מיקרוסופט הודיעה כי החל מחודש ספטמבר 2025, תיושם באופן מלא מדיניות אבטחה חדשה למנגנוני הזדהות באמצעות תעודה דיגיטלית (Certificate-Based Authentication). המדיניות החדשה תגביל אפשרות למניפולציות על חשבונות מחשב ותבטיח קשר חזק בין התעודה הדיגיטלית למשתמש.
הרקע להחמרת המדיניות
במהלך מאי ואוגוסט 2022, זיהתה מיקרוסופט פגיעויות אבטחה ברכיבי Active Directory Domain Services ו-Kerberos, שעלולות לאפשר למשתמשים בעלי גישה מזוהה להעלות את הרשאותיהם לרמת SYSTEM באמצעות מניפולציה של נתונים בחשבונות מחשב בשליטתם.
עוד באתר:
כדי להתמודד עם הפגיעויות, פרסמה החברה עדכוני אבטחה שהגדירו שני מצבי פעולה:
• Compatibility Mode – שלב מעבר המאפשר לארגונים לבדוק השפעות ולזהות תקלות פוטנציאליות.
• Full Enforcement Mode – אכיפה מלאה המבטיחה אימות חזק יותר של זהות המשתמשים מול ה-Active Directory.
שלבי המעבר לאכיפה מלאה
• פברואר 2025 – מוד האכיפה המלא יופעל אוטומטית, אלא אם הוגדר מפתח Registry בשם StrongCertificateBindingEnforcement בערך 1.
• ספטמבר 2025 – ההגדרה לא תכובד יותר, וכל השרתים יעברו למוד אכיפה מלא ללא אפשרות שינוי.
מה מומלץ לעשות?
מיקרוסופט ממליצה לארגונים לבצע בדיקות התאמה בהקדם ולוודא כי תעודות דיגיטליות ותהליכי ההזדהות בארגון עומדים בדרישות Full Enforcement Mode. מומלץ לעיין בפרטים המלאים בקישור הרשמי של מיקרוסופט ולהחיל את המדיניות החדשה מוקדם ככל האפשר כדי להימנע מהשבתות בלתי צפויות.
