Microsofts Strong Certificate Enforcement

Das Strong Certificate Enforcement ist ein kritischer Bestandteil der Sicherheitsstrategie von Microsoft, welches im Februar 2025 vollständig aktiviert wird. Ein OPT-Out ist nur noch bis September 2025 möglich. Danach wird das Strong Certificate Binding erzwungen. Authentifizierungen innerhalb von ADDS mit Zertifikaten ist dann nur noch mit Strong Mapping möglich. Es zielt darauf ab, die Authentifizierung mit Benutzer- und Gerätezertifikaten zu stärken und die Sicherheit zu erhöhen. Aber was bedeutet das konkret für Ihre IT-Infrastruktur und wie können Sie sicherstellen, dass Ihre Umgebung bereit ist?

Strong Certificate Enforcement bezieht sich auf die sichere Zuordnung von Zertifikaten zu Benutzern oder Geräten. Dabei wird der Security Identifier (SID) des Prinzipals in das Zertifikat eingebettet, um eine gewisse Fälschungssicherheit zu erreichen. Dies ist besonders wichtig für Anwendungen wie Always On VPN, WLAN und andere Dienste, die Authentifizierung einsetzen, welche auf Zertifikaten basieren.

Ohne Strong Certificate Enforcement besteht die Gefahr, dass Angreifer Zertifikate fälschen und so Zugriff auf Ihre Systeme und Daten erhalten. Durch die Einführung dieser Sicherheitsmaßnahme wird die Wahrscheinlichkeit solcher Angriffe erheblich reduziert.

1. Aktualisieren Sie Ihre Server: Stellen Sie sicher, dass alle Server, die Active Directory Certificate Services und Windows-Domain-Controller betreiben, auf die neuesten Updates aktualisiert sind. Besonders wichtig ist das Update von Mai 2022 (KB5014754), welches die Grundlage für die Strong Certificate Mapping bildet.

2. Überprüfen Sie Ihre Zertifikate: Überprüfen Sie Ihre Zertifikate, um sicherzustellen, dass Strong Mapping aktiv ist. Dies kann durch die Überprüfung der Event-Protokolle auf Ihren Domain-Controllern erfolgen. Folgende Events sind hierfür ausschlaggebend:

Event Log: System

EventTypes: “Warning” - Wenn der KDC im Kompatibilitätsmodus läuft oder “Error” - Wenn sich der KDC bereits im Erzwingungsmodus befindet

Source: Kdcsvc

EventID: 39 (41 bei Server 2008)

3. Konfigurieren Sie die Registry-Keys: Falls erforderlich, konfigurieren Sie die Registry-Keys auf Ihren Domain-Controllern, um den Kompatibilitätsmodus zu aktivieren. Dies ist vorübergehend bis September 2025 möglich.

Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
Name: StrongCertificateBindingEnforcement
Type: DWORD
Value: 1

4. Überwachen Sie Ihre Systeme: Nach der Aktivierung des Full Enforcement-Modus sollten Sie Ihre Systeme gründlich überwachen, um sicherzustellen, dass keine Authentifizierungsfehler auftreten.

3. Deaktivieren Sie den Kompatibilitätsmodus: Falls Sie den Kompatibilitätsmodus aktiviert haben, deaktivieren Sie diesen vor September 2025. Dies kann durch die Entfernung der Registry-Keys oder durch die Aktivierung des Full Enforcement-Modus erfolgen.

4. Überwachen Sie die Authentifizierungsprozesse: Nach der Aktivierung des Full Enforcement-Modus sollten Sie Ihre Authentifizierungsprozesse sorgfältig überwachen, um sicherzustellen, dass keine Probleme auftreten.