Microsoft introducerar kraftfulla förbättringar av Active Directory Certificate Services (ADCS) under 2025 

Microsoft har presenterat omfattande uppdateringar för Active Directory-certifikattjänster (ADCS), vilket ger kritiska förbättringar inom skalbarhet, prestanda, granskningsbarhet och säkerhet. Dessa förbättringar markerar en betydande utveckling inom hantering av företagscertifikat, särskilt viktigt för organisationer som förlitar sig på ADCS för att stödja identitetssäkring, säker kommunikation och skydda känsliga data genom Public Key Infrastructure (PKI) tjänster. 

Vår blogg utforskar de viktigaste funktionerna som introducerats i de senaste utgåvorna och erbjuder en teknisk genomgång av deras möjligheter och konsekvenser för företagsmiljöer.

CRL-partitionering för effektiv återkallelse i stor skala 

Traditionellt sett, att hantera Listor över återkallade certifikat (CRL) i storskaliga miljöer har varit ineffektivt och bandbreddskrävande. Klienter som validerade ett certifikat tvingades ladda ner hela CRL:n, även när bara en återkallat certifikat behövde verifieras. Denna äldre design innebar skalbarhetsutmaningar för miljöer med hög certifikatomsättning eller begränsade nätverksresurser. 

Den nya metoden

Microsoft åtgärdar detta med CRL-partitionering, en länge efterfrågad funktion som introducerar smartare och mer detaljerad hantering av återkallelser: 

• Partitionerade CRL:erDen monolitiska CRL:n kan nu delas in i flera partitioner baserat på certifikatserienummer. 
• Riktade nedladdningarKlienter begär endast den relevanta partition av CRL som krävs för att validera ett certifikat. 
• Minskad bandbredd och latensBetydande prestandaförbättringar för valideringsåtgärder, särskilt i miljöer med begränsad bandbredd eller högfrekventa valideringar (t.ex. lastbalanserare, VPN eller stora användarbaser). 

CRL-partitionering är bakåtkompatibel och utformad för att samexistera med befintliga mekanismer som Online -certifikatstatusprotokoll (OCSP)Microsoft möjliggör dubbel publicering, där både den monolitiska CRL:n och dess partitioner är tillgängliga samtidigt, vilket säkerställer sömlös övergång och driftskontinuitet. 

Steg-för-steg-guide för att aktivera CRL-partitionering

För att aktivera CRL-partitionen, se följande steg: 

1. Kör följande kommando för att aktivera CRL-partitioneringsflaggan:
   certutil -setreg ca\CRLFlags +0x00400000
2. Ställ in maximalt antal partitioner:
   Det här kommandot definierar hur många CRL-partitioner du vill underhålla (t.ex. 10):
   certutil -setreg ca\CRLMaxPartitions 10
3. Starta om CA-tjänsten:
   Kör följande kommandon för att tillämpa ändringarna:
   net stop certsvc
net start certsvc

Följande bild visar egenskaperna för en partitionerad CRL, som visar den konfigurerade CRL-distributionspunkten för en specifik partition och validerar att klienter kan hitta och ladda ner lämpliga CRL-filer.

Följande bild visar hanteringskonsolen för certifikatutfärdaren och markerar hur utfärdade certifikat nu tilldelas olika CRL-partitionsindex, vilket bekräftar att CRL-partitioneringsfunktionen är aktiv.

Borttagning av 4KB-tilläggsgräns: Låser upp policyflexibilitet 

Tidigare versioner av ADCS införde en storleksgräns på 4 kB för certifikattillägg, vilket begränsade komplexiteten hos certifikatmetadata och policyinformation som kunde bäddas in i certifikatet. 

Med borttagandet av denna begränsning kan organisationer nu: 

• Definiera komplexa certifikatpolicyer som återspeglar nyanserade säkerhets- eller affärskrav. 

• Bädda in anpassade tillägg, inklusive avancerade identitetsattribut eller hårdvaruspecifika markörer. 

