Aplicación estricta de la asignación de certificados de Microsoft: qué significa para su PKI y cómo prepararse

Microsoft Actualización de seguridad de febrero de 2025 Introduce un cambio crucial en la autenticación basada en certificados al implementar la Asignación Fuerte de Certificados en los Controladores de Dominio (DC) de Active Directory. Esta implementación, destinada a mitigar los riesgos de escalada de privilegios, garantiza que los certificados utilizados para la autenticación contengan una extensión de Identificador de Seguridad (SID), asignándolos correctamente a los usuarios y dispositivos de Active Directory (AD).

Las organizaciones que utilizan la autenticación basada en certificados para el inicio de sesión de usuarios, el acceso a VPN y la gestión de dispositivos deben actuar con rapidez. A partir de febrero de 2025., Las solicitudes de autenticación que utilicen asignaciones débiles se rechazarán de forma predeterminada y, para septiembre de 2025, el modo de compatibilidad se eliminará permanentemente. Para evitar interrupciones del servicio, las empresas deben auditar sus... Infraestructura PKI, actualizar las plantillas de certificado y volver a emitir certificados no conformes antes de estas fechas límite.

Comprensión de la aplicación estricta de la asignación de certificados

Microsoft introdujo una aplicación robusta de asignación de certificados en mayo de 2022 KB5014754 Actualización para abordar vulnerabilidades (CVE-2022-34691, CVE-2022-26931, el CVE-2022-26923) en la autenticación basada en certificados de Active Directory. Estas vulnerabilidades permitían a los atacantes eludir la autenticación y escalar privilegios. Para contrarrestar esto, Microsoft exigió la inclusión de una extensión de Identificador de Seguridad (SID) en los certificados emitidos, lo que garantiza una asignación precisa de identidades.

Inicialmente, los controladores de dominio operaban en Modo de compatibilidad, que permite la autenticación con certificados no conformes mientras se registran advertencias. Sin embargo, a partir de febrero de 2025, el modo de cumplimiento completo ya está habilitado de forma predeterminada, lo que significa que los intentos de autenticación con asignaciones débiles fallarán. Para el 10 de septiembre de 2025, el modo de compatibilidad se eliminará por completo, lo que... Asignación obligatoria de certificados basados ​​en SID para todos los escenarios de autenticación.

Esta aplicación afecta a varios mecanismos de autenticación, incluidos los inicios de sesión de usuarios, el acceso a VPN, los dispositivos registrados en MDM y los certificados emitidos a través de Plantillas de Microsoft NDES o sin conexión. Las organizaciones deben evaluar sus configuraciones de PKI, actualizar las plantillas de certificado y garantizar el cumplimiento normativo para evitar fallos de autenticación.

Cambios clave en la aplicación estricta de la asignación de certificados

1. Requisito de extensión de SID

   • Los certificados deben incluir una extensión no crítica con Identificador de objeto (OID) 1.3.6.1.4.1.311.25.2.

     

   • Esta extensión incorpora el Identificador de seguridad (SID) del principal (usuario o dispositivo) para garantizar la asignación adecuada en Active Directory.

     

2. Modificaciones del comportamiento del controlador de dominio
   • Los controladores de dominio aplicarán asignaciones de certificados basadas en SID y rechazarán los intentos de autenticación que no cumplan con las normas.
   • Los registros de eventos indicarán fallas de autenticación debido a extensiones SID faltantes o incorrectas.
3. Modos de ejecución por fases
   • Modo de compatibilidad (modo predeterminado actual): Se permiten asignaciones de certificados débiles, pero los eventos se registran para revisión administrativa.
   • Modo de cumplimiento total (obligatorio a partir de febrero de 2025): Las solicitudes de autenticación que utilizan asignaciones débiles ahora se rechazan de forma predeterminada.
   • Fecha límite final (10 de septiembre de 2025): Se eliminará el modo de compatibilidad y se aplicarán asignaciones estrictas basadas en SID en todas las solicitudes de autenticación.

Principales áreas afectadas 

Las organizaciones que dependen de la autenticación basada en certificados deben evaluar sus entornos para evitar interrupciones en las siguientes áreas:

1. Inicios de sesión de usuarios y autenticación Wi-Fi – Certificados utilizados para autenticación de usuarios y dispositivos debe incluir la extensión SID correcta. 

2. Acceso VPN (por ejemplo, Always On VPN) – Los certificados utilizados para la autenticación VPN deben cumplir con los nuevos estándares de mapeo. 

3. Dispositivos inscritos en MDM (Microsoft Intune PKCS/SCEP) – Certificados emitidos mediante Intune Los conectores PKCS o SCEP necesitan Actualizaciones de la extensión SID para seguir siendo válido. 

