Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. PKI

Microsofts starka tillämpning av certifikatmappning – vad det betyder för din PKI och hur du förbereder dig

Postat avManimit Haldar 07 minuter
Stark certifikatmappning
Innehållsförteckning

Microsofts Säkerhetsuppdatering februari 2025 introducerar en kritisk förändring i certifikatbaserad autentisering genom att tillämpa stark certifikatmappning på Active Directory-domänkontrollanter (DC). Denna tillämpning, som syftar till att minska risker för privilegieeskalering, säkerställer att certifikat som används för autentisering innehåller ett SID-tillägg (Security Identifier), vilket mappar dem korrekt till användare och enheter i Active Directory (AD).

Organisationer som förlitar sig på certifikatbaserad autentisering för användarinloggningar, VPN-åtkomst och enhetshantering måste agera snabbt. Från och med februari 2025, Autentiseringsförfrågningar med svaga mappningar är inställda på att nekas som standard, och senast i september 2025 kommer kompatibilitetsläget att tas bort permanent. För att undvika avbrott i tjänsten bör företag granska sina PKI-infrastruktur, uppdatera certifikatmallar och utfärda certifikat som inte uppfyller kraven på nytt före dessa deadlines.

Förstå stark tillämpning av certifikatmappning

Microsoft introducerade stark tillämpning av certifikatmappning i maj 2022 KB5014754 uppdatering för att åtgärda sårbarheter (CVE-2022-34691, CVE-2022-26931och CVE-2022-26923) i Active Directory-certifikatbaserad autentisering. Dessa sårbarheter gjorde det möjligt för angripare att kringgå autentisering och eskalera behörigheter. För att motverka detta krävde Microsoft att ett Security Identifier (SID)-tillägg skulle inkluderas i utfärdade certifikat, vilket säkerställde korrekt identitetsmappning.

Ursprungligen fungerade domänkontrollanter i Kompatibilitetsläge, vilket tillåter autentisering med icke-kompatibla certifikat vid loggning av varningar. Från och med februari 2025 har dock fullständigt tillämpningsläge redan aktiverats som standard, vilket innebär att autentiseringsförsök med svaga mappningar kommer att misslyckas. Senast den 10 september 2025 kommer kompatibilitetsläget att fasas ut helt, vilket gör SID-baserad certifikatmappning obligatorisk för alla autentiseringsscenarier.

Denna tillämpning påverkar olika autentiseringsmekanismer, inklusive användarinloggningar, VPN-åtkomst, MDM-registrerade enheter och certifikat som utfärdats via Microsoft NDES eller offlinemallar. Organisationer måste utvärdera sina PKI-konfigurationer, uppdatera certifikatmallar och säkerställa efterlevnad för att förhindra autentiseringsfel.

Viktiga förändringar i stark tillämpning av certifikatmappning

  1. Krav på SID-tillägg

    • Certifikat måste innehålla ett icke-kritiskt tillägg med objektidentifieraren (OID) 1.3.6.1.4.1.311.25.2.

      Digitalt certifikat med OID

    • Denna tillägg bäddar in Säkerhetsidentifierare (SID) av principalen (användare eller enhet) för att säkerställa korrekt mappning i Active Directory.

      SID-inbäddad
  2. Modifieringar av domänkontrollantens beteende
    • DC:er kommer att tillämpa SID-baserade certifikatmappningar och avvisa autentiseringsförsök som inte är kompatibla.
    • Händelseloggar indikerar autentiseringsfel på grund av saknade eller felaktiga SID-tillägg.
  3. Fasvisa tillämpningslägen
    • Kompatibilitetsläge (nuvarande standardläge): Svaga certifikatmappningar är tillåtna, men händelser loggas för administrativ granskning.
    • Fullständigt verkställighetsläge (obligatoriskt från februari 2025): Autentiseringsförfrågningar med svaga mappningar nekas nu som standard.
    • Sista ansökningsdag (10 september 2025): Kompatibilitetsläget kommer att tas bort, vilket tvingar fram strikta SID-baserade mappningar för alla autentiseringsförfrågningar.

Viktiga berörda områden 

Organisationer som förlitar sig på certifikatbaserad autentisering måste utvärdera sina miljöer för att förhindra störningar inom följande områden:

  1. Användarinloggningar och Wi-Fi-autentisering – Certifikat som används för användar- och enhetsautentisering måste inkludera rätt SID-tillägg. 
  1. VPN-åtkomst (t.ex. Always On VPN) – Certifikat som används för VPN-autentisering måste uppfylla de nya mappningsstandarderna. 
  1. MDM-registrerade enheter (Microsoft Intune PKCS/SCEP) – Certifikat utfärdade via Intunes PKCS- eller SCEP-kontakter behöver Uppdateringar av SID-tillägg att förbli giltigt. 
  1. Certifikat utfärdade via offlinemallar eller Microsoft NDES – Organisationer som utfärdar certifikat via offlinemallar eller Network Device Enrollment Service (NDES) måste uppdatera sina konfigurationer. 

