SCEP, Intune und Strong Mapping

Was ist zu beachten, wenn Sie "Strong Mapping" mit Zertifikaten einsetzen und Geräte mit Intune verwalten, die kein Computerkonto im lokalen AD haben?

Beachten Sie dazu auch die Seite Windows VPN mit Zertifikat und Intune

Worum geht es?

Der Einsatz von Computerzertifikaten ist heute gelebte Praxis, um bekannten Clients z.B. einen Zugang ins Netzwerk per VPN oder 802.1x zu gewähren. Das ist die erste Abwehr von Angreifern und zudem z.B.: für VPN-Zugänge als sehr sicher und robust anzusehen. Dazu muss der Client natürlich erstmalig  ein Zertifikat erhalten. Domainmitglieder könnten dies einfach intern erhalten aber mobile Geräte (IOS/Android) oder Entra ID-Joined-Clients ohne AD-Mitgliedschaft gelingt das nicht.

Wenn Geräte oder Benutzer sich mit einem Zertifikate an den KDC wenden, dann prüft der KDC ein "Strong Mapping". Das Zertifikat muss dann die SID des Objects (User/Computer) enthalten und die Windows PKI prüft bei der Ausstellung die Berechtigung. Das war bis 2022 nicht der Fall und ein Angreifer konnte daher als Device ein Zertifikat und damit auch ein Kerberos-Ticket für einen  beliebigen Benutzer bekommen. Das hat Microsoft nun geändert.

• 10. Mai 2022
  Das Update KB5014754 aktiviert auf der Windows PKI das Ausstellen solcher Zertifikate. Sie erkennen es an der "OID 1.3.6.1.4.1.311.25.2" in neu ausgestellten Zertifikaten. Zudem protokolliert der Domain Controller einen EventiD 39 für Anmeldungen von Client mit einem unsicheren Zertifikat.
• 7. Okt 2024
  In Intune konnte erstmals strong Mapping konfiguriert werden. "Attribute – URI Value – {{OnPremisesSecurityIdentifier}}"
  New strong mapping requirements for SCEP certificates authenticating with KDC
  https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new#new-strong-mapping-requirements-for-scep-certificates-authenticating-with-kdc
• 11. Feb 2025
  Mit dem Security Updates für Windows wird das Enforcement aktiviert. Es kann aber per Regedit noch bis 10. Sep 2025 verzögert werden.
  Hinweis: Ursprünglich war das schon für Nov 2023 geplant aber wurde immer wieder verschoben.
• 10. Sep 2025
  Ab nun wird der KDC nur noch Zertifikate annehmen, die mit "Strong Mapping"-Attributen versehen sind.

Mit Intune und Entra ID Joined-Devices ist das aber nicht der Fall, denn das Feld "OnPremisesSecurityIdentifier" in Entra ID ist leer, wenn das Gerät nicht  Hybrid-Joined ist. Damit kann die Client beim Request hier auch keinen Inhalt einfügen.

SCEP Policy

Wenn Sie mit PKCS oder SCEP ein Zertifikat auf ein Endgerät ausrollen, dann müssen Sie ggfls. ihre SCEP-Policy anpassen.

Quelle: https://learn.microsoft.com/en-us/mem/intune-service/protect/certificates-profile-scep

Intune Certificate Conector

Der Intune Connector, welcher auf einem lokalen Computer installiert ist und die Verbindung zwischen Intune und ihrer lokalen privaten PKI herstellt, muss ebenfalls aktualisiert werden. Bei den meisten Installationen sollte das schon erfolgt sein, aber eine Kontrolle ist doch besser, z.B. über die Systemsteuerung des Servers

Intune Certificate Connector is updated to at least version 6.2406.0.1001 

Damit ist es aber noch nicht genug, Sie müssen für ein PKCS-Rollout noch einen Registrierungswert setzen, z.B. mit

Set-ItemProperty `
   -Path ‘HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector’ `
   -Name EnableSidSecurityExtension `
   -Value 1 `
   -Force

Für SCEP ist nicht nicht erforderlich, da hier ja der Client selbst direkt den Request an die PKI stellt.