4. Certificados emitidos mediante plantillas sin conexión o Microsoft NDES – Las organizaciones que emiten certificados a través de plantillas sin conexión o del Servicio de inscripción de dispositivos de red (NDES) deben actualizar sus configuraciones. 

Impacto en diferentes entornos

1. Entornos de Active Directory locales
   • Si los parches desde mayo de 2022 (KB5014754) se han aplicado de manera consistente, es posible que los certificados existentes ya cumplan con el requisito de SID.
   • Las organizaciones deben verificar manualmente si sus plantillas de autoridad de certificación (CA) están configuradas para incluir el OID 1.3.6.1.4.1.311.25.2 en los certificados recién emitidos.
     ¿Cómo realizar el seguimiento de estas plantillas?
2. Entornos híbridos (AD local + Intune o sincronización de AAD)
   • Organizaciones que utilizan Microsoft Intune Para la emisión del certificado se debe actualizar su conector de certificado PKCS para permitir Asignaciones basadas en SID.
   • Ejecute el siguiente comando en el servidor del Conector de certificados de Intune para habilitar las extensiones SID:

     Set-ItemProperty -Ruta “HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector” -Nombre EnableSidSecurityExtension -Valor 1 -Force

   • Certificados SCEP: asegúrese de que la configuración del nombre alternativo del sujeto (SAN) en Intune incluya el identificador de seguridad local

     URI={{Identificador de seguridad local}}

3. Entornos solo en la nube (Azure AD con autenticación de certificado)
   • Organizaciones que utilizan autenticación exclusiva de Azure con certificados necesitan revisar sus flujos de autenticación.
   • Puede ser necesario volver a emitir certificados no compatibles si el backend de autenticación no admite extensiones SID.

Identificación y remediación de certificados en riesgo 

1. Asignaciones de certificados fuertes y débiles

   Microsoft admite seis tipos de asignación para asociar certificados con usuarios de Active Directory a través del atributo `altSecurityIdentities`.

   Tipo de asignación	Formato	Solidez
   X509Número de serie del emisor	X509: Nombre del emisor 1234567890	Fuerte
   X509SKI	X509: 123456789abcdef	Fuerte
   Clave pública X509SHA1	X509: 123456789abcdef	Fuerte
   X509EmisorAsunto	X509: Nombre del emisor Nombre del sujeto	Débil
   X509Solo Asunto	X509: Nombre del sujeto	Débil
   X509RFC822	X509: usuario@contoso.com	Débil

   Se recomienda a las organizaciones migrar a formatos de mapeo fuertes para cumplir con la implementación de Microsoft.

2. Plantillas de certificado de auditoría

   Uno de los pasos principales consiste en revisar todas las plantillas de certificado activas para detectar aquellas que no tienen la extensión 1.3.6.1.4.1.311.25.2. Utilice el siguiente comando para comprobar los detalles de la plantilla:

   certutil -template | findstr “OID=1.3.6.1.4.1.311.25.2”

   Las plantillas sin este OID requieren actualizaciones para cumplir con la normativa de Microsoft.

3. Supervisión de registros de eventos para detectar problemas de cumplimiento

   Teniendo en cuenta la fecha límite de ejecución, debería existir una política de seguimiento regular. registros del controlador de dominio Para errores de autenticación relacionados con la asignación de certificados. Clave Identificadores de eventos a monitorear incluir lo siguiente: 

   Identificador de sucesos	Descripción
   39	La autenticación del certificado falló debido a la falta de SID
   40	Se detectó un mapeo de certificado débil
   41	Asignación de certificado rechazada en el modo de cumplimiento total

   Utilice PowerShell para filtrar registros relevantes:

   Get-EventLog -LogName Seguridad | Where-Object { $_.EventID -in @(39,40,41) }

   Esto puede ayudar a identificar y remediar certificados no conformes antes de las fechas límite de cumplimiento.

Mitigación temporal con modo de compatibilidad

Las organizaciones que no estén preparadas para el modo de cumplimiento pueden optar por una mitigación temporal cambiando los controladores de dominio nuevamente al modo de compatibilidad hasta septiembre de 2025. 

Para comprobar si el modo de compatibilidad está habilitado: 

Obtener propiedad del elemento - Ruta “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” - Nombre “StrongCertificateBindingEnforcement” 

Si la clave de registro Fuerte cumplimiento de la vinculación de certificados Si no existe, el controlador de dominio no está configurado. Esto significa que el sistema está en modo de cumplimiento total. 

