Certifikatsbaserad autentisering förändras i Windows (igen…) – åtgärd krävs!

2024-11-18

OBS! Åtgärd krävs innan 2025-02-11!

I maj 2022 rapporterade vi om att certifikatsbaserad autentisering i Windows kommer att förändras, Microsoft kallar detta strong certificate mapping, eller strong certificate binding. (läs tidigare inlägg här: Certifikatsbaserad inloggning förändras i Windows)

Microsoft har vid flera tillfällen skjutit upp tidsfristen för implementation av detta, och i skrivande stund kommer implementationen att ske med februari-uppdateringen 2025, som preliminärt släpps 2025-02-11. Om man inte har vidtagit rätt åtgärder i Active Directory och PKI innan denna uppdatering installeras kommer certifikatsbaserad autentisering i Windows sluta fungera.

Sannolikheten är stor att en åtgärd behövs och vi rekommenderar alla organisationer som använder Windows att omedelbart undersöka om man behöver vidta åtgärder.

Det som sker på teknisk nivå är att domänkontrollanterna kommer att leta efter en ny extension i certifikaten, ”SID”, Security Identifier, OID 1.3.6.1.4.1.311.25.2. Denna extension kommer att inkluderas i certifikat utgivna av Windows ADCS om ADCS uppdaterats med 10:e maj 2022-uppdateringen. I nuläget arbetar domänkontrollanterna i ”compatibility mode” vilket innebär att de loggar en varning i eventloggen när en användare loggar in med ett certifikat utan SID. Man kan dock ställa in kontrollanterna att neka inloggning med sådana certifikat redan nu, eller helt stänga av funktionen så att kontrollanten inte bryr sig alls, det måste man göra innan februari 2025 uppdateringen av Windows. Med september-uppdateringen (2025-09-10) kommer domänkontrollanterna hamna i ”Full Enforcement Mode” vilket innebär att enheter med certifikat utan SID-extensionen kommer att nekas autentisering.

Det finns ett antal åtgärder att vidta för att slippa byta ut befintliga certifikat, men om man har möjlighet är det bäst att byta ut alla certifikat till sådana som innehåller SID. Organisationer som använder tredjeparts-CA (Trusted Third Party CA) behöver undersöka situationen i sitt specifika fall.

Kontakta sales@certezza.net för mer information.

 

Läs mer på:

https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013944-os-build-20348-707-05509703-187a-4d5b-97f5-8793dbb22991