Since 2023, Microsoft has been sharing reminders of changes coming to certificate mapping security requirements in Windows Servers. These changes address vulnerabilities discussed in CVE-2022-34691 and others. As part of these changes, servers which run Active Directory Certificate Services, as well as Windows domain controllers that service certificate-based authentication, will be required to meet certain certificate mapping criteria in order for authentication operations to succeed. 

The final milestone of this rollout will take place with Windows updates released September 2025. For full details, see KB5014754: Certificate-based authentication changes on Windows domain controllers.

Beginning 2022, Windows updates have addressed certain vulnerabilities related to certificate emulation. As part of this, new certificate mapping requirements have been rolling out with various degrees of enforcement throughout 2023 and 2024. Windows updates released prior to September 2025 make it possible to further control the degree to which these requirements are enforced across environments. However, after the September updates, the ability to bypass requirements will end.

The specific vulnerability addressed in this scenario involves the use of dollar sign ($) at the end of a machine name. When present, methods could be used to emulate (spoof) certificates under some circumstances. Additionally, conflicts between User Principal Names (UPN) and sAMAccountName introduced other emulation vulnerabilities.

Updates released September 2025, will conclude the rollout of security hardening which prevents these vulnerabilities. From that time on, certain authentication operations will be denied if certificates cannot be strongly mapped per the security measures. 

We advise IT administrators to conduct testing that confirms normal operations in accordance with the new certificate mapping criteria. As always, we recommend that you update your devices to the latest security update available, to take advantage of the advanced protections from the latest security threats. Review the links provided in the Additional information section.

2023 年以来、Microsoft は Windows Server の証明書マッピング セキュリティ要件に変更が加えられることのリマインダーを共有しています。これらの変更は、 CVE-2022-34691 などで説明されている脆弱性に対処します。これらの変更の一環として、Active Directory 証明書サービスを実行するサーバーと、証明書ベースの認証を提供する Windows ドメイン コントローラーは、認証操作を成功させるために、特定の証明書マッピング条件を満たす必要があります。 

このロールアウトの最後のマイルストーンは、2025 年 9 月にリリースされた Windows アップデートで行われます。詳細については、「 KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更」を参照してください。

2022 年以降、Windows Update は証明書エミュレーションに関連する特定の脆弱性に対処しました。その一環として、2023 年から 2024 年にかけて、さまざまな程度の施行で新しい証明書マッピング要件が展開されています。2025 年 9 月より前にリリースされた Windows 更新プログラムでは、これらの要件が環境全体で適用される程度をさらに制御できます。ただし、9月のアップデート以降は、要件をバイパスする機能が終了します。

このシナリオで対処される特定の脆弱性には、マシン名の末尾にドル記号 ($) が使用されていることが含まれます。存在する場合、状況によっては、証明書をエミュレート (スプーフィング) するためにメソッドを使用できます。さらに、ユーザー プリンシパル名 (UPN) と sAMAccountName の間の競合により 、他のエミュレーションの脆弱性が発生しました。

2025 年 9 月にリリースされたアップデートでは、これらの脆弱性を防ぐセキュリティ強化の展開が終了します。それ以降、セキュリティ対策に従って証明書を強力にマッピングできない場合、特定の認証操作は拒否されます。 

IT 管理者には、新しい証明書マッピング基準に従って通常の動作を確認するテストを実施することをお勧めします。いつものように、最新のセキュリティ脅威に対する高度な保護を利用するために、デバイスを利用可能な最新のセキュリティ更新プログラムに更新することをお勧めします。「追加情報」セクションに記載されているリンクを確認します。