皆さん、こんにちは。
今回は、KB5014754 Windows ドメイン コントローラーでの証明書ベースの認証の変更 に関して取り上げたいと思います。
まずは、KB5014754 に関する説明からと思いましたが、既に記事になっているので、その記事をご紹介しておきます。
<KB5014754 に関する紹介記事>
厳密な証明書マッピング 2025/2/11 完全適用モードの注意点 (KB5014754) #WindowsServer – Qiita
簡単に要約すると、セキュリティ脆弱性対応のために、段階的にセキュリティ更新プログラムで対処を行っていくというアプローチをマイクロソフトは取っています。
今回の KB5014754 に関しては、2025 年 2 月度に公開されたセキュリティ更新プログラムをドメイン コントローラーに適用すると完全適用モード (Full Enforcement mode) の動作となり、既定で動作が変更となります。これにより、対処を実施していない環境下の場合、アクセス拒否などの挙動になるというものです。
<なぜ、Intune 観点?>
さて、KB5014754 はオンプレミスの Active Directory の話ですが、なぜ Microsoft Intune と関係があるのかと思った方がいらっしゃるかと思います。なぜかというと、オンプレミスの Active Directory 証明書サービス (Active Directory Certificate Services) を用いて証明書を発行して、NPS (Network Policy Server) にて RADIUS (Remote Authentication Dial-In User Service) サーバーとして運用し、無線 LAN 等の認証を行っている場合に影響を受ける可能性があるからです。
実際に、私の自宅検証環境で運用している環境では影響を受けました。
(あえて、対処をしないでおきました。)
具体的には、PKCS (private and public key pair) 証明書を発行していたパターンでした。ポイントとしては、ドメイン コントローラーに、2025 年 2 月度のセキュリティ更新プログラムを適用すると、拒否の動作が始まります。
では、これから実際の環境において、何が起こったのか、どう対処するべきなのかを紹介していきます。
<対象環境>
Active Directory Domain Controller 兼 Active Directory Certificate Services サーバー 兼 Microsoft Intune Certificate Connector サーバー : Windows Server 2022 (10.0.20348.3091 > 10.0.20348.3207)
NPS (Network Policy Server) サーバー : Windows Server 2022 (10.0.20348.3091 > 10.0.20348.3207)
WLAN アクセスポイント : Aruba AP-615
クライアント マシン : Surface Pro with 5G 11th Edition For Business (Windows 11 Dev Channel (Build 26120.3360))
Microsoft Intune 経由で発行される PKCS 証明書を用いて、WLAN アクセスポイントにアクセスする環境
(そもそも、ドメイン コントローラー上に Active Directory Certificate Services や他のサービスを同居させる構成は推奨されていませんが環境を作成した時に同居させてしまったのでお許しください。本番の環境では、別環境に構築することを強くお勧めします。)
<トラブルシューティング フェーズ>
さて、今回は自宅検証環境で影響を受けたので、トラブルシューティングを行っていく観点で記事を記載しようと思います。
まず、前提として、ドメイン コントローラーに 2025 年 2 月のセキュリティ更新プログラムを適用する前から下記のイベント ログがドメイン コントローラー上で表示されていました。
ドメイン コントローラー上のログ
ログの名前: System
ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
日付: 2025/02/15 9:00:50
イベント ID: 39
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-DC01.xxx.xxx.xxx
説明:
キー配布センター (KDC) で、有効なユーザー証明書が検出されましたが、セキュリティで保護された方法 (明示的なマッピング、キー信頼マッピング、SID など) でユーザーにマップできませんでした。このような証明書は、明示的なマッピングを使用して、置き換えるか、ユーザーに直接マップする必要があります。詳細については、https://go.microsoft.com/fwlink/?linkid=2189925 を参照してください。
ユーザー: yutamai
証明書のサブジェクト: @@@E=Yutaro.Tamai@xxx.xxx, CN=Yutaro.Tamai
証明書の発行者: TAMAI-CA
証明書のシリアル番号: 1B000011321196B4EEDC794332000000001132
証明書の拇印: 3A4E2E09DC6670E2C4FAC6DF1F45FFBC448C6DFF
証明書の発行ポリシー:
