はじめに
2025年2月11日に、KB5014754 が適用された ドメインコントローラー において、厳密な証明書マッピングが 完全適用モード に移行されます。
これによって、運用しているシステムに影響が出る恐れがあるので、情報をまとめてみました。
なお、今回の私の記事は、注意喚起 と 判りやすさ に主軸を置いています。公開情報の読解をもとに記載しており、検証した結果を元にしているわけではないため、解釈の違いがあった場合はご容赦ください。
詳細は、以下の Support Blog や、その他記事内で紹介したリンクを参照いただければと思いますので、本記事内では なるべく簡単な内容にまとめておきたいと思います。
公開情報
Support Blog
こちらに判りやすくまとめられています。
表記ゆれについて
英語名は、Strong Mapping なのですが、日本語だと、厳密なマッピング、高度なマッピング、強力なマッピング など、表記ゆれがあるので、注意してください。
2025/2/13 追記:Youtube 動画
MVP の胡田さんが、本件についての解説動画をアップしてくれていました。
大変分かりやすく解説してくれていますので、こちら確認いただいても良いかと思います。
https://www.youtube.com/watch?v=NmyK-iBF7T8
注意点
2025/2/13 追記
各方面について照会しましたが、すべて ① KB 適用によって反映 という見解となっていました。
(照会した先)
・過去に本件について問い合わせした人が、MS サポートから回答された
・私が、知り合いの MS テクサポの人に聞いた結果
・胡田さんの動画の内容
2025/2/7 追記
当初は、以下の ② すでに運命が刻まれている のみを注意点として記載していました。
ですが、可能性として そうではなく ① KB 適用によって反映 という振る舞いかもしれないと思い、修正させていただきました。公開情報を読んでも、① ② どちらの可能性も考えられるので、2025/2/11 の KB が提供された際の情報をチェックするしかないかなと思っています。
※正確な情報が判ったら、こちらに追記したいと思います。
① KB 適用によって反映
2025/2/11 提供の KB を OS に適用することで、完全適用モード になるのか?
※だからと言って、KB 適用しないことを対策として選ぶべきではないと考えます。KB5014754 の主旨に乗っ取り、一旦 互換モードに戻しつつ、最新の KB を適用し、計画的に 厳密な証明書マッピングを運用に取り込むことを考えましょう。
② すでに運命が刻まれている ← 2025/2/13 追記:こちらでは無さそうです。
KB5014754 は、これから適用される更新ではなく、既に 2022 年 5 月 10 日 に公開されている KB である点です。
時限措置なのか?
2025 年 2 月 11 日 を迎えると、運用環境の動作に変更されるような命令がハードコーディングされているのか?
2025 年 2 月 11 日は、祝日
日本では、2/11 は、建国記念の日 です。
休みの際に、システムに影響が出ていないか、翌営業日の 2/12 の朝に、システムに繋がらない…などの影響が出ていないか、気に掛けておくと良さそうです。
2025/2/7 追記
本件について、KB5014754 で発表された内容ですが、各 OS に適用される KB は、別名になっています。以下の表で確認してください。
いずれの OS の KB でも、以下の記載が見つかるはずです。
OS ごとの KB 一覧 (KB5014754)
| OS | 2022/5/10 更新 | 2025/2/11 更新 |
|---|---|---|
| Windows Server 2022 | KB5015013 | KB5051979 |
| Windows Server 2019 | KB5015018 | KB5052000 |
| Windows Server 2016 | KB5015019 | KB5052006 |
| Windows Server 2012 R2 | KB5014986 | KB5052042 |
| Windows Server 2012 | KB5014991 | KB5052020 |
| Windows Server 2008 R2 | KB5014987 | なし |
| Windows Server 2008 | KB5014990 | なし |
2025/2/13 追記
2025/2/11 に提供された KB を調べて、上記の表に反映しました。
各 KB の説明には、本件についての記載はありませんでした。
う~ん、これで 完全適用モードに変更されているのだろうか?
それから、Windows Server 2008 / R2 については、サポートが終了しているため、2025/2/11 には、KB の提供はありませんでした。これって、レジストリで 手動で 完全適用モードにするしかない・・・ってこと? 色々と謎が残ります
本件、引き続き 何か判明したら 追記していきます
なぜこのような話になっているのか?
