключа або SID). Такі сертифікати слід замінити або зіставити безпосередньо з користувачем через явне зіставлення. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2189925.

Користувач: <ім'я учасника>

Тема сертифіката: <ім'я суб'єкта в> сертифіката

Постачальник сертифіката: повне доменне ім'я (FQDN) постачальника <>

Серійний номер сертифіката: <серійний номер сертифіката>

Відбиток сертифіката: <відбиток сертифіката>

Сертифікат видано користувачу до того, як користувач існував у службі Active Directory, і не вдалося знайти надійне зіставлення. Ця подія записується, лише коли KDC перебуває в режимі сумісності.

Журнал подій

Система

Тип події

Помилка

Джерело події

Kdcsvc

Ідентифікатор події

40

48 (для Windows Server 2008 R2 SP1 і Windows Server 2008 SP2

Текст події

Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але його не вдалося зіставити з користувачем належним чином (наприклад, через явне зіставлення, зіставлення довіри ключа або SID). Сертифікат також передував користувачу, з якого він зіставився, тому його було відхилено. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2189925.

Користувач: <ім'я учасника>

Тема сертифіката: <ім'я суб'єкта в> сертифіката

Постачальник сертифіката:> FQDN постачальника <

Серійний номер сертифіката: <серійний номер сертифіката>

Відбиток сертифіката: <відбиток сертифіката>

Час видачі сертифіката: <FILETIME сертифіката>

Час створення облікового запису: <FILETIME основного об'єкта в AD>

SID, що міститься в новому розширенні сертифіката користувачів, не збігається з ідентифікатором SID користувачів, тобто сертифікат видано іншому користувачу.

Журнал подій

Система

Тип події

Помилка

Джерело події

Kdcsvc

Ідентифікатор події

41

49 (для Windows Server 2008 R2 з ПАКЕТом оновлень 1 (SP1) і Windows Server 2008 з пакетом оновлень 2 (SP2)

Текст події

Центр розподілу ключів (KDC) виявив сертифікат користувача, який був припустимим, але містив інший SID, ніж користувач, з яким він зіставив. Через це не вдалося виконати запит із залученням сертифіката. Докладні відомості див. в статті https://go.microsoft.cm/fwlink/?linkid=2189925.

Користувач: <ім'я учасника>

Sid користувача: <SID автентифікуючий основний>

Тема сертифіката: <ім'я суб'єкта в> сертифіката

Постачальник сертифіката:> FQDN постачальника <

Серійний номер сертифіката: <серійний номер сертифіката>

Відбиток сертифіката: <відбиток сертифіката>

Sid сертифіката: <SID знайдено в новому> розширення сертифіката

Зіставлення сертифікатів

Адміністратори домену можуть вручну зіставити сертифікати з користувачем в Active Directory за допомогою атрибута altSecurityIdentities об'єкта користувачів. Для цього атрибута є шість підтримуваних значень, три зіставлення вважаються слабкими (незахищеними), а інші – сильними. Загалом типи зіставлення вважаються сильними, якщо вони базуються на ідентифікаторах, які не можна використовувати повторно. Таким чином, усі типи зіставлення на основі імен користувачів і адрес електронної пошти вважаються слабкими.

Відображення

Приклад

Тип

Зауваження

X509IssuerSubject

"X509:<I>IssuerName<S>SubjectName"

Слабкий

X509SubjectOnly

"X509:<S>SubjectName"

Слабкий

X509RFC822

"X509:<RFC822>user@contoso.com"

Слабкий

Адреса електронної пошти

X509IssuerSerialNumber

"X509:<I>IssuerName<SR>1234567890"

Сильний

Рекомендовані

X509SKI

"X509:<SKI>123456789abcdef"

Сильний

X509SHA1PublicKey

"X509:<SHA1-PUKEY>123456789abcdef"

Сильний

Якщо клієнти не можуть повторно використовувати сертифікати з новим розширенням SID, радимо створити зіставлення вручну за допомогою одного з сильних зіставлень, описаних вище. Для цього додайте відповідний рядок зіставлення до атрибута altSecurityIdentities у службі Active Directory.