NPS サーバー上のログ
上記の時点では、Active Directory のドメイン コントローラーに、2025 年 2 月のセキュリティ更新プログラム (Windows Server 2022 の場合、KB5051979) を適用していないので、[警告] 扱いとなり、NPS でもアクセスが許可されていました。
しかし、2025/02/16 にドメイン コントローラーに、2025 年 2 月のセキュリティ更新プログラム (Windows Server 2022 の場合、KB5051979) を適用すると、下記のようにエラーとして記録され、NPS でも拒否の動作となりました。
ドメイン コントローラー上のログ
ログの名前: System
ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
日付: 2025/02/16 10:40:58
イベント ID: 39
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-DC01.xxx.xxx.xxx
説明:
キー配布センター (KDC) で、有効なユーザー証明書が検出されましたが、セキュリティで保護された方法 (明示的なマッピング、キー信頼マッピング、SID など) でユーザーにマップできませんでした。このような証明書は、明示的なマッピングを使用して、置き換えるか、ユーザーに直接マップする必要があります。詳細については、https://go.microsoft.com/fwlink/?linkid=2189925 を参照してください。
ユーザー: yutamai
証明書のサブジェクト: @@@E=Yutaro.Tamai@xxx.xxx, CN=Yutaro.Tamai
証明書の発行者: TAMAI-CA
証明書のシリアル番号: 1B000011331E94E4A7516983AA000000001133
証明書の拇印: 31614EDCE8D170B72B5F3CC5D87B31D7BFBA4F91
証明書の発行ポリシー:
下記のように、2025/02/16 以降は、[エラー] として記録されています。
NPS サーバー上のログ
ログの名前: Security
ソース: Microsoft-Windows-Security-Auditing
日付: 2025/02/16 10:40:58
イベント ID: 6273
タスクのカテゴリ: Network Policy Server
レベル: 情報
キーワード: 失敗の監査
ユーザー: N/A
コンピューター: TAMAI-NPS01.xxx.xxx.xxx
説明:
ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。
詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。
ユーザー:
セキュリティ ID: TAMAI\yutamai
アカウント名: Yutaro.Tamai@xxx.xxx
アカウント ドメイン: TAMAI
完全修飾アカウント名: xxx.xxx.xxx/Visitor/Users/Yutaro Tamai
クライアント コンピューター:
セキュリティ ID: NULL SID
アカウント名: –
完全修飾アカウント名: –
被呼端末 ID: xxxxxxxxxxx:TDC-CORP
起呼端末 ID: xxxxxxxxxxx
NAS:
NAS IPv4 アドレス: 192.168.0.245
NAS IPv6 アドレス: –
NAS ID: 192.168.0.245
NAS ポートの種類: ワイヤレス – IEEE 802.11
NAS ポート: 0
RADIUS クライアント:
クライアントのフレンドリ名: Aruba-AP-615
クライアント IP アドレス: 192.168.0.245
認証の詳細:
接続要求ポリシー名: すべてのユーザーに Windows 認証を使用
ネットワーク ポリシー名: TDC_Wi-Fi (User)
認証プロバイダー: Windows
認証サーバー: TAMAI-NPS01.xxx.xxx.xxx
認証の種類: EAP
EAP の種類: Microsoft: スマート カードまたはその他の証明書
アカウントのセッション ID: –
ログ結果: アカウンティング情報は SQL データ ストアに書き込まれました。
理由コード: 16
理由: ユーザー資格情報の不一致のため、認証に失敗しました。入力したユーザー名が既存のユーザー アカウントにマップされていないか、パスワードが間違っています。
上記のログで分かるように、拒否の動作となりました。
それでは、これからどのように対処していくのか見ていきましょう。
<対処フェーズ>
では、実際にこの問題に対処していきましょう。
今回のケースの場合、Microsoft Intune Certificate Connector を用いて、PKCS (private and public key pair) 証明書を発行している場合です。
Microsoft Learn に記載の内容に沿って対処を行います。
対処としては、以下を対応します。
- Microsoft Intune Certificate Connector をバージョン 6.2406.0.1001 以降に更新する
- Microsoft Intune Certificate Connector をホストするサーバー上でレジストリ値を変更する
