Mapeo fuerte de Intune

Actualmente Microsoft informa a los clientes que verifiquen dos veces sus PKI: Con la actualización de Windows del 10 de mayo de 2022 (KB5014754) se realizaron cambios en el comportamiento del Distribuidor de claves de Kerberos (KDC) de Active Directory en Windows Server 2008 y versiones posteriores para mitigar vulnerabilidades de elevación de privilegios asociadas con la suplantación de certificados. Describimos el impacto de este cambio cuando la vulnerabilidad se divulgó originalmente.

Alcance

En primer lugar, esta vulnerabilidad se aplica solo a las CA cuyos certificados están publicados en el almacén NTAuth del Bosque AD. Si no usa sus certificados para autenticarse contra su AD local, no necesita publicar el certificado de su CA en el almacén NTAuth y entonces es invulnerable a este ataque. Tenga en cuenta que Microsoft ADCS publica sus certificados de CA en el almacén NTAuth de forma predeterminada.

Para la autenticación de red, el único NAC que conocemos que requiere el certificado de CA en el almacén NTAuth es Microsoft NPS. Entre los NAC que no requieren autenticación local ni el almacén NTAuth están RADIUSaaS, Cisco ISE y Aruba Clearpass. Si usa certificados solo para este caso de uso, asegúrese simplemente de que el certificado de su CA no esté en el almacén NTAuth de su Bosque y no tendrá que preocuparse por el mapeo fuerte de certificados.

Si tiene un caso de uso que requiere su certificado de CA en el almacén NTAuth, como nuestro Certificados de Controlador de Dominio , es posible que aún no desee que los certificados de sus usuarios finales se utilicen para la autenticación local. En este caso, nuevamente no necesita un mapeo fuerte de certificados para estos certificados. Por lo tanto, debe habilitar el Modo de Aplicación Completa, pero no agregar los SID locales a los certificados.

Solo si está utilizando sus certificados finales para la autenticación local, debe asegurarse de que se agreguen los SID. Los ejemplos más comunes para este caso de uso son si está utilizando Microsoft NPS o si usa autenticación basada en certificados para iniciar sesión en máquinas virtuales locales mediante RDP con el fin de evitar contraseñas.

Habilitar el Mapeo Fuerte de Certificados

Para abordar los cambios de ADCS/KDC, Microsoft Intune puede incluir el SID en los certificados inscritos. Puede incluir el SID agregando un SAN de tipo URI con el valor "{{OnPremisesSecurityIdentifier}}" y aparecerá en el certificado así:

URL=tag:microsoft.com,2022-09-14:sid:<value>

Este cambio implementa esta nueva función en octubre/noviembre de 2024 para todos los clientes de Microsoft Intune.

Si desea usar esta función, debe actualizar sus Perfiles de Configuración SCEP en Intune según las instrucciones de Microsoft. Hemos probado que SCEPman admite este formato de SAN y funciona con todas las versiones de SCEPman.

Como alternativa, puede agregar un extensión SID con SCEPman. Así es como abordamos el problema del KDC en julio de 2023 de la misma manera que lo hace el ADCS local. Por lo tanto, los clientes de SCEPman no requieren el nuevo campo SAN, especialmente si ya están usando la extensión SID.

Los clientes de SCEPman pueden elegir si desean la extensión SID o el valor SAN de SID. La primera requiere una configuración de SCEPman, la segunda requiere un cambio en los perfiles de configuración SCEP, como se detalló arriba.