Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. PKI

De strenge handhaving van certificaattoewijzing door Microsoft: wat dit betekent voor uw PKI en hoe u zich erop kunt voorbereiden

Posted byManimit Haldar 07 Minuten
Sterke certificaattoewijzing
Inhoudsopgave

Microsoft's Beveiligingsupdate februari 2025 introduceert een cruciale wijziging in certificaatgebaseerde authenticatie door sterke certificaattoewijzing af te dwingen op Active Directory Domain Controllers (DC's). Deze afdwinging, gericht op het beperken van de risico's op privilege-escalatie, zorgt ervoor dat certificaten die voor authenticatie worden gebruikt een Security Identifier (SID)-extensie bevatten, waardoor ze correct worden toegewezen aan gebruikers en apparaten in Active Directory (AD).

Organisaties die afhankelijk zijn van certificaatgebaseerde authenticatie voor gebruikersaanmeldingen, VPN-toegang en apparaatbeheer, moeten snel handelen. Vanaf februari 2025, Authenticatieverzoeken met zwakke toewijzingen worden standaard geweigerd en vanaf september 2025 wordt de compatibiliteitsmodus permanent verwijderd. Om serviceonderbrekingen te voorkomen, moeten bedrijven hun PKI-infrastructuur, certificaatsjablonen bijwerken en niet-conforme certificaten opnieuw uitgeven vóór deze deadlines.

Inzicht in de handhaving van sterke certificaattoewijzing

Microsoft heeft Strong Certificate Mapping Enforcement geïntroduceerd in mei 2022 KB5014754 update om kwetsbaarheden aan te pakken (CVE-2022-34691, CVE-2022-26931en CVE-2022-26923) in certificaatgebaseerde authenticatie van Active Directory. Deze kwetsbaarheden stelden aanvallers in staat de authenticatie te omzeilen en privileges te verhogen. Om dit tegen te gaan, verplichtte Microsoft de opname van een Security Identifier (SID)-extensie in uitgegeven certificaten, om een ​​nauwkeurige identiteitstoewijzing te garanderen.

Aanvankelijk werkten domeincontrollers in Compatibiliteitsmodus, die authenticatie met niet-conforme certificaten toestaat tijdens het loggen van waarschuwingen. Vanaf februari 2025 is de volledige handhavingsmodus echter al standaard ingeschakeld, wat betekent dat authenticatiepogingen met zwakke toewijzingen zullen mislukken. Op 10 september 2025 zal de compatibiliteitsmodus volledig worden uitgefaseerd, waardoor SID-gebaseerde certificaattoewijzing verplicht voor alle authenticatiescenario's.

Deze handhaving heeft invloed op verschillende authenticatiemechanismen, waaronder gebruikersaanmeldingen, VPN-toegang, MDM-geregistreerde apparaten en certificaten die zijn uitgegeven via Microsoft NDES of offline sjablonen. Organisaties moeten hun PKI-configuraties beoordelen, certificaatsjablonen bijwerken en naleving garanderen om authenticatiefouten te voorkomen.

Belangrijkste wijzigingen in de handhaving van strenge certificaattoewijzing

  1. SID-extensievereiste

    • Certificaten moeten een niet-kritieke extensie bevatten met Object Identifier (OID) 1.3.6.1.4.1.311.25.2.

      Digitaal certificaat met OID

    • Deze extensie integreert de Beveiligingsidentificatie (SID) van de principal (gebruiker of apparaat) om een ​​correcte toewijzing in Active Directory te garanderen.

