微软宣布停止支持Windows域控制器注册表键，时隔三年终有解答

8 月 29 日消息，微软宣布。从 9 月 9 日的“星期二更新”开始，将正式终止对 Windows 域控制器中两项注册表键的技术支持，此前为保持兼容性而提供的临时机制将被彻底移除。

据介绍，此次变更旨在解决 2022 年披露的 Kerberos 漏洞（CVE-2022-34691、CVE-2022-26931 和 CVE-2022-26923）。

2022 年 5 月，微软曾发布安全更新以修复上述三漏洞。这些提权漏洞针对 Kerberos 密钥分发中心（KDC）中基于证书的身份验证机制，当时系统无法正确处理机器名末尾的美元符号“$”，从而被攻击者利用伪造证书。

为避免影响企业环境，微软在 2022 年引入了临时注册表键 StrongCertificateBindingEnforcement，允许 IT 管理员继续在兼容模式下使用证书映射和认证，并通过不同取值设置验证用户的真实性及回退机制。等 9 月份更新后，该注册表键将不再受支持。

同时，另一项临时注册表键 CertificateBackdatingCompensation 也将受到影响。该键允许在证书时间早于用户创建时间的情况下，通过弱映射方式完成认证。微软表示，在新更新发布后，将不再允许使用弱证书映射，因为此机制实际绕过了安全检查。

此外，自 9 月 10 日起，如果管理员已将系统切换至 完全强制模式（Full Enforcement mode），将无法再回退至兼容模式。

微软提醒，以上信息仅为概览，IT 管理员若需在域控制器环境中做好准备，应查阅微软官方的详细技术指南。