Co musisz zrobić do 11 lutego 2025 (Enforcement) i przed 10 września 2025 (koniec trybu zgodności)? Poniżej znajdziesz skrócony plan działań, kontekst i przykłady.
TL;DR
- Windows DC przechodzą na Full Enforcement dla silnego mapowania certyfikatów — słabe mapowania będą odrzucane.
- Od 11.02.2025 aktualizacje przenoszą DC do Enforcement (można tymczasowo cofnąć do Compatibility).
- Od 10.09.2025 kończy się wsparcie dla rejestru „cofającego” (brak obejść).
Co to oznacza
- Wymagane jest mocne mapowanie (SID w certyfikacie lub jawne mapowanie silne).
- Brak silnego mapowania ⇒ błąd logowania (
Event ID 39/41) i odmowa uwierzytelnienia.
O co chodzi w KB5014754?
Aktualizacja KB5014754 zmienia sposób walidacji certyfikatów podczas logowania do Active Directory (Kerberos/PKINIT). Rozwiązano podatności związane m.in. z kolizjami nazw i podszywaniem się, dodając rozszerzenie SID do certyfikatów oraz egzekwując silne mapowanie certyfikat → tożsamość. Słabe, „nazwowe” mapowania (np. Subject/UPN/e-mail) są docelowo odrzucane.
Oś czasu i tryby działania
- Tryb Compatibility (od 10.05.2022): uwierzytelnienie działa także dla słabych mapowań, ale logowane są ostrzeżenia.
- 11 lutego 2025: DC przechodzą do Enforcement. Brak silnego mapowania ⇒ odmowa logowania. Możliwy powrót do Compatibility.
- 10 września 2025: koniec obsługi rejestru obejść — obowiązuje pełne egzekwowanie.
Jakie mapowania są silne, a jakie słabe?
Słabe (będą odrzucane w Enforcement)
- X509IssuerSubject (Issuer + Subject)
- X509SubjectOnly (Subject)
- X509RFC822 (e-mail)
Silne (dozwolone)
- X509IssuerSerialNumber (zalecane)
- X509SKI (Subject Key Identifier)
- X509SHA1PublicKey
- Certyfikat z rozszerzeniem SID dopasowanym do konta w AD
Plan działań (checklista)
- Zaktualizuj wszystkie kontrolery domeny i serwery AD CS (co najmniej od 10.05.2022).
- Włącz audyt i obserwuj zdarzenia KDC (
Event ID 39/40/41). - Zapewnij silne mapowanie:
- Najlepiej: nowe certyfikaty z rozszerzeniem SID (po aktualizacji AD CS).
- Alternatywnie: jawne mapowanie w
altSecurityIdentities(np.X509IssuerSerialNumber).
- Testuj logowanie/usługi (VPN/Wi-Fi/NDES/IIS/MDM) i eliminuj słabe mapowania.
- Przed 11.02.2025 usuń ostrzeżenia; przed 10.09.2025 przygotuj się na brak trybu Compatibility.
Przykłady i komendy
Rejestrowy przełącznik egzekwowania (KDC)
# Ścieżka (na kontrolerze domeny): HKLM\System\CurrentControlSet\Services\KDC # Wartość: StrongCertificateBindingEnforcement # 0 = Disabled (usunięto w 2023), 1 = Compatibility, 2 = Enforcement # Po 11.02.2025 system i tak przechodzi do Enforcement (możliwy powrót do 1 do września 2025)
Jawne, silne mapowanie certyfikatu do konta (PowerShell)
Set-ADUser 'nazwaUzytkownika' `
-Replace @{altSecurityIdentities="X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC11000000002B"}
Typowe zdarzenia (KDC) w logu System
- 39 – brak silnego mapowania (Compatibility = ostrzeżenie, Enforcement = błąd)
- 40 – certyfikat starszy niż konto w AD (odrzucenie w Compatibility bez backdating)
- 41 – SID w certyfikacie nie zgadza się z SID konta
Najczęstsze pytania (FAQ)
Czy muszę od razu wymieniać wszystkie certyfikaty?
Nie — po aktualizacji AD CS działa tryb Compatibility. Najlepiej wystawić nowe certyfikaty z rozszerzeniem SID, ale można też użyć silnego mapowania w altSecurityIdentities.
Czy KB5014754 dotyczy wyłącznie DC?
Tak — zmiany obejmują kontrolery domeny AD DS, a więc wpływają pośrednio na usługi korzystające z logowania certyfikatowego.
Co jeśli po lutym 2025 coś przestanie działać?
Sprawdź zdarzenia 39/41. Tymczasowo możesz ustawić Compatibility (1) i wdrożyć silne mapowanie. Po wrześniu 2025 cofnięcie nie będzie możliwe.
Wskazówka operacyjna: rozpocznij od inwentaryzacji i audytu — sprawdź wszystkie punkty logowania (VPN, Wi-Fi, IIS, NDES/SCEP, MDM, VDI), określ typ mapowania i zaplanuj wymianę.
Źródła i dalsza lektura
Greeneris doświadczony i zaufany partner Microsoft
Greeneris jako wieloletni Microsoft Soutions Partner, świadczymy kompleksowe usługi oparte na technologiach Microsoft, które mogą wspierać Państwa w realizacji celów biznesowych oraz zwiększaniu efektywności pracy. W ramach usług Microsoft ofertujemy:- Wdrożenia usług Microsoft,
- Migracje skrzynek pocztowych,
- Szkolenia z narzędzi Microsoft,
- Wsparcie techniczne,
- Audyty i pomoc w doborze właściwych usług i pakietów Microsoft do potrzeb Państwa firmy.
Poznaj ofertę pakietów office dla małych i średnich firm
Popularne pakiety
- Microsoft 365 Apps for Business
- Microsoft 365 Business Basic
- Microsoft 365 Business Standard
- Microsoft 365 Business Premium
Zobacz wszystkie dostępne pakiety
Poznaj ofertę pakietów office dla przedsiębiorstw i korporacji
Popularne pakiety
- Office 365 E5 EEA (no Teams)
- Microsoft 365 E3 EEA (no Teams)
- Microsoft 365 E5 Security
- Microsoft 365 E5 EEA (no Teams)
Zobacz wszystkie dostępne pakiety dla przedsiębiorstw