      SID-ingebed
  2. Wijzigingen in het gedrag van de domeincontroller
    • DC's passen SID-gebaseerde certificaattoewijzingen toe en wijzen niet-conforme authenticatiepogingen af.
    • Gebeurtenislogboeken geven authenticatiefouten aan die worden veroorzaakt door ontbrekende of onjuiste SID-extensies.
  3. Gefaseerde handhavingsmodi
    • Compatibiliteitsmodus (huidige standaardmodus): Zwakke certificaatkoppelingen zijn toegestaan, maar gebeurtenissen worden geregistreerd voor administratieve beoordeling.
    • Volledige handhavingsmodus (verplicht vanaf februari 2025): Authenticatieverzoeken die gebruikmaken van zwakke toewijzingen worden nu standaard geweigerd.
    • Deadline (10 september 2025): De compatibiliteitsmodus wordt verwijderd, waardoor strikte SID-gebaseerde toewijzingen worden afgedwongen voor alle authenticatieaanvragen.

Belangrijkste getroffen gebieden 

Organisaties die vertrouwen op certificaatgebaseerde authenticatie moeten hun omgevingen beoordelen om verstoringen op de volgende gebieden te voorkomen:

  1. Gebruikersaanmeldingen en wifi-authenticatie – Certificaten gebruikt voor gebruikers- en apparaatauthenticatie moet de juiste SID-extensie bevatten. 
  1. VPN-toegang (bijv. Always On VPN) – Certificaten die voor VPN-authenticatie worden gebruikt, moeten voldoen aan de nieuwe toewijzingsnormen. 
  1. MDM-geregistreerde apparaten (Microsoft Intune PKCS/SCEP) – Certificaten uitgegeven via Intune's PKCS- of SCEP-connectoren zijn nodig SID-extensie-updates geldig blijven. 
  1. Certificaten uitgegeven via offline sjablonen of Microsoft NDES – Organisaties die certificaten uitgeven via offline sjablonen of Network Device Enrollment Service (NDES) moeten hun configuraties bijwerken. 

Impact op verschillende omgevingen

  1. On-premises Active Directory-omgevingen
    • Als patches sinds mei 2022 (KB5014754) consistent zijn toegepast, voldoen bestaande certificaten mogelijk al aan de SID-vereiste.
    • Organisaties moeten handmatig controleren of hun sjablonen van certificeringsinstanties (CA's) zo zijn geconfigureerd dat OID 1.3.6.1.4.1.311.25.2 wordt opgenomen in nieuw uitgegeven certificaten.
      Hoe kunt u deze sjablonen volgen?
  2. Hybride omgevingen (On-Prem AD + Intune of AAD Sync)
    • Organisaties die Microsoft Intune voor certificaatuitgifte moet hun PKCS-certificaatconnector bijwerken in staat te stellen SID-gebaseerde toewijzingen.
    • Voer de volgende opdracht uit op de Intune Certificate Connector-server om SID-extensies in te schakelen:

      Set-ItemProperty -Pad “HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector” -Naam EnableSidSecurityExtension -Waarde 1 -Force

    • SCEP-certificaten: zorg ervoor dat de Subject Alternative Name (SAN)-instellingen in Intune de on-premises Security Identifier bevatten

      URI={{OnPremisesSecurityIdentifier}}

  3. Cloud-only omgevingen (Azure AD met certificaatverificatie)
    • Organisaties die alleen Azure-authenticatie gebruiken met certificaten moeten hun authenticatiestromen herzien.
    • Het opnieuw uitgeven van niet-conforme certificaten kan nodig zijn als de authenticatie-backend geen SID-extensies ondersteunt.

Identificeren en verhelpen van risicovolle certificaten 

  1. Sterke versus zwakke certificaatkoppelingen

    Microsoft ondersteunt zes toewijzingstypen voor het koppelen van certificaten aan Active Directory-gebruikers via het kenmerk `altSecurityIdentities`.

    KaarttypeFormaatSterkte
    X509IssuerSerialNumber X509: Uitgevernaam 1234567890 Sterke 
    X509SKI X509: 123456789abcdef Sterke 
    X509SHA1Publieke sleutel X509: 123456789abcdef Sterke 
    X509IssuerSubject X509: IssuerName Onderwerpnaam Zwak 
    X509OnderwerpAlleen X509: Onderwerpnaam Zwak 
    X509RFC822 X509: gebruiker@contoso.com Zwak 

    Organisaties wordt aangeraden te migreren naar krachtige toewijzingsindelingen om te voldoen aan de handhaving door Microsoft.