• Anpassa dig till förändrade standarder och framtidssäkra kryptografiska scheman, såsom de som behövs för postkvantkryptografi. 

Denna förbättring gör att ADCS är i linje med moderna funktioner Certifikatutfärdare och banar väg för ökad användning av hybrid-, molnbaserade och IoT-drivna infrastrukturer. 

Kör följande kommandon för att lägg till 0x1000 till registernyckelvärdet för DBFlags och starta sedan om ADCS:  

certutil -setreg DBFlags +0x1000  

nätstopp certsvc && nätstart certsvc  

För att verifiera gränsinställningarna, kör följande kommandon och kontrollera MaxLength-egenskapen för ExtensionRawValue i utdata:  

Förbättringar av ADCS-granskningsloggning för djupare insikt i säkerhetsoperationer 

Säkerhetsteam kräver detaljerade revisionsloggar för digitalt certifikat verksamheter för att stödja efterlevnad, incidenthantering och kriminaltekniska utredningar. Microsoft har insett detta behov och introducerat förbättrad granskningsloggning i Windows Server 2025 för ADCS. 

Händelse-ID	Händelseöversikt
4886	Certifikattjänster mottagit en certifikatförfrågan. Begäran-ID:% 1   Förfrågare:% 2   attribut:% 3
4887	Certifikattjänster godkände en certifikatförfrågan och utfärdade ett intyg. Begäran-ID:% 1   Förfrågare:% 2   attribut:% 3   Disposition:% 4   ÅKA SKIDOR:% 5   Ämne:% 6
4888	Certifikattjänster avslag på en certifikatbegäran. Begäran-ID:% 1   Förfrågare:% 2   attribut:% 3   Disposition:% 4   ÅKA SKIDOR:% 5   Ämne:% 6
4889	Certifikattjänster anger status för en certifikatbegäran till väntande. Begäran-ID:% 1   Förfrågare:% 2   attribut:% 3   Disposition:% 4   ÅKA SKIDOR:% 5   Ämne:% 6

Nya fält i händelse-ID 4886 – Certifikatbegäran mottagen  

Fält namn	BESKRIVNING
Ämne (från kundtjänst)	Representerar det ämnesvärde som extraherats från certifikatsigneringsbegäran (CSR), om tillgängligt.
SAN (från kundtjänst)	Avser tillägget för alternativt ämnesnamn (SAN) som erhållits från CSR:n, om sådant finns.
Begärd mall	Anger certifikatmallens namn enligt begäran – antingen som ett malltillägg för version 2 eller en mallegenskap/attribut för version 1.
BegäranOSVersion	Anger klientens operativsystemversion med hjälp av attributet szOID_OS_VERSION. Se avsnitt 2.2.2.7.1 i [MS-WCCE] för mer information. Obs: Tillhandahålls av klienten; används inte för att fatta säkerhetsbeslut.
RequestCSPFrivarinrättning	Beskriver den kryptografiska tjänsteleverantör (CSP) som används för att generera nyckelparet, identifierat via attributet szOID_ENROLLMENT_CSP_PROVIDER. Se avsnitt 2.2.2.7.2 i [MS-WCCE]. Obs: Klienttillhandahållen; inte avsedd för säkerhetsbeslutsfattande.
Begär klientinformation	Samlar in kompletterande klientuppgifter via attributet szOID_REQUEST_CLIENT_INFO. Se avsnitt 2.2.2.7.4 i [MS-WCCE]. Obs: Tillhandahålls av klienten; används inte för säkerhetsbeslut.

Nya fält i händelse ID 4887 – Certifikat utfärdat   

Fält	BESKRIVNING
Angående Alternative Name	Innehåller SAN-tilläggsvärdena i det utfärdade certifikatet, om sådana finns.
Certifikatmall	Anger namnet på certifikatmallen som användes vid utfärdandet.
Serienummer	Visar det unika serienummer som tilldelats det utfärdade certifikatet.