<Microsoft Intune Certificate Connector をバージョン 6.2406.0.1001 以降に更新する>
まず、現在利用している Microsoft Intune Certificate Connector のバージョンを確認しておきましょう。
私の環境では、バージョン 6.2301.1.0 でした。なので、バージョンアップが必要となります。
最新バージョンの [Microsoft Intune Certificate Connector] のダウンロードおよびインストールは下記の方法で行います。
- Microsoft Intune 管理センターを開き、[テナント管理] > [コネクタとトークン] > [証明書のコネクタ] を開きます。
- [証明書コネクタ] にて、[追加] を選択します。
- [追加] を選択した後に、右側に表示される [証明書コネクタのインストール] 画面の [証明書コネクタ] を選択して、最新バージョンの Microsoft Intune Certificate Connector をダウンロードします。
2025/03/02 時点では、バージョン 6.2406.0.1001 がダウンロードされました。
- Microsoft Intune Certificate Connector がインストールされたサーバーにダウンロードしたファイルをコピーします。
- (事前に、Mark of the Web を削除しておきます。)
- ダウンロードした exe ファイルを [管理者として実行] します。
- 下記画面が表示されるので、[ライセンス条項および使用条件に同意する] にチェックを入れ、[インストール] を選択します。
- インストールが始まります。
- インストール完了後に、再起動を求められますので、[再起動] を選択します。
- 再起動後、正しいバージョンにバージョンアップされているか確認します。
- これで、Microsoft Intune Certificate Connector のバージョンアップは完了です。
<Microsoft Intune Certificate Connector をホストするサーバー上でレジストリ値を変更する>
Microsoft Intune Certificate Connector をバージョン 6.2406.0.1001 以降にした後に、レジストリ値を変更します。
- レジストリ エディター (regedit.exe) を起動します。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MicrosoftIntune\PFXCertificateConnector] を開き、[EnableSidSecurityExtension] を見つけます。
- [EnableSidSecurityExtension] を編集して、[0] > [1] に変更します。
- 下記のように変更されたことを確認します。
- サービス (services.msc) を起動します。
- 下記の青枠で囲んだサービスを再起動します。
PFX Create legacy Connector for Microsoft Intune
PFX Create Certificate Connector for Microsoft Intune
- Microsoft Intune Certificate Connector 側の対応は以上です。
<Microsoft Intune 側での対応>
Microsoft Intune Certificate Connector 側の対応は終わりました。
Microsoft Intune Certificate Connector 側の対応を行った後に発行された証明書については対処された証明書が発行されます。しかしながら、既存で発行された証明書には KB5014754 対応の証明書が配布されません。そのため、新規でデバイス構成プロファイルを作成する等の対処が必要になります。
私は既存の PKCS 用デバイス構成プロファイルを新規で作り直しました。(既存のデバイス構成プロファイルの内容をそのまま流用して)
新規作成した PKCS デバイス構成プロファイルを割り当ていると、新規に証明書が発行されます。(この際、既存で配布していた PKCS デバイス構成プロファイルの割り当てから既存の割り当てを削除しておきます。)
PKCS 証明書の場合、フィールドに [1.3.6.1.4.1.311.25.2] フィールドがあれば、KB5014754 対応の証明書が発行されていることになります。
その結果、自宅の Wi-Fi にも接続確認ができました。
<まとめ>
今回は、Active Directory の脆弱性対応のうち、KB5014754 による影響による対応方法を紹介しました。実際に自宅検証環境にて影響を受けたので、せっかくなので記事にしてみました。今回は、PKCS 証明書を発行していた場合について取り上げました。もちろん、SCEP (Simple Certificate Enrollment Protocol) 証明書の場合も影響を受けますので、SCEP 証明書をご利用の場合はこちらを参考に設定してみてください。時間が取れれば本ブログでも SCEP 証明書の場合の対処方法について紹介できればと思いますが、最近時間の確保があまりできないので難しいかもしれません。すみません。
<参考情報>
Support tip: Implementing strong mapping in Microsoft Intune certificates | Microsoft Community Hub