Intune 強力なマッピング

現在、Microsoft は顧客に対して PKI を再確認するよう通知しています：2022 年 5 月 10 日の Windows 更新（KB5014754）により、証明書のなりすましに関連する特権昇格の脆弱性を軽減するため、Windows Server 2008 以降のバージョンで Active Directory の Kerberos Key Distribution (KDC) の動作が変更されました。 この変更の影響については、脆弱性が最初に公開されたときに説明しました.

範囲

まず前提として、この脆弱性は AD フォレストの NTAuth ストアに証明書が公開されている CA にのみ適用されます。証明書をオンプレミス AD への認証に使用していない場合は、CA 証明書を NTAuth ストアに公開する必要はなく、その場合この攻撃に対して脆弱ではありません。Microsoft ADCS はデフォルトで CA 証明書を NTAuth ストアに公開する点に注意してください。

ネットワーク認証について、NTAuth ストアに CA 証明書を必要とする唯一の NAC として私たちが把握しているのは Microsoft NPS です。オンプレ認証や NTAuth ストアを必要としない NAC には RADIUSaaS、Cisco ISE、Aruba Clearpass などがあります。証明書をこれらのユースケースにのみ使用している場合は、単に CA 証明書がフォレストの NTAuth ストアにないことを確認すれば、強い証明書マッピングについて心配する必要はありません。

もし NTAuth ストアに CA 証明書が必要なユースケースがある場合、例えば私たちの ドメインコントローラー証明書、エンドユーザー証明書がオンプレ認証に使用されることを望まないかもしれません。この場合、再びこれらの証明書に対して強い証明書マッピングは必要ありません これらの証明書について。したがって、フル強制モードを有効にすべきですが、オンプレの SID を証明書に追加してはいけません。

エンド証明書をオンプレ認証に使用している場合に限り、SID が追加されていることを確認する必要があります。このユースケースの最も一般的な例は、Microsoft NPS を使用している場合、またはパスワードを回避するために証明書ベースの認証で RDP を使ってオンプレミス VM にログオンする場合です。

強い証明書マッピングの有効化

ADCS/KDC の変更に対応するため、Microsoft Intune は登録済み証明書に SID を含めることができます。SAN タイプ URI を追加し値を "{{OnPremisesSecurityIdentifier}}" とすることで、証明書には次のように表示されます：

URL=tag:microsoft.com,2022-09-14:sid:<value>

この変更は 2024 年 10 月/11 月にすべての Microsoft Intune 顧客向けにこの新機能を展開します。

この機能を使用する場合は、Microsoft の指示に従って Intune の SCEP 構成プロファイルを更新する必要があります。SCEPman はこの SAN 形式をサポートすることをテスト済みで、すべての SCEPman バージョンで動作します。

あるいは、 SID 拡張 を SCEPman で追加することもできます。これが私たちが 2023 年 7 月 にオンプレミスの ADCS と同じ方法で KDC の問題に対処した方法です。したがって、SCEPman の顧客は特に既に SID 拡張を使用している場合、新しい SAN フィールドを必ずしも必要としません。

SCEPman の顧客は、SID 拡張と SID SAN 値のどちらを使用するかを選択できます。前者は SCEPman の構成設定を必要とし、後者は上記のように SCEP 構成プロファイルの変更を必要とします。