New security requirements are coming to Windows Servers. These changes increase certificate mapping security requirements to address vulnerabilities discussed in CVE-2022-26923 and others. Servers that run Active Directory Certificate Services, as well as Windows domain controllers that service certificate-based authentication, will need to meet new certificate mapping requirements in order for authentication operations to succeed. Administrators should be aware of two key dates in 2023:

 

 

Beginning with updates released May 10, 2022 and later, warning messages are logged for authentication scenarios that will fail once the new security requirements are in place. This can help administrators identify compatibility issues ahead of the November 14, 2023 date. To help protect your environment, update all servers with the May 10, 2022 or later security release, and enable Full Enforcement mode on all domain controllers if no audit error logs are created on domain controllers.

 

For more information, see KB5014754 – Certificate-based authentication changes on Windows domain controllers.

Starting April 11, 2023, Disabled mode will be removed. Starting November 14, 2023, domain controllers must use Full Enforcement mode. Please note, this was changed from a previously announced date in May.

Updates for Windows released after April 11, 2023 will ignore the Disabled mode registry key setting and remove the ability to allow domain controllers to continue relying on weak certificate mapping.

 

After November 14, 2023, authentication will be denied for certificates that fail strong (secure) mapping criteria (see Certificate mappings). All servers that run Active Directory Certificate Services and Windows domain controllers that service certificate-based authentication are affected.

To help protect your environment and prevent service interruptions, complete the following steps:

 

新しいセキュリティ要件がWindowsサーバーに登場します。これらの変更により、 CVE-2022-26923 などで説明されている脆弱性に対処するために、証明書マッピングのセキュリティ要件が強化されます。Active Directory 証明書サービスを実行するサーバーと、証明書ベースの認証を提供する Windows ドメイン コントローラーは、認証操作を成功させるために、新しい証明書マッピング要件を満たす必要があります。管理者は、2023 年の 2 つの重要な日付に注意する必要があります。

 

 

2022 年 5 月 10 日以降にリリースされた更新プログラム以降、新しいセキュリティ要件が設定されると失敗する認証シナリオの警告メッセージがログに記録されます。これは、管理者が 2023 年 11 月 14 日の日付より前に互換性の問題を特定するのに役立ちます。環境を保護するには、2022 年 5 月 10 日以降のセキュリティ リリースですべてのサーバーを更新し、ドメイン コントローラーで監査エラー ログが作成されない場合は、すべてのドメイン コントローラーで完全強制モードを有効にします。

 

詳細については、「 KB5014754 – Windows ドメイン コントローラーでの証明書ベースの認証の変更」を参照してください。

2023 年 4 月 11 日以降、無効モードは削除されます。2023 年 11 月 14 日以降、ドメイン コントローラーは完全強制モードを使用する必要があります。これは、以前に発表された5月の日付から変更されていることに注意してください。

2023 年 4 月 11 日以降にリリースされた Windows 用の更新プログラムでは、[無効モード] レジストリ キー設定が無視され、ドメイン コントローラーが脆弱な証明書マッピングに引き続き依存できるようにする機能が削除されます。

 

2023 年 11 月 14 日以降、強力な (セキュリティで保護された) マッピング条件に失敗した証明書の認証は拒否されます (「 証明書のマッピング」を参照)。Active Directory 証明書サービスを実行するすべてのサーバーと、証明書ベースの認証を提供する Windows ドメイン コントローラーが影響を受けます。

環境を保護し、サービスの中断を防ぐには、以下の手順を実行します。