Примітка Деякі поля, як-от "Постачальник", "Тема" та "Серійний номер", відображаються у форматі "вперед". Цей формат потрібно змінити, якщо додати рядок зіставлення до атрибута altSecurityIdentities . Наприклад, щоб додати зіставлення X509IssuerSerialNumber для користувача, виконайте пошук у полях "Постачальник" і "Серійний номер" сертифіката, який потрібно зіставити з користувачем. Перегляньте зразок результатів нижче.

  • Постачальник: CN=CONTOSO-DC-CA, DC=contoso, DC=com

  • SerialNumber: 2B0000000011AC0000000012

Потім оновіть атрибут altSecurityIdentities користувача в Active Directory таким рядком:

  • "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"

Щоб оновити цей атрибут за допомогою Powershell, скористайтеся наведеною нижче командою. Пам'ятайте, що за замовчуванням лише адміністратори домену мають дозвіл на оновлення цього атрибута.

  • set-aduser "DomainUser" -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}

Зверніть увагу: у разі зворотного порядкового номеру потрібно зберегти байтовий порядок. Це означає, що скасування serialNumber "A1B2C3" має призвести до рядка "C3B2A1", а не "3C2B1A". Докладні відомості див. в статті Зіставлення користувача із сертифікатом за допомогою всіх методів, доступних в атрибуті altSecurityIdentities.

Часова шкала для оновлень Windows

Увага! Етап активації починається з оновлень Windows від 11 квітня 2023 року, які ігноруватимуть параметр розділу реєстру неактивного режиму. 

Після інсталяції оновлень Windows 10 травня 2022 р. пристрої будуть у режимі сумісності. Якщо сертифікат можна сильно зіставити з користувачем, автентифікація відбуватиметься належним чином. Якщо сертифікат можна зіставити лише з користувачем, автентифікація відбуватиметься належним чином. Проте повідомлення з попередженням буде записано, якщо сертифікат старіший за користувача. Якщо сертифікат старіший за користувача, а розділ реєстру backdating сертифіката відсутній або діапазон виходить за межі компенсації, автентифікація завершиться помилкою, і буде записано повідомлення про помилку.  Якщо налаштовано розділ реєстру backdating сертифіката, він зареєструє попередження в журналі подій, якщо дати припадають на зворотну компенсацію.

Після інсталяції оновлень Windows від 10 травня 2022 р. слідкуйте за будь-яким попередженням, яке може з'явитися через місяць або більше. Якщо попереджень немає, ми наполегливо радимо ввімкнути режим повного застосування на всіх контролерах домену за допомогою автентифікації на основі сертифікатів. Щоб увімкнути режим повного застосування, можна скористатися розділом реєстру KDC .

Якщо цей режим не оновлено раніше, усі пристрої буде оновлено до 11 лютого 2025 р. або пізніше. Якщо сертифікат не можна сильно зіставити, автентифікацію буде відмовлено. Можливість повернутися в режим сумісності залишиться до 10 вересня 2025 року. Після цієї дати значення реєстру StrongCertificateBindingEnforcement більше не підтримуватиметься.

Якщо автентифікація на основі сертифіката залежить від слабкого зіставлення, яке не можна перемістити з середовища, контролери домену можна розмістити в неактивному режимі за допомогою параметра розділу реєстру. Корпорація Майкрософт не рекомендує цього робити, і ми видалимо неактивний режим 11 квітня 2023 року.

Після інсталяції оновлень Windows від 13 лютого 2024 р. або пізніших версій на серверах Server 2019 і новіших і підтримуваних клієнтах з інстальованою додатковою функцією RSAT зіставлення сертифікатів у службі Active Directory Користувачі & Комп'ютери за замовчуванням вибиратимуть надійне зіставлення за допомогою X509IssuerSerialNumber замість слабкого зіставлення за допомогою X509IssuerSubject. Настройку можна змінити за бажанням.