  2. Auditing certificaat sjablonen

    Een van de belangrijkste stappen is het controleren van alle actieve certificaatsjablonen om te detecteren welke sjablonen de extensie 1.3.6.1.4.1.311.25.2 missen. Gebruik de volgende opdracht om de sjabloondetails te controleren:

    certutil -sjabloon | findstr “OID=1.3.6.1.4.1.311.25.2”

    Sjablonen zonder deze OID moeten worden bijgewerkt om te voldoen aan de vereisten van Microsoft.

  3. Gebeurtenislogboeken bewaken op nalevingsproblemen

    Met het oog op de handhavingstermijn moet er een beleid zijn om regelmatig toezicht te houden domeincontrollerlogboeken voor authenticatiefouten met betrekking tot certificaattoewijzing. Sleutel Gebeurtenis-ID's om te bewaken omvatten: 

    Gebeurtenis-idBeschrijving
    39 Certificaatauthenticatie mislukt vanwege ontbrekende SID 
    40 Zwakke certificaattoewijzing gedetecteerd 
    41 Certificaattoewijzing afgewezen in de volledige afdwingingsmodus 

    Gebruik PowerShell om relevante logboeken te filteren:

    Get-EventLog -LogName Beveiliging | Where-Object { $_.EventID -in @(39,40,41) }

    Hiermee kunt u niet-conforme certificaten identificeren en verhelpen vóór de handhavingsdeadlines.

Tijdelijke verlichting met compatibiliteitsmodus

Organisaties die nog niet voorbereid zijn op de afdwingingsmodus, kunnen ervoor kiezen om de domeincontrollers tot september 2025 tijdelijk terug te zetten naar de compatibiliteitsmodus. 

Controleren of de compatibiliteitsmodus is ingeschakeld: 

Get-ItemProperty -Pad “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” -Naam “StrongCertificateBindingEnforcement” 

Als de registersleutel Sterke Certificaatbindende Handhaving niet bestaat, is de domeincontroller niet geconfigureerd. Dit betekent dat het systeem zich in de volledige afdwingingsmodus bevindt. 

controleer compatibiliteitsmodus

Om de compatibiliteitsmodus in te schakelen, Sterke Certificaatbindende Handhaving register sleutel moet aanwezig zijn. Om het handmatig toe te voegen en de compatibiliteitsmodus in te schakelen: 

New-ItemProperty -Pad “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” -Naam “StrongCertificateBindingEnforcement” -PropertyType DWORD -Waarde 1 -Force

compatibiliteitsmodus inschakelen

WAARSCHUWING: Deze maatregel moet vóór september 2025 worden verwijderd om te voldoen aan de definitieve handhaving door Microsoft.

Overwegingen voor Enterprise Certificate Authorities (CA's) 

Enterprise Certificeringsautoriteiten (CA's) moeten zich aanpassen aan deze veranderingen om te voorkomen dat niet-conforme certificaten worden uitgegeven. 

Nieuwe certificaten die via online sjablonen worden uitgegeven, bevatten automatisch de 1.3.6.1.4.1.311.25.2 extensie. Als bepaalde certificaten moeten worden uitgesloten van deze extensie, kunnen beheerders de volgende opdracht gebruiken: 

certutil -dstemplate gebruiker msPKI-Enrollment-Flag +0x00080000 

Hiermee wordt voorkomen dat bepaalde sjablonen sterke toewijzingen afdwingen. 