Påverkan på olika miljöer

  1. Lokala Active Directory-miljöer
    • Om patchar sedan maj 2022 (KB5014754) har tillämpats konsekvent kan befintliga certifikat redan uppfylla SID-kravet.
    • Organisationer måste manuellt verifiera om deras certifikatutfärdarmallar (CA) är konfigurerade för att inkludera OID 1.3.6.1.4.1.311.25.2 i nyligen utfärdade certifikat.
      Hur spårar man dessa mallar?
  2. Hybridmiljöer (lokal AD + Intune eller AAD-synkronisering)
    • Organisationer som använder Microsoft Intune för utfärdande av certifikat måste uppdatera sin PKCS-certifikatanslutning att möjliggöra SID-baserade mappningar.
    • Kör följande kommando på Intune Certificate Connector-servern för att aktivera SID-tillägg:

      Set-ItemProperty -Sökväg “HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector” -Namn EnableSidSecurityExtension -Värde 1 -Tvinga

    • SCEP-certifikat: Se till att inställningarna för alternativt ämnesnamn (SAN) i Intune inkluderar den lokala säkerhetsidentifieraren

      URI={{OnPremisesSecurityIdentifier}}

  3. Molnbaserade miljöer (Azure AD med certifikatautentisering)
    • Organisationer som använder Azure-autentisering med certifikat behöver granska sina autentiseringsflöden.
    • Det kan vara nödvändigt att utfärda icke-kompatibla certifikat om autentiseringsbackend inte stöder SID-tillägg.

Identifiera och åtgärda riskintyg 

  1. Starka vs. Svaga certifikatmappningar

    Microsoft stöder sex mappningstyper för att associera certifikat med Active Directory-användare via attributet `altSecurityIdentities`.

    KartläggningstypFormatStyrka
    X509UtgivareSerienummer X509: Utgivarens namn 1234567890 Starkt 
    X509SKI X509: 123456789abcdef Starkt 
    X509SHA1PublicKey X509: 123456789abcdef Starkt 
    X509UtgivareÄmne X509: Utgivarens namn Ämnesnamn Svag 
    X509Endast ämne X509: Ämnesnamn Svag 
    X509RFC822 X509: användare@contoso.com Svag 

    Organisationer rekommenderas att migrera till starka mappningsformat för att följa Microsofts tillämpningskrav.

  2. Mallar för revisionsintyg

    Ett av de viktigaste stegen är att granska alla aktiva certifikatmallar för att upptäcka de som saknar tillägget 1.3.6.1.4.1.311.25.2. Använd följande kommando för att kontrollera mallinformationen:

    certutil -mall | findstr “OID=1.3.6.1.4.1.311.25.2”

    Mallar utan detta OID kräver uppdateringar för att följa Microsofts tillämpningskrav.

  3. Övervaka händelseloggar för efterlevnadsproblem

    Med tanke på tidsfristen för verkställighet bör det finnas en policy för regelbunden övervakning domänkontrollantloggar för autentiseringsfel relaterade till certifikatmappning. Nyckel Händelse-ID:n att övervaka innefattar: 

    Händelse-IDBESKRIVNING
    39 Certifikatautentisering misslyckades på grund av saknat SID 
    40 Svag certifikatmappning upptäckt 
    41 Certifikatmappning avvisad i fullständigt tillämpningsläge 

    Använd PowerShell för att filtrera relevanta loggar:

    Get-EventLog -LogName Säkerhet | Where-Object { $_.EventID -in @(39,40,41) }

    Detta kan hjälpa till att identifiera och åtgärda certifikat som inte uppfyller kraven innan deadlines för verkställande löper ut.

Tillfällig begränsning med kompatibilitetsläge

Organisationer som inte är förberedda för tillämpningsläge kan välja tillfällig begränsning genom att växla tillbaka domänkontrollanter till kompatibilitetsläge fram till september 2025. 

Så här kontrollerar du om kompatibilitetsläge är aktiverat: 

Get-ItemProperty -Sökväg “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” -Namn “StrongCertificateBindingEnforcement” 

Om registernyckeln Starkt certifikatbindande verkställighet inte finns, så är domänkontrollanten inte konfigurerad. Det betyder att systemet är i fullt tillämpningsläge. 

kontrollera kompatibilitetsläget

För att aktivera kompatibilitetsläget, Starkt certifikatbindande verkställighet register nyckel borde finnas. Så här lägger du till den manuellt och aktiverar kompatibilitetsläge: 

New-ItemProperty -Sökväg “HKLM:\SYSTEM\CurrentControlSet\Services\Kdc” -Namn “StrongCertificateBindingEnforcement” -Egenskapstyp DWORD -Värde 1 -Tvinga

aktivera kompatibilitetsläge

VARNING: Denna begränsning måste tas bort före september 2025 för att följa Microsofts slutgiltiga tillämpning.

