SCEP, Intune und Strong Mapping
Was ist zu beachten, wenn Sie "Strong Mapping" mit Zertifikaten einsetzen und Geräte mit Intune verwalten, die kein Computerkonto im lokalen AD haben?
Beachten Sie dazu auch die Seite Windows VPN mit Zertifikat und Intune
Worum geht es?
Der Einsatz von Computerzertifikaten ist heute gelebte Praxis, um bekannten Clients z.B. einen Zugang ins Netzwerk per VPN oder 802.1x zu gewähren. Das ist die erste Abwehr von Angreifern und zudem z.B.: für VPN-Zugänge als sehr sicher und robust anzusehen. Dazu muss der Client natürlich erstmalig ein Zertifikat erhalten. Domainmitglieder könnten dies einfach intern erhalten aber mobile Geräte (IOS/Android) oder Entra ID-Joined-Clients ohne AD-Mitgliedschaft gelingt das nicht.
Wenn Geräte oder Benutzer sich mit einem Zertifikate an den KDC wenden, dann prüft der KDC ein "Strong Mapping". Das Zertifikat muss dann die SID des Objects (User/Computer) enthalten und die Windows PKI prüft bei der Ausstellung die Berechtigung. Das war bis 2022 nicht der Fall und ein Angreifer konnte daher als Device ein Zertifikat und damit auch ein Kerberos-Ticket für einen beliebigen Benutzer bekommen. Das hat Microsoft nun geändert.
- 10. Mai 2022
Das Update KB5014754 aktiviert auf der Windows PKI das Ausstellen solcher Zertifikate. Sie erkennen es an der "OID 1.3.6.1.4.1.311.25.2" in neu ausgestellten Zertifikaten. Zudem protokolliert der Domain Controller einen EventiD 39 für Anmeldungen von Client mit einem unsicheren Zertifikat. - 7. Okt 2024
In Intune konnte erstmals strong Mapping konfiguriert werden. "Attribute – URI Value – {{OnPremisesSecurityIdentifier}}"
New strong mapping requirements for SCEP certificates authenticating with KDC
https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new#new-strong-mapping-requirements-for-scep-certificates-authenticating-with-kdc - 11. Feb 2025
Mit dem Security Updates für Windows wird das Enforcement aktiviert. Es kann aber per Regedit noch bis 10. Sep 2025 verzögert werden.
Hinweis: Ursprünglich war das schon für Nov 2023 geplant aber wurde immer wieder verschoben. - 10. Sep 2025
Ab nun wird der KDC nur noch Zertifikate annehmen, die mit "Strong Mapping"-Attributen versehen sind.
Mit Intune und Entra ID Joined-Devices ist das aber nicht der Fall, denn das Feld "OnPremisesSecurityIdentifier" in Entra ID ist leer, wenn das Gerät nicht Hybrid-Joined ist. Damit kann die Client beim Request hier auch keinen Inhalt einfügen.
SCEP Policy
Wenn Sie mit PKCS oder SCEP ein Zertifikat auf ein Endgerät ausrollen, dann müssen Sie ggfls. ihre SCEP-Policy anpassen.
Quelle:
https://learn.microsoft.com/en-us/mem/intune-service/protect/certificates-profile-scep
Intune Certificate Conector
Der Intune Connector, welcher auf einem lokalen Computer installiert ist und die Verbindung zwischen Intune und ihrer lokalen privaten PKI herstellt, muss ebenfalls aktualisiert werden. Bei den meisten Installationen sollte das schon erfolgt sein, aber eine Kontrolle ist doch besser, z.B. über die Systemsteuerung des Servers
Intune Certificate Connector is updated to at least version 6.2406.0.1001
Damit ist es aber noch nicht genug, Sie müssen für ein PKCS-Rollout noch einen Registrierungswert setzen, z.B. mit
Set-ItemProperty ` -Path ‘HKLM:\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector’ ` -Name EnableSidSecurityExtension ` -Value 1 ` -Force
Für SCEP ist nicht nicht erforderlich, da hier ja der Client selbst direkt den Request an die PKI stellt.