目的
Kerberos Key Distribution Center (KDC) が証明書ベースの認証要求を処理しているときに発生する可能性がある特権の昇格の脆弱性に対処することが目的です。
Microsoft では、2022 年 5 月の段階から、本件について公表していて、証明書マッピングのセキュリティの脆弱性を解決するために、2025 年 9 月 10 日 の強制適用に向けて、段階的なアプローチが提案されていました。
2022/5/10 以前
2022 年 5 月 10 日のセキュリティ更新プログラムの提供以前では、証明書ベースの認証では、コンピューター名の末尾にドル記号 ($) が考慮されていませんでした。 これにより、関連する証明書をさまざまな方法でエミュレート (なりすまし) ができてしまいます。 さらに、ユーザー プリンシパル名 (UPN) と sAMAccountName の間の競合により、他のエミュレーション (スプーフィング) の脆弱性も存在しています。
【第1段階】2022/5/10 ~ 2025/2/10
KB5014754 の適用によって、脆弱性に対処するために、厳密な証明書マッピングがサポートされました。
しかし、互換性が考慮されており、検証環境などで 意図的に 適用モードを変更し、厳密なマッピングが動作した際の業務影響を 利用者側で検証できる期間が設けられました。
そして、完全適用モード へ移行した場合にエラーとなる認証については、イベントログにメッセージが記録されるようになっています。
積極的に検証することによって、あらかじめ 業務影響のあるシステムの更改の機会を提供してくれていたのです。
【第2段階】2025/2/11 ~ 2025/9/9
第2段階では、完全適用モード となります。
厳密な証明書マッピングのチェックが行われるようになり、要件を満たさない証明書は、エラーになります。つまり、放置していると、エラーが発生して 影響が出るということです。
しかし、そのような事態も想定されており、回避策として レジストリ(StrongCertificateBindingEnforcement:最終章で説明)を書き換えることで、互換モードに戻すことができ、エラーを回避することができます。
なぜ、このような仕組みになっているのかというと、メールや Web で通知しても、気づいていない利用者がいるためです。このタイミングで、実際に影響のある動作を行い、気づいてもらうことで、注意喚起となることが想定されているのだと思います。
注意
つまり、ここで、レジストリを修正して回避したのに、その後 放置することは 絶対に厳禁です。
エラーが出て使えなかったシステムに対しては、本格的な対策に乗り出す必要があるという事です。
【第3段階】2025/9/10 以降
第3段階として、強制モード となります。
この段階になると、もはや 元に戻すことはできません。
無策のまま、この日を迎えることの無いようにしましょう。
この日まで放置し続けてしまうと、影響が出たシステムを復旧させるには、本格対処を行うしか無くなります(厳格な証明書マッピングの証明書を作り直して配りなおす等)
事前準備していない中での対応となるので、対策を講じるにも時間が掛かりますし、長期間のシステム停止を覚悟しなければならない可能性があります。
タイムライン
時系列を表にまとめてみました。
色が塗られた箇所が選択可能なモードであり、StrongCertificateBindingEnforcement のレジストリが未構成の場合は、"既定値" と書かれた箇所のモードで動作します。
2022/5/10
KB5014754 提供開始
この KB の適用によって、互換モード で動作するようになる。
StrongCertificateBindingEnforcement を設定することで、モードを任意で選択可能となっている。
システムに問題があれば 無効モード "0" にすることが可能。(KB適用前と同一の動作)
積極的に 厳密なマッピング を検証し、問題が無いことが確認できたら 完全適用モード "2" に変更して運用できる。
2023/4/11
無効モード "0" に戻すことができなくなる。
2025/2/11
既定値が 完全適用モード "2" に変更される。(これを機に、影響発生の可能性アリ)
StrongCertificateBindingEnforcement を設定していた場合は、引き続き その設定で動作するため、証明書認証の動作に変更は無い。
2025/9/10
StrongCertificateBindingEnforcement が撤廃され、完全適用モード のみとなる。
互換モード で動かすことができなくなる。
どのようなシステムに影響があるのか?