CertSecure Manager: uw compliancepartner in een veranderend cryptografisch landschap 

CertSecure Manager loopt voorop in het ondersteunen van organisaties om up-to-date te blijven met de nieuwste cryptografische beleidstransities. Naarmate compliancenormen evolueren – of het nu gaat om NIST aanbevelingen, PCI DSS-updates of nieuwe industriële mandaten—CertSecure Manager zorgt ervoor dat bedrijven zonder verstoringen aan de regelgeving blijven voldoen.

Hoe CertSecure Manager u een voorsprong geeft 

  • Proactieve nalevingsaanpassing

    CertSecure Manager werkt zijn compliance-kader voortdurend bij om het af te stemmen op de veranderende regelgeving, zoals HIPAA, PCI DSS, GDPR, en NIST 800-131A.

  • Geautomatiseerde updates voor cryptografische overgangen

    Naarmate cryptografische beleidsregels veranderen, zoals de overgang naar krachtigere hash-algoritmen, sleutelgroottes en rotatie-intervallen, automatiseert CertSecure Manager certificaatupdates en -vernieuwingen om ononderbroken naleving te garanderen.

  • Realtime monitoring en beleidshandhaving

    Organisaties ontvangen direct meldingen over verlopende certificaten en niet-conforme cryptografische configuraties, waardoor beveiligingslekken en wettelijke sancties worden voorkomen.

  • Naadloze integratie met nieuwe standaarden

    Of het nu post-kwantumcryptografie adoptie, TLS-certificaat Of het nu gaat om verlagingen van de geldigheid of opkomende cryptografische best practices, CertSecure Manager is ontworpen om moeiteloos te integreren met nieuwe standaarden. Dankzij uitgebreide rapportagemogelijkheden blijft uw organisatie kwetsbaarheden en uitval voor.

Met CertSecure ManagerVermindert uw organisatie aanzienlijk het risico op serviceonderbrekingen als gevolg van niet-conforme certificaten, bespaart u tijd en middelen bij de overgang naar Strong Certificate Mapping en zorgt u voor continue naleving van alle veranderende beveiligingsvereisten. Onze oplossing voldoet niet alleen aan de directe behoeften voor de invoering van februari 2025, maar biedt ook een robuust platform voor het beheer van de levenscyclus van certificaten op de lange termijn.

Naast CertSecure Manager, PKI-beoordelingsservice van Encryption Consulting biedt een uitgebreide evaluatie van uw PKI-infrastructuur. Onze service helpt uw ​​organisatie bij het identificeren van beveiligingslekken en kwetsbaarheden in uw PKI. Ons deskundige team stelt een stappenplan op maat op om u te helpen uw cryptografische beleid te optimaliseren en naleving van industriestandaarden te garanderen. Of u zich nu voorbereidt op aankomende wetswijzigingen of uw algehele certificaatbeheerstrategie versterkt, een PKI-beoordeling levert deskundige inzichten en bruikbare aanbevelingen op.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Conclusie 

De sterke Certificate Mapping Enforcement van Microsoft is cruciaal voor het beveiligen van authenticatieprocessen. Organisaties moeten snel actie ondernemen om hun PKI-infrastructuur te controleren en bij te werken voordat de September 2025 deadline. 

Voor deskundige begeleiding en geautomatiseerd beheer van de levenscyclus van certificaten kunt u het volgende overwegen: contact opnemen met Encryption Consulting om te ontdekken hoe CertSecure Manager de nalevingsinspanningen van uw organisatie kan ondersteunen. 

Aanvullende referenties: 

Ontdek onze

Gerelateerde blogs

Het herstellen van cryptografische postuur - PKI

De stille crisis binnen uw PKI: hoe slimme beveiligingsteams hun cryptografische beveiliging herstellen voordat het te laat is

May 25, 2026

Inzicht in en optimalisatie van OCSP voor Enterprise PKI

Inzicht in en optimalisatie van OCSP voor Enterprise PKI

May 7, 2026

Inzicht in Active Directory-certificaatservices

Inzicht in Active Directory-certificaatservicecontainers

27 april 2026

Ontdek het hier

Meer onderwerpen