Виправлення неполадок

  • Скористайтеся журналом Kerberos Operational на відповідному комп'ютері, щоб визначити, який контролер домену не вдається ввійти. Перейдіть до перегляд подій журнали програм і служб>\Microsoft \Windows\Security-Kerberos\Operational.

  • Знайдіть відповідні події в журналі системних подій на контролері домену, що обліковий запис намагається автентифікувати проти.

  • Якщо сертифікат старіший за обліковий запис, повторно визначте сертифікат або додайте безпечне зіставлення altSecurityIdentities з обліковим записом (див. статтю Зіставлення сертифікатів).

  • Якщо сертифікат містить розширення SID, переконайтеся, що SID відповідає обліковому запису.

  • Якщо сертифікат використовується для автентифікації кількох різних облікових записів, кожному обліковому запису знадобиться окреме зіставлення altSecurityIdentities .

  • Якщо сертифікат не має безпечного зіставлення з обліковим записом, додайте його або залиште в режимі сумісності, доки його не можна додати.

Приклад зіставлення сертифіката TLS – використання веб-застосунку інтрамережі IIS.

  • Після інсталяції засобів захисту CVE-2022-26391 і CVE-2022-26923 ці сценарії за замовчуванням використовують протокол Служби сертифікатів Kerberos для користувачів (S4U) для зіставлення сертифікатів і автентифікації.

  • У протоколі S4U сертифіката Kerberos запит автентифікації передається від сервера програми до контролера домену, а не від клієнта до контролера домену. Таким чином, відповідні події будуть на сервері програм.

Відомості розділу реєстру

Після інсталяції CVE-2022-26931 і CVE-2022-26923 в оновленнях Windows, випущених у період з 10 травня 2022 року по 10 вересня 2025 року або пізніше, доступні наведені нижче розділи реєстру.

У цьому розділі реєстру режим примусового застосування KDC змінюється на Вимкнуто, Режим сумісності або Режим повного застосування.

Важливо!

Використання цього розділу реєстру є тимчасовим вирішенням для середовищ, які вимагають його і повинні бути зроблені з обережністю. Використання цього розділу реєстру означає таке для вашого середовища:

  • Цей розділ реєстру працює лише в режимі сумісності, починаючи з оновлень, випущених 10 травня 2022 року.

  • Цей розділ реєстру не підтримується після інсталяції оновлень для Windows, випущених 10 вересня 2025 року.

  • Виявлення та перевірка розширення SID, що використовуються примусовим застосуванням зв'язування сертифікатів, залежить від значення розділу реєстру KDC UseSubjectAltName . Розширення SID використовуватиметься, якщо значення реєстру не існує, або якщо для цього значення встановлено значення 0x1. Розширення SID не використовуватиметься, якщо існує UseSubjectAltName, а для цього значення встановлено значення 0x0.

Підрозділ реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значення

StrongCertificateBindingEnforcement

Тип даних

REG_DWORD

Дані

1 – перевіряє, чи є надійне зіставлення сертифікатів. Якщо так, автентифікацію дозволено. В іншому разі KDC перевірить наявність нового розширення SID і перевірить його. Якщо це розширення відсутнє, автентифікацію дозволено, якщо обліковий запис користувача передує сертифікату.

2 . Перевіряє наявність надійного зіставлення сертифікатів. Якщо так, автентифікацію дозволено. В іншому разі KDC перевірить наявність нового розширення SID і перевірить його. Якщо це розширення відсутнє, автентифікацію заборонено.

0 – вимикає перевірку зіставлення сертифікатів. Не рекомендовано, оскільки це призведе до вимкнення всіх покращень безпеки.

Якщо для цього параметра встановлено значення 0, потрібно також установити для параметра CertificateMappingMethods значення 0x1F, як описано в розділі розділу реєстру Schannel нижче, щоб автентифікація на основі сертифікатів комп'ютера була успішною.

Потрібне перезавантаження?

