Certifikatsbaserad inloggning förändras i Windows

2022-05-23
Microsoft släppte i sin maj-uppdatering 2022-05-10 bland annat en förstärkning av identifieringen vid certifikatsbaserad inloggning. I korthet innebär det att domänkontrollanterna kommer att börja leta efter nytt innehåll i certifikaten för att säkerställa att de är korrekt utfärdade. Certifikat som inte uppfyller kraven kommer inte att kunna användas för inloggning efter 2023-05-09.

Detta kommer att påverka alla som använder certifikatsbaserad inloggning och organisationen måste undersöka om man behöver vidta åtgärder för att certifikatsbaserad inloggning ska fortsätta fungera efter 2023-05-09. Risken är väldigt stor att åtgärder krävs.

Det som sker på teknisk nivå är att domänkontrollanterna kommer att leta efter en ny extension i certifikaten, ”SID”, Security IDentifier, OID 1.3.6.1.4.1.311.25.2. Denna extension kommer att inkluderas i certifikat utgivna av Windows ADCS, om ADCS uppdateras med 10:e maj 2022-uppdateringen. Till en början kommer domänkontrollanterna arbeta i ”compability mode” vilket innebär att de loggar en varning i eventloggen när en användare loggar in med ett certifikat utan SID. Man kan dock ställa in kontrollanterna att neka inloggning med sådana certifikat redan nu, eller helt stänga av funktionen så att kontrollanten inte bryr sig alls. Men 2023-05-09 kommer domänkontrollanterna hamna i ” Full Enforcement Mode” vilket innebär att användare med certifikat utan SID-extensionen kommer att nekas inloggning.

Det finns ett antal åtgärder att vidta för att slippa byta ut befintliga certifikat, men om man har möjlighet är det bäst att byta ut alla certifikat till sådana som innehåller SID. Organisationer som använder tredjeparts-CA, eller Trusted Third Party certifikat behöver undersöka situationen i sitt specifika fall.

Globalt har det rapporterats en del problem gällande detta även i “compability mode” eller “Disabled Mode”, varför vissa organisationer valt att ännu inte installera 10:e maj 2022-uppdateringen.

Läs mer här:

https://support.microsoft.com/en-gb/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16

https://support.microsoft.com/en-au/topic/may-10-2022-kb5014011-monthly-rollup-73d94574-c6a2-436c-b935-dc07af430dea

För mer information kontakta support@certezza.net