Correspondance forte Intune

Microsoft informe actuellement les clients de revérifier leurs PKI: Avec la mise à jour Windows du 10 mai 2022 (KB5014754) des modifications ont été apportées au comportement de la distribution des clés Kerberos d’Active Directory (KDC) dans Windows Server 2008 et les versions ultérieures afin d’atténuer les vulnérabilités d’élévation de privilèges associées à l’usurpation de certificats. Nous avons décrit l’impact de ce changement lorsque la vulnérabilité a été initialement divulguée.

Périmètre

Tout d’abord, cette vulnérabilité ne s’applique qu’aux AC dont les certificats sont publiés dans le magasin NTAuth de la forêt AD. Si vous n’utilisez pas vos certificats pour vous authentifier auprès de votre AD sur site, vous n’avez pas besoin de publier le certificat de votre AC dans le magasin NTAuth et vous êtes alors invulnérable à cette attaque. Notez que Microsoft ADCS publie par défaut ses certificats d’AC dans le magasin NTAuth.

Pour l’authentification réseau, le seul NAC que nous connaissons et qui nécessite le certificat de l’AC dans le magasin NTAuth est Microsoft NPS. Parmi les NAC qui ne nécessitent pas d’authentification sur site et le magasin NTAuth figurent RADIUSaaS, Cisco ISE et Aruba Clearpass. Si vous utilisez les certificats uniquement pour ce cas d’utilisation, assurez-vous simplement que le certificat de votre AC ne se trouve pas dans le magasin NTAuth de votre forêt et vous n’aurez pas à vous soucier du mappage fort des certificats.

Si vous avez effectivement un cas d’utilisation qui nécessite le certificat de votre AC dans le magasin NTAuth, comme notre les certificats Domain Controller, vous ne souhaiterez peut-être toujours pas que les certificats de vos utilisateurs finaux soient utilisés pour l’authentification sur site. Dans ce cas, vous n’avez pas non plus besoin d’un mappage fort des certificats pour ces certificats. Vous devriez donc activer le mode Full Enforcement, mais ne pas ajouter les SID sur site aux certificats.

Ce n’est que si vous utilisez vos certificats finaux pour l’authentification sur site que vous devez vous assurer que des SID sont ajoutés. L’exemple le plus courant pour ce cas d’utilisation est celui où vous utilisez Microsoft NPS ou lorsque vous utilisez l’authentification par certificat pour vous connecter à des VM sur site via RDP afin d’éviter les mots de passe.

Activation du mappage fort des certificats

Pour prendre en compte les changements ADCS/KDC, Microsoft Intune peut inclure le SID dans les certificats inscrits. Vous pouvez inclure le SID en ajoutant un SAN de type URI avec la valeur « {{OnPremisesSecurityIdentifier}} » et il apparaîtra dans le certificat comme ceci :

URL=tag:microsoft.com,2022-09-14:sid:<value>

Ce changement déploie cette nouvelle fonctionnalité en octobre/novembre 2024 pour tous les clients Microsoft Intune.

Si vous souhaitez utiliser cette fonctionnalité, vous devez mettre à jour vos profils de configuration SCEP dans Intune conformément aux instructions de Microsoft. Nous avons vérifié que SCEPman prend en charge ce format SAN et qu’il fonctionne avec toutes les versions de SCEPman.

Sinon, vous pouvez ajouter une extension SID avec SCEPman. C’est ainsi que nous avons traité le problème KDC en juillet 2023 de la même manière que l’ADCS sur site le fait. Par conséquent, les clients SCEPman n’ont pas besoin du nouveau champ SAN, en particulier s’ils utilisent déjà l’extension SID.

Les clients SCEPman peuvent choisir s’ils souhaitent l’extension SID ou la valeur SID SAN. La première nécessite un paramètre de configuration SCEPman, la seconde nécessite une modification des profils de configuration SCEP, comme détaillé ci-dessus.