Innehållsförteckning
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
...
Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
Bakgrund
I och med Windowsuppdateringen KB5014011 eller KB5013952 som släpptes den Den släppte Microsoft ett antal säkerhetsuppdateringar som införde Microsoft ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).
...
Förändringen kommer att bli obligatorisk senast 9 maj 2023, men är frivillig fram tills dess, se KB5014754 för mer information från Microsoft om konsekvenser av denna säkerhetsuppdatering.
Observera |
---|
OBS! Om användarens konto i AD är nyare än datumet så SITHS-certifikatet utfärdades kommer användaren att Användaren kan få problem med inloggning redan när uppdateringen installeras efter 10 maj 2022, se avsnittet Övergångslösningar nedan. |
...
Vi utreder möjligheten att lägga till den ”Object SID” (OID) som Microsoft pekar på i sin dokumentation för certifikat som utfärdas i framtiden.
Påverkade uppdatering (KB’s)
För information om vilka uppdateringar på olika operativsystem som innehåller denna ändring, se följande länkar:
Övergångslösningar
Ankare | ||||
---|---|---|---|---|
|
I vissa lägen kan inloggning sluta fungera direkt uppdateringen KB5014011 eller KB5013952 installeras. Microsoft har därför också beskrivit ett antal tillfälliga åtgärder under rubriken “Registernyckelinformation” på sidan KB5014754 som kan användas som övergångslösningar fram tills:
...
Innehållet i attributet ska vara:
X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning
Dvs.
X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01
Utgivande CA
Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
01772941ce29b3ec999d657f0e0174
Ska bli
74010e7f659d99ecb329ce41297701