微軟近日公布了一項重要更新計劃，針對Windows域控制器中的特定注冊表鍵進行了調整。據悉，從9月9日星期二更新開始，微軟將停止支持兩項關鍵的注冊表鍵，并移除之前為保持兼容性而設立的臨時機制。

這一舉措源于2022年曝光的Kerberos安全漏洞，具體包括CVE-2022-34691、CVE-2022-26931和CVE-2022-26923。這些漏洞涉及Kerberos密鑰分發中心（KDC）在證書身份驗證流程中的缺陷，使得攻擊者有可能通過偽造證書來提升權限。為了應對這些漏洞，微軟在2022年5月發布了安全補丁，并引入了名為StrongCertificateBindingEnforcement的注冊表鍵。

StrongCertificateBindingEnforcement注冊表鍵的引入，旨在為企業提供一個兼容模式，允許管理員在不影響業務運行的前提下，繼續使用證書映射與認證功能。通過不同的配置，管理員可以控制證書驗證的嚴格程度以及回退策略。然而，隨著微軟即將發布的9月更新，這一注冊表鍵將正式失效。

另一個注冊表鍵CertificateBackdatingCompensation也將停止使用。該鍵允許在證書時間早于用戶創建時間的情況下，通過較為寬松的映射方式進行認證。然而，微軟指出，這種弱證書映射機制本質上繞過了安全驗證流程，因此在新更新發布后，系統將不再接受這種機制。

值得注意的是，從9月10日起，對于已經啟用“完全強制模式（Full Enforcement mode）”的系統，微軟將不允許再切換回兼容模式。這意味著，所有系統都必須嚴格遵守新的安全標準，以確保系統的安全性。

為了確保用戶能夠順利應對這一調整，微軟建議相關用戶及時查閱官方發布的詳細技術文檔。這些文檔將提供關于如何在域控制器環境中進行調整的詳細指導，以確保系統的安全性和穩定性。微軟強調，這一調整是為了更好地保護用戶免受安全漏洞的威脅，希望用戶能夠積極配合并按時完成相關調整工作。