MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

SCEP, Intune und Strong Mapping

Was ist zu beachten, wenn Sie "Strong Mapping" mit Zertifikaten einsetzen und Geräte mit Intune verwalten, die kein Computerkonto im lokalen AD haben?

Worum geht es?

Der Einsatz von Computerzertifikaten ist heute gelebte Praxis, um bekannten Clients z.B. einen Zugang ins Netzwerk per VPN oder 802.1x zu gewähren. Das ist die erste Abwehr von Angreifern und zudem z.B.: für VPN-Zugänge als sehr sicher und robust anzusehen. Dazu muss der Client natürlich erstmalig  ein Zertifikat erhalten. Domainmitglieder könnten dies einfach intern erhalten aber mobile Geräte (IOS/Android) oder Entra ID-Joined-Clients ohne AD-Mitgliedschaft gelingt das nicht.

Wenn Geräte oder Benutzer sich mit einem Zertifikate an den KDC wenden, dann prüft der KDC ein "Strong Mapping". Das Zertifikat muss dann die SID des Objects (User/Computer) enthalten und die Windows PKI prüft bei der Ausstellung die Berechtigung. Das war bis 2022 nicht der Fall und ein Angreifer konnte daher als Device ein Zertifikat und damit auch ein Kerberos-Ticket für einen  beliebigen Benutzer bekommen. Das hat Microsoft nun geändert.

  • 10. Mai 2022
    Das Update KB5014754 aktiviert auf der Windows PKI das Ausstellen solcher Zertifikate. Sie erkennen es an der "OID 1.3.6.1.4.1.311.25.2" in neu ausgestellten Zertifikaten. Zudem protokolliert der Domain Controller einen EventiD 39 für Anmeldungen von Client mit einem unsicheren Zertifikat.
  • 7. Okt 2024
    In Intune konnte erstmals strong Mapping konfiguriert werden. "Attribute – URI Value – {{OnPremisesSecurityIdentifier}}"
    New strong mapping requirements for SCEP certificates authenticating with KDC
    https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new#new-strong-mapping-requirements-for-scep-certificates-authenticating-with-kdc
  • 11. Feb 2025
    Mit dem Security Updates für Windows wird das Enforcement aktiviert. Es kann aber per Regedit noch bis 10. Sep 2025 verzögert werden.
    Hinweis: Ursprünglich war das schon für Nov 2023 geplant aber wurde immer wieder verschoben.
  • 10. Sep 2025
    Ab nun wird der KDC nur noch Zertifikate annehmen, die mit "Strong Mapping"-Attributen versehen sind.

Mit Intune und Entra ID Joined-Devices ist das aber nicht der Fall, denn das Feld "OnPremisesSecurityIdentifier" in Entra ID ist leer, wenn das Gerät nicht  Hybrid-Joined ist. Damit kann die Client beim Request hier auch keinen Inhalt einfügen.

SCEP Policy

Wenn Sie mit PKCS oder SCEP ein Zertifikat auf ein Endgerät ausrollen, dann müssen Sie ggfls. ihre SCEP-Policy anpassen.

 


Quelle: https://learn.microsoft.com/en-us/mem/intune-service/protect/certificates-profile-scep

Intune Certificate Conector

Der Intune Connector, welcher auf einem lokalen Computer installiert ist und die Verbindung zwischen Intune und ihrer lokalen privaten PKI herstellt, muss ebenfalls aktualisiert werden. Bei den meisten Installationen sollte das schon erfolgt sein, aber eine Kontrolle ist doch besser, z.B. über die Systemsteuerung des Servers

Intune Certificate Connector is updated to at least version 6.2406.0.1001 

Damit ist es aber noch nicht genug, Sie müssen für ein PKCS-Rollout noch einen Registrierungswert setzen, z.B. mit

Set-ItemProperty `
   -Path ‘HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector’ `
   -Name EnableSidSecurityExtension `
   -Value 1 `
   -Force

Für SCEP ist nicht nicht erforderlich, da hier ja der Client selbst direkt den Request an die PKI stellt.

Domain Controller

Die Unsicherheit, welche ich auf Cert Logon Unsicherheit (KB5014754) beschrieben habe, sollte mittlerweile schon auf allen Clients und Servern, und damit auch auf allen DCs erzwungen worden sein. Das Windows Update vom 11. Febuar 2025 hat den Default auf "Require" gesetzt und ein Administrator kann nur noch bis zum 10. Sep 2025 über einen Registrierungsschlüssel das Enforcement verzögern.

Troubleshooting Windows

Die erste Anlaufstelle für Fehlersuchen aber auch Bestätigungen ist das Windows Eventlog. Auf dem Client gibt es dazu folgendes Eventlog:

Eventlog: Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin

Auf zwei Event möchte ich hinweisen.

Event 306: 
   SCEP Policy angekommen und Verarbeitung startet: Code:0x2ab0003 = DM_S_ACCEPTED_FOR_PROCESSING

Event 39:
   "SCEP: Certificate installed successfully"

Die Meldung mit der EventID 306 zeigt an, dass die in Intune konfigurierte SCEP-Policy angekommen ist. Der Client versucht dann den SCEP-Server zu erreichen und ein Zertifikat zu erhalten was durch die EventID 39 bestätigt wird. 

Weitere Links