Wi-Fi や、VPN、Web サイト、スマートカードを使ったログオン などの認証に、クライアント証明書を使用し、ドメインコントローラーを用いた ユーザー または コンピューター のアカウントとマッピングされた証明書認証を使っていると、これらの認証が出来なくなる可能性があります。
例えば、Microsoft Entra CBA や Network Policy Service (NPS) の役割を使ったRADIUS 認証で 証明書認証を採用している環境だと、この条件に該当するため、影響が出ると思います。
恒久対応:完全適用モードで動作させるために
① Intune を使って配布された証明書 の場合
Intune を使うと、証明書の配布が簡単に行えますが、厳密な証明書マッピングへの対応が遅れていました(2024/11/25 に 対応)
そのため、それ以前に 構成した設定で 配布した 証明書は非対応である可能性があります。
この日以後であっても、過去に記載された記事などを参照して構成すると、本件の対応が漏れた状態になりえます。
以下のコミュニティの記事を参考に、OnPremisesSecurityIdentifier を URI として追加する必要がありそうです。
Support tip: Implementing strong mapping in Microsoft Intune certificates
https://techcommunity.microsoft.com/blog/intunecustomersuccess/support-tip-implementing-strong-mapping-in-microsoft-intune-certificates/4053376
(システムの例)
以下のように Intune を使って SCEP 証明書 を配布していた場合に影響がありそうです。この公開情報にも、KB5014754 についての記載がありますので、これを見て構成していた場合は大丈夫かと思います。
公開情報:Intune で SCEP 証明書プロファイルを作成して割り当てる
https://learn.microsoft.com/ja-jp/mem/intune/protect/certificates-profile-scep?wt.mc_id=mvp_407731
以下の私の記事を参考に構成した場合も、影響があります。
② スタンドアロン CA を使って配布された証明書 の場合
スタンドアロン CA の場合は、冒頭でも紹介した 以下の Blog 記事に書かれている 証明書マッピングの構成を行う必要があります。
Support Blog:対処方法について ( 証明書のマッピング )
https://jpwinsup.github.io/blog/2023/04/11/PublicKeyInfrastructure/CertificateManagement/certificate-based-authentication-changes-on-may-2022/#対処方法について-証明書のマッピング
(システムの例)
以下の私の記事を参考に構成した場合に、影響があります。
③ エンタープライズ CA を使って配布された証明書 の場合
AD CS に KB5014754 が適用済みであれば、証明書テンプレートの "サブジェクト" タブが Active Directory の情報から構築する になっていれば、既に対策された証明書が配布されているようです。これで対策済みになっているのではないかと思われます。
そうではない場合は、スタンドアロン CA と同様に、手動で証明書のマッピングの実施が必要です。
※冒頭の公開情報より抜粋
※冒頭の Support Blog 記事より抜粋
証明書テンプレート - サブジェクト の画面
(システムの例)
私が投稿した記事では、以下が該当します。
事前の影響確認方法
該当するイベントログが出力されていたら、影響を受ける可能性が 大 です。
| # | Event Log | タイプ | ソース | イベント ID |
|---|---|---|---|---|
| 厳密なマッピングなし | システム | KDC | Kdcsvc | 39 , 41 |
| 証明書の事前日付アカウント | システム | Error | Kdcsvc | 40 , 48 |
| ユーザーSIDが証明書SIDと一致しない | システム | Error | Kdcsvc | 41 , 49 |
詳細は、冒頭で紹介した公開情報のうち、以下の箇所 を開いて見てください。
Support Blog:追加されたイベントログについて
こちらもわかりやすく解説されています。
https://jpwinsup.github.io/blog/2023/04/11/PublicKeyInfrastructure/CertificateManagement/certificate-based-authentication-changes-on-may-2022/#追加されたイベントログについて
暫定対策:モードを変更するレジストリ
万が一、影響が出たときのために、暫定対策のレジストリ値の設定変更方法を準備しておきましょう。
レジストリキー
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
値
StrongCertificateBindingEnforcement
設定値
以下の 緑下線 の通り。"1" にすると、互換モードに戻すことができます。
2025/2/11 以降にトラブルが発生した場合は、緊急回避策となります。
(参考)
(以下の公開情報より抜粋)
要注意
記事内でも言及しましたが、認証エラーの発生に対して、このレジストリ設定で暫定対処したあとは、以後 絶対に放置せず、恒久対策を実施してください。
Support Blog:追加されたレジストリ キーについて
こちらもわかりやすく解説されています。
https://jpwinsup.github.io/blog/2023/04/11/PublicKeyInfrastructure/CertificateManagement/certificate-based-authentication-changes-on-may-2022/#追加されたレジストリ-キーについて
さいごに
ひとまず、私の記事は 切っ掛け程度に見ていただき、紹介した 公開情報 や Blog 記事を熟読して、運用中のシステムへの影響を気に掛けていただければ幸いです。
その他 関連情報
KB5014754 - 強力な証明書マッピング NDES/SCEP
Intune PKCS 証明書の場合は、Intune コネクタの設定変更も必要だとか・・・
https://www.reddit.com/r/Intune/comments/1fvuxpu/kb5014754_strong_certificate_mapping_ndesscep/
[不具合]5月の累積更新プログラムをDCにインストールするとWindowsサービスのAD認証が失敗する
KB5014754 を ADDS に適用する前に、 NPS , EAP , RRAS のサービスへ先に適用しましょう。
https://a-zs.net/202205_ad-certification_error/
ねこまるさんの記事:【Windows】証明書を利用した認証における脆弱性の対処について
大変わかりやすくまとめられています。
https://pkiwithadcs.com/certificate-based_authentication_changes_on_windows/#google_vignette