Intune Strong Mapping

Derzeit informiert Microsoft Kunden, ihre PKIs doppelt zu überprüfen: Mit dem Windows-Update vom 10. Mai 2022 (KB5014754) wurden Änderungen am Active Directory Kerberos Key Distribution (KDC)-Verhalten in Windows Server 2008 und späteren Versionen vorgenommen, um Höhenprivilegien-Schwachstellen im Zusammenhang mit Zertifikatsspoofing zu mindern. Wir beschrieben die Auswirkungen dieser Änderung, als die Schwachstelle ursprünglich offengelegt wurde.

Umfang

Zunächst gilt diese Schwachstelle nur für CAs, deren Zertifikate im NTAuth-Store der AD-Forest veröffentlicht sind. Wenn Sie Ihre Zertifikate nicht zur Authentifizierung gegen Ihr lokales AD verwenden, müssen Sie Ihr CA-Zertifikat nicht im NTAuth-Store veröffentlichen und sind dann gegen diesen Angriff immun. Beachten Sie, dass Microsoft ADCS seine CA-Zertifikate standardmäßig im NTAuth-Store veröffentlicht.

Für die Netzwerk-Authentifizierung ist die einzige NAC, die uns bekannt ist und das CA-Zertifikat im NTAuth-Store benötigt, Microsoft NPS. Zu den NACs, die keine lokale Authentifizierung und den NTAuth-Store benötigen, gehören RADIUSaaS, Cisco ISE und Aruba Clearpass. Wenn Sie Zertifikate nur für diesen Anwendungsfall verwenden, stellen Sie einfach sicher, dass Ihr CA-Zertifikat nicht im NTAuth-Store Ihres Forests enthalten ist, und Sie müssen sich keine Sorgen über starkes Zertifikat-Mapping machen.

Wenn Sie jedoch einen Anwendungsfall haben, der Ihr CA-Zertifikat im NTAuth-Store erfordert, wie unser Domänencontroller-Zertifikate, möchten Sie möglicherweise trotzdem nicht, dass Ihre Endbenutzerzertifikate für die lokale Authentifizierung verwendet werden. In diesem Fall benötigen Sie erneut kein starkes Zertifikat-Mapping für diese Zertifikate. Daher sollten Sie den Volldurchsetzungsmodus aktivieren, aber die lokalen SIDs nicht in die Zertifikate aufnehmen.

Nur wenn Sie Ihre Endzertifikate für die lokale Authentifizierung verwenden, sollten Sie sicherstellen, dass SIDs hinzugefügt werden. Die häufigsten Beispiele für diesen Anwendungsfall sind, wenn Sie Microsoft NPS verwenden oder wenn Sie zertifikatbasierte Authentifizierung verwenden, um sich per RDP an lokalen VMs anzumelden, um Passwörter zu vermeiden.

Aktivierung des starken Zertifikat-Mappings

Um die ADCS/KDC-Änderungen zu adressieren, kann Microsoft Intune die SID in eingeschlossenen Zertifikaten aufnehmen. Sie können die SID einfügen, indem Sie einen SAN des Typs URI mit dem Wert "{{OnPremisesSecurityIdentifier}}" hinzufügen, und sie wird im Zertifikat wie folgt erscheinen:

URL=tag:microsoft.com,2022-09-14:sid:<value>

Diese Änderung führt dieses neue Feature im Oktober/November 2024 für alle Microsoft Intune-Kunden ein.

Wenn Sie dieses Feature nutzen möchten, müssen Sie Ihre SCEP-Konfigurationsprofile in Intune gemäß den Microsoft-Anweisungen aktualisieren. Wir haben getestet, dass SCEPman dieses SAN-Format unterstützt und es mit allen SCEPman-Versionen funktioniert.

Alternativ können Sie ein SID-Erweiterung mit SCEPman hinzufügen. So haben wir das KDC-Problem in Juli 2023 auf die gleiche Weise behoben wie es das lokale ADCS tut. Daher benötigen SCEPman-Kunden nicht unbedingt das neue SAN-Feld, insbesondere wenn sie bereits die SID-Erweiterung verwenden.

SCEPman-Kunden können wählen, ob sie die SID-Erweiterung oder den SID-SAN-Wert möchten. Erstere erfordert eine SCEPman-Konfigurationseinstellung, Letzteres erfordert eine Änderung der SCEP-Konfigurationsprofile, wie oben erläutert.