Att tänka på gällande företagscertifikatutfärdare (CA) 

Företag Certifikatutfärdare (CA) måste anpassa sig till dessa förändringar för att undvika att utfärda icke-kompatibla certifikat. 

Nya certifikat som utfärdas med onlinemallar kommer automatiskt att innehålla 1.3.6.1.4.1.311.25.2 tillägg. Om vissa certifikat ska undantas från att ta emot detta tillägg kan administratörer använda följande kommando: 

certutil -dstemplate användare msPKI-Registreringsflagga +0x00080000 

Detta säkerställer att utvalda mallar inte tvingar fram starka mappningar. 

CertSecure Manager: Din efterlevnadspartner i ett föränderligt kryptografiskt landskap 

CertSecure Manager har varit i framkant när det gäller att stödja organisationer i att hålla sig uppdaterade med de senaste kryptografiska policyövergångarna. Allt eftersom efterlevnadsstandarder utvecklas – oavsett om det är genom NIST rekommendationer, PCI DSS-uppdateringar eller nya branschmandat—CertSecure-hanterare säkerställer att företag följer reglerna utan avbrott.

Hur CertSecure Manager håller dig i framkant 

  • Proaktiv efterlevnadsanpassning

    CertSecure Manager uppdaterar kontinuerligt sitt regelverk för att anpassa sig till nya regelverk som HIPAA, PCI DSS, GDPRoch NIST 800-131A.

  • Automatiserade uppdateringar för kryptografiska övergångar

    I takt med att kryptografiska policyer förändras, såsom övergången till starkare hashalgoritmer, nyckelstorlekar och rotationsintervall, automatiserar CertSecure Manager certifikatuppdateringar och förnyelser för att säkerställa oavbruten efterlevnad.

  • Realtidsövervakning och policytillämpning

    Organisationer får omedelbara aviseringar om certifikat som löper ut och kryptografiska konfigurationer som inte uppfyller kraven, vilket förhindrar säkerhetsbrister och påföljder.

  • Sömlös integration med nya standarder

    Oavsett om det är post-kvantkryptografi adoption, TLS-certifikat CertSecure Manager är utformad för att enkelt integreras med nya standarder, vare sig det gäller giltighetsminskningar eller nya kryptografiska bästa praxis. Med utökade rapporteringsmöjligheter ligger din organisation steget före sårbarheter och avbrott.

Med CertSecure-hanterare, minskar din organisation avsevärt risken för tjänsteavbrott på grund av icke-kompatibla certifikat, sparar tid och resurser i övergången till stark certifikatmappning och säkerställer kontinuerlig efterlevnad av alla ständigt föränderliga säkerhetskrav. Vår lösning tillgodoser inte bara de omedelbara behoven för tillämpningen i februari 2025 utan tillhandahåller också en robust plattform för långsiktig hantering av certifikatlivscykeln.

Förutom CertSecure Manager, Encryption Consultings PKI-bedömningstjänst ger en omfattande utvärdering av er PKI-infrastruktur. Vår tjänst hjälper er organisation att identifiera säkerhetsbrister och sårbarheter i er PKI. Vårt expertteam utarbetar en anpassad färdplan som hjälper er att optimera era kryptografiska policyer och säkerställa efterlevnad av branschstandarder. Oavsett om ni förbereder er för kommande regeländringar eller stärker er övergripande strategi för certifikathantering, ger en PKI-bedömning expertinsikter och handlingsbara rekommendationer.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Slutsats 

Microsofts starka certifikatmappningshantering är avgörande för att säkra autentiseringsprocesser. Organisationer måste agera snabbt för att granska och uppdatera sin PKI-infrastruktur innan september 2025 deadline. 

För expertvägledning och automatiserad hantering av certifikatlivscykeln, överväg kontakta Krypteringskonsult för att utforska hur CertSecure Manager kan stödja din organisations efterlevnadsarbete. 

Ytterligare referenser: 

Upptäck vår

Relaterade bloggar

Återuppbygga kryptografisk postur-PKI

Den tysta krisen inuti din PKI: Hur smarta säkerhetsteam återuppbygger kryptografisk hållning innan det är för sent

May 25, 2026

Förstå och optimera OCSP för Enterprise PKI

Förstå och optimera OCSP för Enterprise PKI

May 7, 2026

Förstå Active Directory-certifikattjänster

Förstå behållare för Active Directory-certifikattjänster

27 april 2026

Utforska

Fler ämnen