Intune の強力なマッピング

現在、Microsoft は顧客に対し、自分たちの PKI を再確認するよう案内しています: 2022 年 5 月 10 日の Windows 更新プログラム（KB5014754）により、証明書のなりすましに関連する権限昇格の脆弱性を緩和するため、Windows Server 2008 以降のバージョンにおける Active Directory Kerberos Key Distribution（KDC）の動作が変更されました。 この変更の影響については、脆弱性が最初に公開された際に説明しました.

適用範囲

まず、この脆弱性は、証明書が AD Forest の NTAuth ストアに公開されている CA にのみ適用されます。オンプレミスの AD に対して認証するために証明書を使用していない場合は、CA 証明書を NTAuth ストアに公開する必要はなく、その場合はこの攻撃に対して影響を受けません。なお、Microsoft ADCS は既定で CA 証明書を NTAuth ストアに公開します。

ネットワーク認証に関して、CA 証明書を NTAuth ストアに必要とする NAC は、私たちが把握している限り Microsoft NPS だけです。オンプレミス認証や NTAuth ストアを必要としない NAC には、RADIUSaaS、Cisco ISE、Aruba Clearpass があります。証明書をこの用途にのみ使用している場合は、CA 証明書が Forest の NTAuth ストアに含まれていないことを確認するだけで、強力な証明書マッピングを心配する必要はありません。

CA 証明書を NTAuth ストアに必要とするユースケースがある場合、たとえば私たちの Domain Controller 証明書を使う場合でも、エンドユーザー証明書をオンプレミス認証に使いたくないことがあるかもしれません。この場合も、強力な証明書マッピングは必要ありません これらの証明書については。したがって、Full Enforcement Mode を有効にし、ただし証明書にオンプレミスの SID は追加しないようにしてください。

エンド証明書をオンプレミス認証に使用している場合にのみ、SID が追加されていることを確認してください。このユースケースで最も一般的なのは、Microsoft NPS を使用している場合、またはパスワードを避けるために RDP でオンプレミス VM にログオンする際に証明書ベースの認証を使用している場合です。

強力な証明書マッピングを有効にする

ADCS/KDC の変更に対応するため、Microsoft Intune は登録済み証明書に SID を含めることができます。値が "{{OnPremisesSecurityIdentifier}}" の URI 型 SAN を追加することで SID を含めることができ、証明書には次のように表示されます:

URL=tag:microsoft.com,2022-09-14:sid:<値>

この変更により、2024 年 10 月/11 月に、すべての Microsoft Intune 顧客向けにこの新機能が展開されます。

この機能を使用したい場合は、Microsoft の指示に従って Intune の SCEP 構成プロファイルを更新する必要があります。SCEPman がこの SAN 形式をサポートし、すべての SCEPman バージョンで動作することをテスト済みです。

別の方法として、 SID 拡張 を SCEPman で追加できます。これは、私たちが KDC の問題に対応した方法です 2023 年 7 月 オンプレミスの ADCS と同じ方法で行っています。したがって、SCEPman の顧客は新しい SAN フィールドを必要としません。特に、すでに SID 拡張を使用している場合はなおさらです。

SCEPman の顧客は、SID 拡張を使うか SID SAN 値を使うかを選択できます。前者には SCEPman の構成設定が必要で、後者には上記のとおり SCEP 構成プロファイルの変更が必要です。