Ні

Коли серверна програма вимагає автентифікації клієнта, Schannel автоматично намагається зіставити сертифікат, який клієнт TLS надає обліковому запису користувача. Ви можете автентифікувати користувачів, які ввійшли за допомогою сертифіката клієнта, створивши зіставлення, які пов'язують відомості про сертифікат з обліковим записом користувача Windows. Після створення та ввімкнення зіставлення сертифікатів щоразу, коли клієнт презентує сертифікат клієнта, серверна програма автоматично пов'язує цього користувача з відповідним обліковим записом користувача Windows.

Schannel спробує зіставити кожен метод зіставлення сертифікатів, який ви ввімкнули, доки не вдасться виконати зіставлення сертифікатів. Schannel намагається спочатку зіставити зіставлення Service-For-User-To-Self (S4U2Self). Зіставлення сертифікатів Subject/Issuer, Issuer і UPN тепер вважаються слабкими, тому їх вимкнуто за замовчуванням. Сума вибраних параметрів із бітової маски визначає список доступних методів зіставлення сертифікатів.

Розділ реєстру SChannel за промовчанням 0x1F і тепер 0x18. Якщо у вас виникають помилки автентифікації в серверних програмах на основі Schannel, радимо виконати перевірку. Додайте або змініть значення розділу реєстру CertificateMappingMethods на контролері домену та встановіть для нього значення 0x1F і подивіться, чи вирішено це питання. Щоб отримати додаткові відомості, перегляньте журнали системних подій на контролері домену, щоб переглянути всі помилки, наведені в цій статті. Пам'ятайте, що змінення значення розділу реєстру SChannel назад до попереднього значення за промовчанням (0x1F) повернеться до використання слабких методів зіставлення сертифікатів.

Підрозділ реєстру

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Значення

Сертифікатидопоможніmethods

Тип даних

DWORD

Дані

0x0001 – зіставлення сертифіката суб'єкта або постачальника (слабке – вимкнуто за замовчуванням)

0x0002 – зіставлення сертифіката постачальника (слабкий – вимкнуто за замовчуванням)

0x0004 – зіставлення сертифікатів UPN (слабке – вимкнуто за замовчуванням)

0x0008 – S4U2 Зіставлення сертифіката для себе (сильне)

0x0010 – S4U2Викорисне зіставлення сертифіката (сильне)

Потрібне перезавантаження?

Ні

Додаткові ресурси та підтримка див. в розділі "Додаткові ресурси".

Після інсталяції оновлень, адрес яких CVE-2022-26931 і CVE-2022-26923, автентифікація може не вдатися у випадках, коли сертифікати користувача старіші за час створення користувачів. Цей розділ реєстру дозволяє успішну автентифікацію, якщо використовуються слабкі зіставлення сертифікатів у вашому середовищі, а час сертифіката передує часу створення користувача в межах указаного діапазону. Цей розділ реєстру не впливає на користувачів або комп'ютери з сильними зіставленнями сертифікатів, оскільки час створення сертифіката та час створення користувача не перевіряються за допомогою надійних зіставлень сертифікатів. Цей розділ реєстру не має ніякого ефекту, якщо для параметра StrongCertificateBindingEnforcement установлено значення 2.

Використання цього розділу реєстру є тимчасовим вирішенням для середовищ, які вимагають його і повинні бути зроблені з обережністю. Використання цього розділу реєстру означає таке для вашого середовища:

  • Цей розділ реєстру працює лише в режимі сумісності, починаючи з оновлень, випущених 10 травня 2022 року. Автентифікацію буде дозволено в межах зсуву компенсації серверів, але попередження журналу подій буде записано для слабкого прив'язування.

  • Увімкнення цього розділу реєстру дозволяє автентифікацію користувача, коли час створення сертифіката передує часу створення користувача в межах заданого діапазону як слабке зіставлення. Слабкі зіставлення будуть непідтримувані після інсталяції оновлень для Windows, випущених 10 вересня 2025 року.