- What's new in Microsoft Intune: Week of October 7, 2024
New strong mapping requirements for SCEP certificates authenticating with KDC
https://learn.microsoft.com/en-us/mem/intune-service/fundamentals/whats-new#new-strong-mapping-requirements-for-scep-certificates-authenticating-with-kdc - Support tip: Implementing strong mapping in Microsoft Intune certificates
https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376 - Strong Certificate Mapping for Intune PKCS and SCEP Certificates
https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/
Domain Controller
Die Unsicherheit, welche ich auf Cert Logon Unsicherheit (KB5014754) beschrieben habe, sollte mittlerweile schon auf allen Clients und Servern, und damit auch auf allen DCs erzwungen worden sein. Das Windows Update vom 11. Febuar 2025 hat den Default auf "Require" gesetzt und ein Administrator kann nur noch bis zum 10. Sep 2025 über einen Registrierungsschlüssel das Enforcement verzögern.
-
Cert Logon Unsicherheit (KB5014754)
Support tip: Implementing strong mapping in Microsoft Intune certificates
https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376 - KB5014754: Certificate-based authentication changes on
Windows domain controllers
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16 - CVE 2022 26923 Active Directory Domain
Services Elevation of Privilege
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923 - Certifried: Active Directory Domain
Privilege Escalation (CVE-2022–26923)
https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
Troubleshooting Windows
Die erste Anlaufstelle für Fehlersuchen aber auch Bestätigungen ist das Windows Eventlog. Auf dem Client gibt es dazu folgendes Eventlog:
Eventlog: Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin
Auf zwei Event möchte ich hinweisen.
Event 306: SCEP Policy angekommen und Verarbeitung startet: Code:0x2ab0003 = DM_S_ACCEPTED_FOR_PROCESSING Event 39: "SCEP: Certificate installed successfully"
Die Meldung mit der EventID 306 zeigt an, dass die in Intune konfigurierte SCEP-Policy angekommen ist. Der Client versucht dann den SCEP-Server zu erreichen und ein Zertifikat zu erhalten was durch die EventID 39 bestätigt wird.
- Troubleshooting SCEP certificate profiles with Intune
https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-profiles#logs-for-windows-devices - Troubleshooting the deployment of SCEP certificates profile
to devices in Intune
https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-profile-deployment - Troubleshooting device to NDES server communication for SCEP
certificate profiles in Microsoft Intune
https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-device-to-ndes - Troubleshooting the delivery of certificates provisioned by
SCEP to devices in Microsoft Intune
https://learn.microsoft.com/en-us/troubleshoot/mem/intune/certificates/troubleshoot-scep-certificate-delivery
Weitere Links
- Windows VPN mit Zertifikat und Intune
- Cert Logon Unsicherheit (KB5014754)
- Konfigurieren und Verwenden Ihrer PKCS-Zertifikate mit Intune
https://learn.microsoft.com/de-de/mem/intune/protect/certificates-pfx-configure - Support tip: Implementing strong mapping in Microsoft Intune certificates
https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376 - Strong Certificate Mapping for Intune PKCS and SCEP Certificates
https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/ - Support tip: Implementing strong mapping
in Microsoft Intune certificates
https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376 - Strong mapped certificates Intune NDES
SCEP
https://timbeer.com/strong-mapped-certificates-intune-ndes-scep/ - KB5014754: Certificate-based authentication changes on
Windows domain controllers
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16 - CVE-2022-34691 Active Directory Domain Services Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34691 - CVE-2022-26931 Windows Kerberos Elevation of Privilege
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26931 - CVE-2022-26923 Active Directory Domain Services Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923 - How objects and credentials are synchronized in a Microsoft
Entra Domain Services managed domain
https://learn.microsoft.com/en-us/entra/identity/domain-services/synchronization - Remove on-premise attributes from (migrated) cloud-only
accounts
https://cloudkreise.de/?p=488 - Strong mapped certificates Intune NDES SCEP
https://timbeer.com/strong-mapped-certificates-intune-ndes-scep/ - Strong Certificate Mapping for Intune PKCS and SCEP
Certificates
https://directaccess.richardhicks.com/2024/11/04/strong-certificate-mapping-for-intune-pkcs-and-scep-certificates/ - Strong Certificate Mapping Enforcement February 2025
https://directaccess.richardhicks.com/2025/01/27/strong-certificate-mapping-enforcement-february-2025/ - Intune Strong Certificate Mapping Error
https://directaccess.richardhicks.com/tag/onpremisessecurityidentifier/ - Deep-dive to Azure AD device join
https://aadinternals.com/post/devices/#onpremisessecurityidentifier