Windows updates released September 9, 2025 and later, introduce security hardening changes to certificate mapping requirements in Windows Servers. The is the final milestone of a rollout that has gradually been taking place since 2023. IT administrators need to take action to ensure normal operations in accordance with the new certificate mapping criteria, and install the September 9, 2025 updates.

For full details, see KB5014754: Certificate-based authentication changes on Windows domain controllers.

This change is effective immediately in Windows updates released September 9, 2025. Servers which run Active Directory Certificate Services, as well as Windows domain controllers that service certificate-based authentication, are now required to meet certain certificate mapping criteria in order for authentication operations to succeed. These changes address vulnerabilities discussed in CVE-2022-34691 and others.

Vulnerabilities addressed in this scenario involve the use of dollar sign ($) at the end of a machine name, as well as conflicts between User Principal Names (UPN) and sAMAccountName. Both scenarios introduced vulnerabilities in the form of certificate emulation (spoofing).

The September 2025 updates conclude the rollout of security requirements which prevent these vulnerabilities. If certificates cannot be strongly mapped per the security measures following installation of this update, certain authentication operations might be denied.

The new certificate mapping requirements mentioned here have been rolling out with various degrees of enforcement throughout 2023 and 2024. Beginning with the September 9 updates, previous methods of grading enforcement across environments have been disabled. IT administrators need to confirm normal operations in accordance with the new certificate mapping criteria.

As always, we recommend that you update your devices to the latest security update available to take advantage of the advanced protections from the latest security threats. Review the links provided in the Additional information section.

2025 年 9 月 9 日以降にリリースされた Windows 更新プログラムでは、Windows Server の証明書マッピング要件にセキュリティ強化の変更が導入されています。これは、2023 年から徐々に実施されている展開の最後のマイルストーンです。IT 管理者は、新しい証明書マッピング基準に従って通常の動作を保証するための措置を講じ、2025 年 9 月 9 日の更新プログラムをインストールする必要があります。

詳細については、「 KB5014754: Windows ドメイン コントローラーでの証明書ベースの認証の変更」を参照してください。

この変更は、2025 年 9 月 9 日にリリースされた Windows 更新プログラムで直ちに有効になります。Active Directory 証明書サービスを実行するサーバーと、証明書ベースの認証を提供する Windows ドメイン コントローラーは、認証操作を成功させるために、特定の証明書マッピング基準を満たす必要があります。 これらの変更は、 CVE-2022-34691 などで説明されている脆弱性に対処します。

このシナリオで対処される脆弱性には、コンピューター名の末尾にドル記号 ($) が使用されていることや 、ユーザー プリンシパル名 (UPN) と sAMAccountName の間の競合が含まれます。どちらのシナリオでも、証明書エミュレーション (なりすまし) の形で脆弱性が発生しました。

2025 年 9 月のアップデートでは、これらの脆弱性を防ぐセキュリティ要件の展開が終了します。この更新プログラムのインストール後にセキュリティ対策に従って証明書を強力にマッピングできない場合、特定の認証操作が拒否される可能性があります。

ここで説明する新しい証明書マッピング要件は、2023 年から 2024 年にかけてさまざまな程度の施行で展開されています。9 月 9 日の更新プログラム以降、環境全体で適用を採点する以前の方法は無効になりました。IT 管理者は、新しい証明書マッピング基準に従って通常の動作を確認する必要があります。

いつものように、最新のセキュリティ脅威に対する高度な保護を利用するために、デバイスを利用可能な最新のセキュリティ更新プログラムに更新することをお勧めします。「追加情報」セクションに記載されているリンクを確認します。