Para habilitar el modo de compatibilidad, el Fuerte cumplimiento de la vinculación de certificados registro clave Debe estar presente. Para agregarlo manualmente y habilitar el modo de compatibilidad: 

New-ItemProperty -Ruta “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” -Nombre “StrongCertificateBindingEnforcement” -Tipo de propiedad DWORD -Valor 1 -Force

ADVERTENCIA: Esta mitigación debe eliminarse antes de septiembre de 2025 para cumplir con la aplicación final de Microsoft.

Consideraciones sobre las autoridades de certificación empresarial (CA) 

Empresa Autoridades de certificación (CA) deben adaptarse a estos cambios para evitar emitir certificados no conformes. 

Los nuevos certificados emitidos mediante plantillas en línea incluirán automáticamente la 1.3.6.1.4.1.311.25.2 Extensión. Si se desea excluir ciertos certificados de esta extensión, los administradores pueden usar el siguiente comando: 

certutil -dstemplate usuario msPKI-Enrollment-Flag +0x00080000 

Esto garantiza que las plantillas seleccionadas no impongan asignaciones estrictas. 

CertSecure Manager: su socio de cumplimiento en un panorama criptográfico cambiante 

CertSecure Manager ha estado a la vanguardia en el apoyo a las organizaciones para mantenerse al día con las últimas transiciones de políticas criptográficas. A medida que evolucionan los estándares de cumplimiento, ya sea a través de NIST recomendaciones, actualizaciones de PCI DSS o nuevos mandatos de la industria—Administrador de CertSecure garantiza que las empresas sigan cumpliendo con las normas sin interrupciones.

Cómo CertSecure Manager le ayuda a mantenerse a la vanguardia 

• Adaptación proactiva del cumplimiento

  CertSecure Manager actualiza continuamente su marco de cumplimiento para alinearse con regulaciones en evolución como HIPAA, PCI DSS, GDPRy NIST 800-131A.

• Actualizaciones automatizadas para transiciones criptográficas

  A medida que cambian las políticas criptográficas, como la transición a algoritmos de hash más fuertes, tamaños de claves e intervalos de rotación, CertSecure Manager automatiza las actualizaciones y renovaciones de certificados para garantizar un cumplimiento ininterrumpido.

• Monitoreo en tiempo real y aplicación de políticas

  Las organizaciones reciben alertas instantáneas sobre certificados que vencen y configuraciones criptográficas no compatibles, lo que evita fallas de seguridad y sanciones regulatorias.

• Integración perfecta con nuevos estándares

  Ya sea que se trate de criptografía post-cuántica adopción, Certificado TLS Ya sea para reducir la validez de los datos o implementar las mejores prácticas criptográficas emergentes, CertSecure Manager está diseñado para integrarse fácilmente con los nuevos estándares. Gracias a sus amplias funciones de generación de informes, su organización se anticipa a las vulnerabilidades y las interrupciones.

Con Administrador de CertSecureSu organización reduce significativamente el riesgo de interrupciones del servicio debido a certificados no conformes, ahorra tiempo y recursos en la transición al Asignamiento Fuerte de Certificados y garantiza el cumplimiento continuo de todos los requisitos de seguridad en constante evolución. Nuestra solución no solo aborda las necesidades inmediatas para la entrada en vigor en febrero de 2025, sino que también proporciona una plataforma robusta para la gestión del ciclo de vida de los certificados a largo plazo.

Además de CertSecure Manager, Servicio de evaluación de PKI de Encryption Consulting Proporciona una evaluación integral de su infraestructura de PKI. Nuestro servicio ayuda a su organización a identificar brechas de seguridad y vulnerabilidades en su PKI. Nuestro equipo de expertos prepara una hoja de ruta personalizada para ayudarle a optimizar sus políticas criptográficas y garantizar el cumplimiento de los estándares del sector. Ya sea que se esté preparando para los próximos cambios regulatorios o reforzando su estrategia general de gestión de certificados, una evaluación de PKI le ofrece información experta y recomendaciones prácticas.

Conclusión 

La aplicación robusta de la asignación de certificados de Microsoft es crucial para proteger los procesos de autenticación. Las organizaciones deben actuar con prontitud para auditar y actualizar su infraestructura PKI antes de... Septiembre 2025 fecha tope. 

Para obtener orientación experta y una gestión automatizada del ciclo de vida de los certificados, considere Contactando con Encryption Consulting para explorar cómo CertSecure Manager puede respaldar los esfuerzos de cumplimiento de su organización. 

Referencias adicionales: 

• KB5014754 – Soporte técnico de Microsoft 

• Discusión del foro de Windows 

• Comunidad tecnológica de Microsoft: Implementación de Intune