Mappage fort Intune

Actuellement, Microsoft informe les clients de vérifier deux fois leurs infrastructures à clés publiques (PKI) : Avec la mise à jour Windows du 10 mai 2022 (KB5014754) des modifications ont été apportées au comportement du service de distribution de clés Kerberos (KDC) d'Active Directory dans Windows Server 2008 et versions ultérieures afin d'atténuer des vulnérabilités d'élévation de privilèges liées à l'usurpation de certificats. Nous avons décrit l'impact de ce changement lorsque la vulnérabilité a été initialement divulguée.

Portée

Tout d'abord, cette vulnérabilité s'applique uniquement aux autorités de certification dont les certificats sont publiés dans le magasin NTAuth de la forêt AD. Si vous n'utilisez pas vos certificats pour vous authentifier auprès de votre AD sur site, vous n'avez pas besoin de publier le certificat de votre CA dans le magasin NTAuth et vous êtes donc à l'abri de cette attaque. Notez que Microsoft ADCS publie par défaut ses certificats d'autorité dans le magasin NTAuth.

Pour l'authentification réseau, le seul NAC que nous connaissons nécessitant le certificat de la CA dans le magasin NTAuth est Microsoft NPS. Parmi les NACs qui n'exigent pas l'authentification sur site et le magasin NTAuth figurent RADIUSaaS, Cisco ISE et Aruba Clearpass. Si vous n'utilisez les certificats que pour ce cas d'utilisation, assurez-vous simplement que le certificat de votre CA ne figure pas dans le magasin NTAuth de votre forêt et vous n'aurez pas à vous soucier du mappage fort de certificats.

Si vous avez un cas d'utilisation qui nécessite que le certificat de votre CA soit dans le magasin NTAuth, comme notre certificats de contrôleur de domaine, vous pourriez tout de même ne pas vouloir que les certificats de vos utilisateurs finaux soient utilisés pour l'authentification sur site. Dans ce cas, vous n'avez à nouveau pas besoin d'un mappage fort des certificats pour ces certificats. Ainsi, vous devez activer le mode d'application complète (Full Enforcement Mode), mais ne pas ajouter les SID locaux (on-prem) aux certificats.

Ce n'est que si vous utilisez vos certificats finaux pour l'authentification sur site que vous devez vous assurer que des SID sont ajoutés. Les exemples les plus courants pour ce cas d'utilisation sont si vous utilisez Microsoft NPS ou si vous employez l'authentification par certificat pour vous connecter à des machines virtuelles sur site via RDP afin d'éviter les mots de passe.

Activation du mappage fort de certificats

Pour répondre aux changements ADCS/KDC, Microsoft Intune peut inclure le SID dans les certificats inscrits. Vous pouvez inclure le SID en ajoutant un SAN de type URI avec la valeur "{{OnPremisesSecurityIdentifier}}" et il apparaîtra dans le certificat comme ceci :

URL=tag:microsoft.com,2022-09-14:sid:<valeur>

Ce changement déploie cette nouvelle fonctionnalité en octobre/novembre 2024 pour tous les clients Microsoft Intune.

Si vous souhaitez utiliser cette fonctionnalité, vous devez mettre à jour vos profils de configuration SCEP dans Intune conformément aux instructions de Microsoft. Nous avons testé que SCEPman prend en charge ce format de SAN et qu'il fonctionne avec toutes les versions de SCEPman.

Alternativement, vous pouvez ajouter un extension SID avec SCEPman. C'est ainsi que nous avons résolu le problème KDC dans juillet 2023 de la même manière que le fait ADCS sur site. Par conséquent, les clients SCEPman n'ont pas besoin du nouveau champ SAN, surtout s'ils utilisent déjà l'extension SID.

Les clients SCEPman peuvent choisir s'ils veulent l'extension SID ou la valeur SID dans le SAN. La première nécessite un paramètre de configuration SCEPman, la seconde nécessite une modification des profils de configuration SCEP, comme indiqué ci-dessus.