O problema parece ser causado por redefinições de senha remotas. Em um ambiente de teste, o problema foi replicado:
• Controlador de domínio do servidor 2012 R2 com autoridade de certificação configurada com registro automático
• Cliente do Windows 7 x64 associado ao domínio
• Rede isolada que hospeda apenas o DC e o cliente
• Modelo de certificado de usuário com chave privada exportável
- Certificado de usuário implantado para o cliente por meio da Política de Grupo de Inscrição Automática
- Cliente removido da rede
- O usuário confirmado pode exportar a chave privada para o certificado, permitindo exportar usando o certmgr no cliente Windows 7
- Cliente reconectado à rede
- Redefinir senha do usuário conectado ao cliente a partir do controlador de domínio
- Usado "Executar como" para armazenar em cache a senha atualizada no cliente
- Cliente desconectado da rede
- Desconectado / Conectado desconectado da rede com as credenciais atualizadas em cache
- Não é possível exportar a chave privada
- Cliente reconectado à rede
- Não é possível exportar a chave privada
- Fazer logoff / Fazer logon conectado à rede - Agora é possível exportar a chave privada novamente
As chaves privadas são protegidas por criptografia usando chaves mestras armazenadas em% APPDATA% \ Microsoft \ Protect \\ As chaves mestras são criptografadas por uma combinação de itens, incluindo a senha do usuário. Se a chave mestra não puder ser descriptografada, a chave privada não poderá ser usada.
Método de alteração de senha - Ctrl + Alt + Del "Alterar senha" no cliente
O uso do processo de autoridade de segurança local identificado pelo Process Monitor (LSASS.exe) realiza as seguintes ações:
- Comunicação com o controlador de domínio pela porta TCP porta 88 (kerberos) e pela porta TCP 464 (kpasswd / kerberos v5)
- Atualizar a chave reg em HKLM \ Security \ Cache
- Escreva para \ domaincontroller \ PIPE \ protected_storage
- Atualizações do Perfil do Usuário HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \\ RefCount
- Atualizar chaves mestras usadas para descriptografar chaves privadas:
% APPDATA% \ Microsoft \ Protect \\
- Leia SYNCHIST & Arquivo CREDHIST em% APPDATA% \ Microsoft \ Protect
- Atualizar o arquivo% APPDATA% \ Microsoft \ Protect \ SYNCHIST
- O processo 1-7 pode ser repetido várias vezes
- Atualize C: \ Windows \ debug \ PASSWD.log com a mensagem "Tentando alterar senha server / domain for user
As chaves privadas continuam a funcionar devido aos passos 5 a 7.
Método de alteração de senha - Redefinição remota via Usuários e & Computadores
- SYNCHIST & Arquivos de chave mestra não são atualizados automaticamente instantaneamente
- Fazer logoff / logon em atualizações de rede arquivos SYNCHIST e chave mestre, os certificados são OK