Nya fält i händelse-ID:n 4886 till 4889 – Vanliga förbättringar  

Fält	BESKRIVNING
Autentiseringstjänst	Anger vilken autentiseringstjänst som används i begäran. Värden kan inkludera "NTLM", "Kerberos" och "Schannel", enligt definitionen av RPC-autentiseringstjänstkonstanter.
Autentiseringsnivå	Representerar den autentiseringsnivå som tillämpats i begäran. Loggade värden kan vara "Standard", "Ingen", "Anslut", "Samtal", "Paket", "Integritet" eller "Sekretess", baserat på RPC-standarder.
DCOM eller RPC	Anger om begäran gjordes med hjälp av ”DCOM” eller ”RPC”. ”RPC” används för begäranden via protokoll som [MS-ICPR]; annars registreras ”DCOM”.

Dessa utökade loggar ökar synligheten avsevärt och möjliggör:  

• Avvikelsedetektering, såsom att upptäcka misstänkta SAN-värden eller obehörig utfärdande av mallar med hög behörighet (t.ex. domänkontrollantcertifikat) 
• Korrelation av händelser mellan system för rotorsaksanalys 
• Revisionsberedskap för ramverk som ISO 27001, NIST, PCI DSS och andra 

Säkerhetsteam kan nu proaktivt övervaka och bygga baslinjer för certifikatutfärdandemönster, vilket hjälper till att upptäcka insiderhot och felkonfigurationer tidigt. 

Microsofts uppdaterade ADCS-härdningsriktlinjer 

Certifikatutfärdare (CA:er) representerar Tier 0-tillgångar inom ett företagsnätverk, vilket gör deras skydd till en högsta prioritet. Microsofts skärpta riktlinjer för ADCS har uppdaterats för att återspegla moderna hotvektorer och attacktekniker. 

Viktiga rekommendationer för att säkra certifikatutfärdare

1. Skydda CA:s privata nyckel med en hårdvarusäkerhetsmodul (HSM)
   • Använd FIPS 140-2 nivå 3-kompatibla HSM:er för att framtvinga nyckelisolering
2. Minimera CA-attackytan
   • Ta bort oanvända certifikatmallar
   • Tillämpa lägsta behörighet för mallregistrering
   • Inaktivera leverans i begäran om det inte är strikt kontrollerat
3. Härda nätverksåtkomst
   • Tillämpa HTTPS för webbregistreringstjänster
   • Tillämpa utökat skydd för autentisering
   • Implementera åtgärder från KB5005413 för att minska risken för NTLM-reläer 
4. Granska och rotera inloggningsuppgifter
   • Granska regelbundet ACL:erna på mallar och CA-objekt
   • Övervaka registreringsaktiviteter för avvikelser

Även mindre misstag, som alltför tillåtande mallar eller oövervakad rollåtkomst, kan leda till privilegieupptrappning eller att certifikatutfärdaren äventyras. 

Viktiga rekommendationer för att säkra certifikatmallar

Begränsa behörigheter för registrering och automatisk registrering  

Alltför tillåtande certifikatmallar fungerar som ett av de enklaste sätten att röra sig lateralt i en domän och utnyttja dem. Detta beror på att mallar som tillåter "valfri autentiserad användare eller domänanvändare" att registrera sig kan missbrukas för att få högre behörigheter. Därför bör följande punkter implementeras:  

1. Ta bort breda grupper som "Autentiserade användare" eller "Domänanvändare" från registrerings- eller automatisk registreringsbehörighet.  
2. Certifikatbehörigheter ska endast tilldelas en specifik uppsättning säkerhetsgrupper eller specifika konton, till exempel IT-säkerhetsteamet eller vissa enheter.   

Publicera endast de "nödvändiga"  

Vissa certifikatmallar som skapats för gamla projekt eller tester tenderar att hopas upp med tiden eftersom de aldrig används. Men varje publicerad certifikatmall fungerar som en potentiell attackvektor. Detta beror på att oanvända mallar kan ha föråldrade inställningar eller svaga behörigheter, vilket ger angripare en ingång. Därför rekommenderas följande metoder:  

1. Det vanliga revision av mallar för att förstå mallarnas syfte och behov.  
2. För mallar med hög känslighet som Registreringsagent or Agent för nyckelåterställning, publicera dem bara när det behövsoch inaktivera dem sedan.  
3. Under CA-installationen, använd LoadDefaultTemplates=0 i CAPolicy.inf-filen för att förhindra att standardmallarna publiceras automatiskt.  

