Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat

Innehållsförteckning

Revisionshistorik

Version

Datum

Författare

Kommentar

Version

Datum

Författare

Kommentar

1.0

Jun 7, 2022

SITHS Förvaltning

Framtagande av instruktion

1.01

Jul 5, 2022

SITHS Förvaltning

Förtydligande av färgkodning när man reverserar ett certifikatserienummer byte per byte

1.1

Sep 20, 2022

SITHS Förvaltning

Tillägg av information om att HSA kommer skapa ett eget attribut för altSecurityIdentities som synkande organisationer kan använda för att slippa göra omvandlingen själva.

1.2

May 31, 2023

SITHS Förvaltning

Justerade datum då Microsoft gör denna ändring obligatorisk från 9 maj 2023 till 14 november 2023.

Bakgrund

Den May 10, 2022 släppte Microsoft ett antal säkerhetsuppdateringar som införde ett skydd mot användning av förfalskade certifikat vid inloggning till Windows Active Directory (AD).

Ändringen innebär att certifikatet på SITHS-kortet kommer att kontrolleras mot uppgifter som ni själva måste registrera på användarens konto i AD.

Förändringen kommer att bli obligatorisk senast Nov 14, 2023, se KB5014754 för mer information från Microsoft om konsekvenser och åtgärder som kan vidtas vid installation av denna säkerhetsuppdatering.

OBS! Användaren kan få problem med inloggning redan när uppdateringen installeras efter 10 maj 2022, se avsnittet Övergångslösningar nedan.

Inera har med hjälp av två regioner tagit fram följande instruktion för åtgärder i lokalt AD för att användarna fortsatt kunna logga in till Windows med redan utfärdade SITHS-certifikat.

Påverkade uppdateringar (KB’s)

För information om vilka uppdateringar på olika operativsystem som innehåller denna ändring, se följande länkar:

Övergångslösningar

I vissa lägen kan inloggning sluta fungera direkt uppdateringen installeras. Microsoft har därför också beskrivit ett antal tillfälliga åtgärder under rubriken “Registernyckelinformation” på sidan KB5014754 som kan användas som övergångslösningar fram tills:

  • ni har lagt till information i användarens AD-konton enligt nedan instruktion

  • den tvingande uppdateringen Nov 14, 2023

En avinstallation av aktuell uppdatering kan också göras som en tillfällig lösning.

Instruktion för tillägg av information på användares AD-konto

Nedan följer instruktionen för vilken information som behöver läggas till på användarens AD-konto för att fortsatt ska gå att logga in med SITHS-certifikat:

  • efter att säkerhetsuppdatuppdateringen har installerats

  • eller senast den Nov 14, 2023.

Denna information baseras på Microsofts rekommendation på sidan KB5014754

Olika sätt att lägga till informationen

Organisation med synkronisering mot HSA

Inom HSA pågår ett arbete med införa ett nytt attribut som organisationen kan synka till användarens AD-konto. Attributet kommer att införas i HSA schemaversion 4.20 som produktionssätts 2023-03-14.

Den svenska benämningen för det nya attributet är ännu inte fastställd, men det tekniska namnet kommer att vara altSecurityIdentities.

Attributet:

  • Innehåller certifikatserienummer och namn på certifikatutfärdaren formatet i nedan instruktion

  • Innehåller alla giltiga certifikat som SITHS har tillverkat för användaren i den aktuella organisationen

  • Uppdateras varje gång SITHS tillverkar ett certifikat och publicerar det till HSA

Om din organisation har en synkronisering mellan nationella HSA till er lokala katalog, så kan ni även automatisera omvandlingen av:

  • namn på certifikatutfärdare

  • certifikatets serienummer

vid synkronisering mellan er lokala katalog och ert lokala AD genom att hämta ut det från de certifikat som publiceras till användarposterna i HSA-katalogen, se avsnittet Instruktion nedan.

Organisation utan synkronisering mot HSA

OM din organisation saknar synkronisering mot nationella HSA måste ni själva lägga in dessa värden på användarens AD-konto.

När behöver informationen uppdateras på användarens AD-konto

Innehållet måste skapas och synkas till AD senast när användaren:

  • får ett nytt SITHS-kort

  • hämtar certifikat till ett SITHS-kort via Mina sidor (för både ordinarie kort och reservkort)

Instruktion

Vilka certifikat ska hanteras

De certifikat som ska hanteras är SITHS legitimeringscertifikat. Dvs certifikat med

Nyckelanvändning: Digital signatur, Nyckelchiffrering (a0)

Key usage: digitalSignature, keyEncipherment (a0)

Exempel

För SITHS innebär det legitimeringscertifikat utgivna av
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1 (ordinarie kort)
eller
C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 2 CA v1 (reservkort)

Tillägg till användarens AD-konto

Ett tillägg i görs i användarens AD-konto i LDAP-attributet “altSecurityIdentites”.

  • Eventuellt skapas även ett motsvarande attribut på användaren övriga lokala Användarkataloger (ex. lokal/regional HSA-katalog).

De flesta egenskaperna hämtar vi ifrån Microsofts attributdefinition.

Attributets LDAP-namn

altSecurityIdentities

Teknisk maxlängd

Odefinierad (enligt Microsofts specifikation)

Syntax

Directory String

OID

1.2.840.113556.1.4.867

Objektklasstillhörighet

hsapersonExtension

Equality Match

caseIgnoreMatch

Envärdes-/ flervärdesattribut

Multivärde

Exempel

Innehållet i attributet ska vara:

X509:<I>Utgivande CA i omvänd ordning<SR>Serienummer i omvänd ordning

Dvs.

X509:<I>C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1<SR>74010e7f659d99ecb329ce41297701

Vart hittar jag Utgivande CA för certifikatet?

Utgivande CA hämtas från fältet Utfärdare (Issuer) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:

Exempel

CN=SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE

blir:

C=SE,O=Inera AB,CN=SITHS e-id Person HSA-id 3 CA v1

Vart hittar jag certifikatets serienummer?

Serienumret hämtas från fältet Serienummer (Serial number) i certifikatet och skrivs in i omvänd ordning i det nya attributet “altSecurityIdentities”:

Exempel

01772941ce29b3ec999d657f0e0174

Ska bli

74010e7f659d99ecb329ce41297701