• What's new in Microsoft Intune: Week of October 7, 2024
  New strong mapping requirements for SCEP certificates authenticating with KDC
  https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new#new-strong-mapping-requirements-for-scep-certificates-authenticating-with-kdc
• Support tip: Implementing strong mapping in Microsoft Intune certificates
  https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376
• Strong Certificate Mapping for Intune PKCS and SCEP Certificates
  https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/

Domain Controller

Die Unsicherheit, welche ich auf Cert Logon Unsicherheit (KB5014754) beschrieben habe, sollte mittlerweile schon auf allen Clients und Servern, und damit auch auf allen DCs erzwungen worden sein. Das Windows Update vom 11. Febuar 2025 hat den Default auf "Require" gesetzt und ein Administrator kann nur noch bis zum 10. Sep 2025 über einen Registrierungsschlüssel das Enforcement verzögern.

• Cert Logon Unsicherheit (KB5014754)
  Support tip: Implementing strong mapping in Microsoft Intune certificates
  https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376
• KB5014754: Certificate-based authentication changes on Windows domain controllers
  https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16
• CVE 2022 26923 Active Directory Domain Services Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
• Certifried: Active Directory Domain Privilege Escalation (CVE-2022–26923)
  https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4

Troubleshooting Windows

Die erste Anlaufstelle für Fehlersuchen aber auch Bestätigungen ist das Windows Eventlog. Auf dem Client gibt es dazu folgendes Eventlog:

Eventlog: Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin

Auf zwei Event möchte ich hinweisen.

Event 306: 
   SCEP Policy angekommen und Verarbeitung startet: Code:0x2ab0003 = DM_S_ACCEPTED_FOR_PROCESSING

Event 39:
   "SCEP: Certificate installed successfully"

Die Meldung mit der EventID 306 zeigt an, dass die in Intune konfigurierte SCEP-Policy angekommen ist. Der Client versucht dann den SCEP-Server zu erreichen und ein Zertifikat zu erhalten was durch die EventID 39 bestätigt wird. 

• Troubleshooting SCEP certificate profiles with Intune
  https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-profiles#logs-for-windows-devices
• Troubleshooting the deployment of SCEP certificates profile to devices in Intune
  https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-profile-deployment
• Troubleshooting device to NDES server communication for SCEP certificate profiles in Microsoft Intune
  https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-device-to-ndes
• Troubleshooting the delivery of certificates provisioned by SCEP to devices in Microsoft Intune
  https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-delivery 

Weitere Links

• Windows VPN mit Zertifikat und Intune
• Cert Logon Unsicherheit (KB5014754)
• Konfigurieren und Verwenden Ihrer PKCS-Zertifikate mit Intune
  https://learn.microsoft.com/de-de/mem/intune/protect/certificates-pfx-configure
• Support tip: Implementing strong mapping in Microsoft Intune certificates
  https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376
• Strong Certificate Mapping for Intune PKCS and SCEP Certificates
  https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/
• Support tip: Implementing strong mapping in Microsoft Intune certificates 
  https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376
• Strong mapped certificates Intune NDES SCEP 
  https://timbeer.com/strong-mapped-certificates-intune-ndes-scep/
• KB5014754: Certificate-based authentication changes on Windows domain controllers
  https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16
• CVE-2022-34691 Active Directory Domain Services Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34691
• CVE-2022-26931 Windows Kerberos Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26931
• CVE-2022-26923 Active Directory Domain Services Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
• How objects and credentials are synchronized in a Microsoft Entra Domain Services managed domain
  https://learn.microsoft.com/en-us/entra/identity/domain-services/synchronization  
• Remove on-premise attributes from (migrated) cloud-only accounts
  https://cloudkreise.de/?p=488
• Strong mapped certificates Intune NDES SCEP
  https://timbeer.com/strong-mapped-certificates-intune-ndes-scep/
• Strong Certificate Mapping for Intune PKCS and SCEP Certificates
  https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/
• Strong Certificate Mapping Enforcement February 2025
  https://directaccess.richardhicks.com/2025/01/27/strong-certificate-mapping-enforcement-february-2025/
• Intune Strong Certificate Mapping Error
  https://directaccess.richardhicks.com/tag/onpremisessecurityidentifier/
• Deep-dive to Azure AD device join
  https://aadinternals.com/post/devices/#onpremisessecurityidentifier