Säkra mallarna med alternativet ”Leverans på begäran”  

Ocuco-landskapet "leverans på begäran" Alternativet låter användare ange det ämnesnamn de vill ha på sitt certifikat. Det kan dock också tillåta en angripare att ange vilket namn som helst, vilket resulterar i att de begär ett certifikat för någon som en domänadministratör eller en domänkontrollant och sedan använder det för att utge sig för identiteten. För att förhindra detta måste därför följande inställningar implementeras:  

1. Tillåt endast denna behörighet för konton med hög behörighet.
2. Tillämpa ytterligare kontrolllager, inklusive följande: 
   • Arbetsflöden för godkännande av chefer,
   • Auktoriserade underskrifter,
   • Noggrann övervakning och granskning
3. Implementera förbättrade granskningsprocesser för att hålla reda på vem som begär vad, särskilt när det gäller känsliga certifikat.  

Operativa överväganden för företag

Organisationer bör börja planera nu för att införa dessa förbättringar. Viktiga steg inkluderar: 

• Uppdateringsövervakning och siem verktyg för att analysera nya granskningshändelser och fält 

• Granska certifikatmallar och ta bort eller begränsa åtkomsten till känsliga mallar 

• Planera och testa CRL-partitionering i laboratoriemiljöer före produktionsutrullning 

• Implementera viktiga lagringspolicyer i linje med hårdvarubaserade förtroendemodeller 

• Granska NTLM-användning vid certifikatutfärdande och autentisering för att förbereda för utfasning 

Hur krypteringskonsulting kan hjälpa

Att uppgradera och stärka ADCS är komplext men viktigt. På Encryption Consulting specialiserar vi oss på att hjälpa organisationer som er att identifiera och minska säkerhetsrisker genom skräddarsydda PKI-bedömningar. Vårt expertteam kan erbjuda en anpassad strategi för att skydda er PKI-arkitektur från nya hot, vilket säkerställer att era data och infrastruktur förblir säkra. Vårt kompletta utbud av Public Key Infrastructure (PKI)-tjänster hjälper er att skydda era digitala tillgångar och förbättra er organisations övergripande säkerhetsställning.  

För de som söker en praktisk lösning erbjuder vår PKI as a Service (PKIaaS) alla fördelar med PKI utan bördan av intern hantering. Vi ser till att tillhandahålla fyra parametrar:  

• Skalbarhet: Vi hjälper er PKI-infrastruktur att växa i takt med att er verksamhet expanderar.   
• Kostnadseffektivitet: Vi minskar omkostnaderna genom att avlasta underhållet av infrastrukturen.   
• Säkerhet: Vi säkerställer att din organisation förblir säker och efterlever regelverket med uppdaterad PKI-hantering.   
• Efterlevnad: Vi säkerställer att din lösning uppfyller alla myndighetskrav.   

Med Encryption Consultings PKIaaS kan du fokusera på din kärnverksamhet medan vi hanterar komplexiteten i PKI-hantering.   

Låt oss ge dig den sinnesro som kommer av att veta att dina digitala förtroende- och säkerhetsbehov är i experthänder. Kontakta oss idag på [e-postskyddad] för att utforska hur vi kan hjälpa er organisation att hålla sig säker mot cyberhot.  

Redo att säkra och modernisera din ADCS-miljö?

Låt oss hjälpa dig att dra full nytta av de senaste ADCS-framstegen. Kontakta krypteringskonsulten genom att skicka ett e-postmeddelande till [e-postskyddad] för att utforska hur vi kan förbättra er certifikatinfrastruktur för att möta kraven i dagens nollförtroendevärld.