Mapeamento Forte do Intune

Atualmente a Microsoft informa os clientes para verificarem duas vezes suas PKIs: Com a atualização do Windows de 10 de maio de 2022 (KB5014754) foram feitas alterações no comportamento do Active Directory Kerberos Key Distribution (KDC) no Windows Server 2008 e versões posteriores para mitigar vulnerabilidades de elevação de privilégios associadas à falsificação de certificados. Nós descrevemos o impacto dessa mudança quando a vulnerabilidade foi originalmente divulgada.

Escopo

Primeiro, essa vulnerabilidade aplica-se apenas às CAs cujos certificados estão publicados na loja NTAuth da Floresta AD. Se você não usa seus certificados para autenticar contra seu AD local, não precisa publicar o certificado da sua CA na loja NTAuth e então você está invulnerável a esse ataque. Note que o Microsoft ADCS publica seus certificados de CA na loja NTAuth por padrão.

Para autenticação de rede, o único NAC que sabemos que exige o certificado da CA na loja NTAuth é o Microsoft NPS. Entre os NACs que não exigem autenticação local e a loja NTAuth estão RADIUSaaS, Cisco ISE e Aruba Clearpass. Se você está usando certificados apenas para esse caso de uso, apenas assegure-se de que o certificado da sua CA não está na loja NTAuth da sua Floresta e você não precisa se preocupar com mapeamento forte de certificados.

Se você tiver um caso de uso que exige o certificado da sua CA na loja NTAuth, como o nosso Certificados de Controlador de Domínio, você ainda pode não querer que seus certificados de usuário final sejam usados para autenticação local. Nesse caso, novamente você não precisa de um mapeamento forte de certificados para esses certificados. Assim, você deve habilitar o Modo de Aplicação Completa, mas não adicionar os SIDs locais aos certificados.

Somente se você estiver usando seus certificados finais para autenticação local, você deve garantir que os SIDs sejam adicionados. Os exemplos mais comuns para esse caso de uso são se você estiver usando o Microsoft NPS ou se usar autenticação baseada em certificado para fazer logon em VMs locais via RDP para evitar senhas.

Habilitando Mapeamento Forte de Certificados

Para tratar as mudanças do ADCS/KDC, o Microsoft Intune pode incluir o SID nos certificados registrados. Você pode incluir o SID adicionando um SAN do tipo URI com o valor "{{OnPremisesSecurityIdentifier}}" e ele aparecerá no certificado assim:

URL=tag:microsoft.com,2022-09-14:sid:<value>

Essa mudança lança esse novo recurso em outubro/novembro de 2024 para todos os clientes do Microsoft Intune.

Se você quiser usar esse recurso, deve atualizar seus Perfis de Configuração SCEP no Intune conforme as instruções da Microsoft. Testamos que o SCEPman suporta esse formato de SAN e ele funciona com todas as versões do SCEPman.

Alternativamente, você pode adicionar um extensão SID com o SCEPman. Foi assim que tratamos o problema do KDC em julho de 2023 da mesma forma que o ADCS local faz. Portanto, os clientes do SCEPman não necessitam do novo campo SAN, especialmente se já estiverem usando a extensão SID.

Os clientes do SCEPman podem escolher se querem a extensão SID ou o valor SID SAN. A primeira requer uma configuração do SCEPman, a última requer uma alteração nos perfis de configuração SCEP, como detalhado acima.