Підрозділ реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Значення

Відхилення сертифіката: компенсація

Тип даних

REG_DWORD

Дані

Значення для тимчасового вирішення у приблизні роки:

  • 50 років: 0x5E0C89C0

  • 25 років: 0x2EFE0780

  • 10 років: 0x12CC0300

  • 5 років: 0x9660180

  • 3 роки: 0x5A39A80

  • 1 рік: 0x1E13380

Нотатка Якщо ви знаєте термін служби сертифікатів у вашому середовищі, установіть для цього розділу реєстру трохи довше, ніж термін служби сертифіката.  Якщо ви не знаєте терміни служби сертифікатів для свого середовища, установіть для цього розділу реєстру значення 50 років. За замовчуванням 10 хвилин, коли цей ключ відсутній, що відповідає службам сертифікатів Active Directory (ADCS). Максимальне значення – 50 років (0x5E0C89C0).

Цей ключ визначає різницю часу (у секундах), яку Центр розподілу ключів (KDC) ігноруватиме між часом випуску сертифіката автентифікації та часом створення облікового запису для облікових записів користувача або комп'ютера.

Увага! Установіть цей розділ реєстру, лише якщо це необхідно для вашого середовища. За допомогою цього розділу реєстру вимкнуто перевірку безпеки.

Потрібне перезавантаження?

Ні

Корпоративні центри сертифікації

Enterprise Certificate Authorities (CA) почне додавати нове некритите розширення з ідентифікатором об'єкта (OID) (1.3.6.1.4.1.311.25.2) за замовчуванням у всіх сертифікатах, виданих для онлайнових шаблонів після інсталяції оновлення Windows 10 травня 2022 року. Ви можете зупинити додавання цього розширення, установивши 0x00080000 біт у значенні msPKI-Enrollment-Flag відповідного шаблону.

Виконайте наведену нижче команду certutil , щоб виключити сертифікати користувача шаблону з отримання нового розширення.

  1. Увійдіть на сервер центру сертифікації або Windows 10 клієнта, підключеного до домену, за допомогою адміністратора підприємства або еквівалентних облікових даних.

  2. Відкрийте командний рядок і виберіть команду Запустити з правами адміністратора.

  3. Запустіть certutil -dstemplate користувача msPKI-Enrollment-Flag +0x00080000. 

Якщо вимкнути додавання цього розширення, захист, наданий новим розширенням, буде видалено. Радимо робити це лише після однієї з таких дій:

  1. Переконайтеся, що відповідні сертифікати неприйнятні для шифрування відкритого ключа для початкової автентифікації (PKINIT) протоколу Kerberos автентифікації на KDC

  2. Для відповідних сертифікатів настроєно інші надійні зіставлення сертифікатів

Середовища, які не належать до microsoft CA розгортання не буде захищено за допомогою нового розширення SID після інсталяції оновлення Windows 10 травня 2022 р. Уражені клієнти мають працювати з відповідними постачальниками центру сертифікації, щоб вирішити цю проблему, або розглянути можливість використання інших надійних зіставлень сертифікатів, описаних вище.

Додаткові ресурси та підтримка див. в розділі "Додаткові ресурси".

Запитання й відповіді

Ні, поновлення не обов'язкове. Ca буде доставлено в режимі сумісності. Якщо ви хочете отримати надійне зіставлення з використанням розширення ObjectSID, знадобиться новий сертифікат.

В оновленні Windows від 11 лютого 2025 р. пристрої, які ще не використовуються (значення реєстру StrongCertificateBindingEnforcement установлено на 2), буде переміщено до параметра Примусове виконання. Якщо автентифікацію заборонено, відобразиться подія з ідентифікатором 39 (або ідентифікатор події 41 для Windows Server 2008 R2 з SP1 і Windows Server 2008 SP2). На цьому етапі можна встановити значення розділу реєстру 1 (режим сумісності).

В оновленні Windows від 10 вересня 2025 р. значення реєстру StrongCertificateBindingEnforcement більше не підтримуватиметься. ​​​​​​​

Додаткові ресурси

Докладні відомості про зіставлення сертифіката клієнта TLS див. в таких статтях:

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.