Innehållsförteckning
| Expandera | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
|
...
I och med Windowsuppdateringen KB5014011 eller KB5013952 som släpptes den 10 maj 2022 införde Microsoft ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).
...
| Observera |
|---|
OBS! Om användarens konto i AD är nyare än datumet så SITHS-certifikatet utfärdades kommer användaren att få problem med inloggning redan när uppdateringen installeras efter 10 maj 2022, se avsnittet Övergångslösning nedan. |
Inera har med hjälp av VGR och Östergötland tagit fram följande instruktion för åtgärder i lokalt AD för att fortsatt kunna logga in till Windows med redan utfärdade SITHS-certifikat.
Vi utreder möjligheten att lägga till den ”Object SID” (OID) som Microsoft pekar på i sin dokumentation för certifikat som utfärdas i framtiden.
...
Övergångslösningar
| Ankare | ||||
|---|---|---|---|---|
|
OM Användarens konto är nyare än datumet då SITHS-certifikatet utfärdades när uppdateringen KB5014011 installeras kommer inloggningen att sluta fungera för användaren.
Som övergångslösning fram till kan man göra följande registerändring på sina domänkontrollanter för att tillåta inloggning även för dessa användare.
Registernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
REG_DWORD: CertificateBackdatingCompensation
Värde: 0x12CC0300 (vilket motsvarar 10 år enligt KB5014754)
I vissa lägen kan inloggning sluta fungera direkt uppdateringen KB5014011 eller KB5013952 installeras. Microsoft har därför också beskrivit ett antal tillfälliga åtgärder under rubriken “Registernyckelinformation” på sidan KB5014754 som kan användas som övergångslösningar fram tills:
ni har lagt till information i användarens AD-konton enligt nedan instruktion
den tvingande uppdateringen
Instruktion för tillägg av information på användares AD-konto
Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto för att t fortsatt ska gå att logga in med SITHS-certifikat efter att uppdateringarna har installerats eller efter den .
Olika sätt att lägga till informationen
...
Innehållet i attributet ska vara:
X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning
Dvs.
X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>7b37c8b81bda6f7cc63d2f194f7c01
Utgivande CA
Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:
...
Exempel
01772941ce29b3ec999d657f0e0174
Ska bli
74010e7f659d99ecb329ce41297701