Microsoft wymusza Strong Certificate‑Based Authentication w AD/DC (KB5014754)
Co musisz zrobić do 11 lutego 2025 (Enforcement) i przed 10 września 2025 (koniec trybu zgodności)? Poniżej masz skrócony plan działań, kontekst i przykłady.
TL;DR
- Windows DC przechodzą na Full Enforcement dla silnego mapowania certyfikatów — słabe mapowania będą odrzucane.
- Od 11.02.2025 aktualizacje przenoszą DC do Enforcement (można tymczasowo cofnąć do Compatibility).
- Od 10.09.2025 kończy się wsparcie dla rejestru „cofającego” (brak obejść).
Co to oznacza
- Wymagane jest mocne mapowanie (SID w certyfikacie lub jawne mapowanie silne).
- Brak silnego mapowania ⇒ błąd logowania (Event ID 39/41) i odmowa uwierzytelnienia.
O co chodzi w KB5014754?
Aktualizacja KB5014754 zmienia sposób walidacji certyfikatów podczas logowania do Active Directory (Kerberos/PKINIT). Rozwiązano podatności związane m.in. z kolizjami nazw i podszywaniem się, dodając rozszerzenie SID do certyfikatów oraz egzekwując silne mapowanie certyfikat→tożsamość. Słabe, „nazwowe” mapowania (np. Subject/UPN/e‑mail) są docelowo odrzucane.
Oś czasu i tryby działania
- Tryb Compatibility (po instalacji aktualizacji z 10.05.2022): uwierzytelnienie działa także dla słabych mapowań, ale logowane są ostrzeżenia.
- 11 lutego 2025: DC przechodzą do Enforcement, jeśli nie ustawiono inaczej. Brak silnego mapowania ⇒ uwierzytelnienie zostaje odrzucone. Nadal można tymczasowo wrócić do Compatibility.
- 10 września 2025: koniec obsługi kluczy rejestru „obejść” — brak możliwości powrotu do Compatibility; obowiązuje pełne egzekwowanie.
Jakie mapowania są silne, a jakie słabe?
Słabe (będą odrzucane w Enforcement)
X509IssuerSubject(Issuer + Subject)X509SubjectOnly(Subject)X509RFC822(e‑mail)
Silne (dozwolone)
X509IssuerSerialNumber(zalecane)X509SKI(Subject Key Identifier)X509SHA1PublicKey- Certyfikat z rozszerzeniem SID dopasowanym do konta w AD
Plan działań (checklista)
- Zaktualizuj wszystkie kontrolery domeny oraz serwery AD CS przynajmniej do pakietów z 10.05.2022 i nowszych.
- Włącz audyt i obserwuj zdarzenia KDC:
Event ID 39/40/41na DC — wskażą certyfikaty bez silnego mapowania. - Zapewnij silne mapowanie:
- Najlepiej: wystaw nowe certyfikaty z rozszerzeniem SID (po aktualizacji AD CS).
- Jeśli nie możesz wystawić nowych: ustaw jawne mapowanie w atrybucie
altSecurityIdentities(np.X509IssuerSerialNumber).
- Testuj logowanie/usługi (VPN/Wi‑Fi/NDES/IIS/MDM) i eliminuj słabe mapowania.
- Przed 11.02.2025 rozwiąż ostrzeżenia; przed 10.09.2025 nie zakładaj już powrotu do Compatibility.
Przykłady i komendy
Rejestrowy przełącznik egzekwowania (KDC)
Uwaga: klucz ma charakter tymczasowy i po wrześniu 2025 nie będzie wspierany.
# Ścieżka (na kontrolerze domeny): HKLM\System\CurrentControlSet\Services\KDC # Wartość: StrongCertificateBindingEnforcement # 0 = Disabled (usunięto w 2023), 1 = Compatibility, 2 = Enforcement # Po 11.02.2025 system i tak przechodzi do Enforcement (możliwy powrót do 1 do września 2025)
Jawne, silne mapowanie certyfikatu do konta (PowerShell)
# Przykład mapowania X509IssuerSerialNumber (odwrócony Issuer i SerialNumber)
Set-ADUser 'nazwaUzytkownika' `
-Replace @{altSecurityIdentities="X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Typowe zdarzenia (KDC) w logu System
- 39 – brak silnego mapowania (Compatibility=ostrzeżenie, Enforcement=błąd)
- 40 – certyfikat starszy niż konto w AD (odrzucenie w Compatibility bez backdating)
- 41 – SID w certyfikacie nie zgadza się z SID konta
Najczęstsze pytania (FAQ)
Czy muszę od razu wymieniać wszystkie certyfikaty?
Nie — po aktualizacji AD CS działa tryb Compatibility. Jeśli chcesz korzystać z rozszerzenia SID (najlepsza praktyka), wystaw nowy certyfikat. Alternatywnie użyj silnego, jawnego mapowania w altSecurityIdentities.
Czy KB5014754 dotyczy wyłącznie DC?
Tak — zmiany dotyczą uwierzytelniania certyfikatowego obsługiwanego przez kontrolery domeny AD DS (pośrednio wpłynie to na usługi, które polegają na tym mechanizmie).
Co jeśli po lutym 2025 coś przestanie działać?
Zdarzenie 39/41 wskaże problematyczne certyfikaty. Tymczasowo możesz ustawić Compatibility (wartość 1) i natychmiast wdrożyć silne mapowanie. Po wrześniu 2025 cofnięcie nie będzie wspierane.
Wskazówka operacyjna: Zacznij od inwentaryzacji i audytu — wylistuj wszystkie punkty użycia certyfikatów do logowania (VPN, Wi‑Fi, IIS/Reverse Proxy, NDES/SCEP, MDM, VDI). Dla każdego sprawdź typ mapowania i plan wymiany/rekonfiguracji.
Źródła i dalsza lektura
Zobacz także:
Zoom ogranicza konta Basic
Zoom ogranicza darmowe konta – ważna zmiana od 30 czerwca 2025 Zoom ogłosił, że od 30 czerwca 2025 roku wprowadza nowe zasady dotyczące przydzielania darmowych kont Basic w organizacjach korzystających z usług poprzez partnerów (Indirect). Zmiany te będą dotyczyć...
Workspace ONE co to jest
Co to Workspace ONE? Workspace ONE to cyfrowa platforma firmy Omnissa (wcześniej VMware), która dostarcza i zarządza dowolną aplikacją na dowolnym urządzeniu poprzez integrację kontroli dostępu, zarządzania aplikacjami i ujednoliconego zarządzania punktami końcowymi....
Praca zdalna w domu
Rozwiązania do pracy zdalnej Spotkania i współpraca on-line Wideokonferencje Szkolenia on-line i Webinary Zdalny dostęp do komputera i sieci w biurze Zarządzanie i Bezpieczeństwo urządzeń mobilnych Praca zdalna w domu Poznaj rozwiązania, które pomogą zorganizować...
