[English]Bis zum Patchday April 2023 ist es ja noch einige Wochen. Administratoren, die für die Aktualisierung von Windows Domain Controllern verantwortlich zeichnen, möchte ich aber an ein Thema im Bereich Domain Controller erinnern. Es geht darum, dass Microsoft in 2023 die zertifikatsbasierte Authentifizierung bei Domain Controllern (DC) per Update angepasst hat und die Möglichkeit zur Abschaltung (bei auftretenden Problemen) zum 11. April 2023 deaktiviert.
Anzeige
Ich hatte bereits im Januar 2023 im Artikel Änderungen an den Windows Sicherheitseinstellungen in 2023 auf sich abzeichnende Änderungen bei der zertifikatsbasierten Authentifizierung auf Domänen Controllern hingewiesen. Wer den Modus auf den Domain Controller wegen Verbindungsproblemen per Registrierungseintrag noch deaktiviert hat, wird ab dem Stichtag in Authentifizierungsprobleme laufen.
Nun ist mir die Tage das Thema über Citrix erneut unter die Augen gekommen – Carl Stalhood weist in folgendem Tweet auf die Änderung hing. Denn der Single Sign On (SSO) schlägt beim Versuch, veröffentlichte Ressourcen zu starten, fehl und die Benutzer erhalten die Fehlermeldung "Der Benutzername oder das Passwort ist falsch".
Citrix hat es für seine Kunden im Beitrag FAS: Information about Microsoft KB KB5014754/CVE-2022-34691, CVE-2022-26931 and CVE-2022-26923 nochmals zusammengefasst. Die nachfolgenden Ausführungen gelten aber für alle Betreiber von Windows Domain Controllern.
Anzeige
- Microsoft musste im August 2022 die Schwachstellen CVE-2022-34691, CVE-2022-26931 und CVE-2022-26923 per Sicherheitsupdate adressieren (Microsoft Security Update Summary (9. August 2022)). Es gab eine Schwachstelle, die zu einer Erhöhung von Berechtigungen führen kann, wenn das Kerberos Distribution Center (KDC) eine zertifikatsbasierte Authentifizierungsanfrage bearbeitet.
- Seit Mai 2022 laufen die betroffenen Domain Controller nach Installation des betreffenden Sicherheitsupdates in einem Compatibility-Modus. Das Update hatte seinerzeit für einigen Ärger gesorgt.
- Bis jetzt konnten Administratoren die zertifikatsbasierte Authentifizierung, die noch auf einer schwachen Zuordnung beruht, bei Domain Controllern per Registrierungseintrag deaktivieren. Dieser Deaktivierungsmodus wird am 11. April 2023 per Update entfernt.
- Ab dem 14. November 2023 beginnt Microsoft mit dem Härten der Systeme bezüglich der Schwachstelle, und stellt diese per Update auf den Full Enforcement-Modus um. In diesem Modus wird die Authentifizierung verweigert, wenn ein Zertifikat die starken (sicheren) Zuordnungskriterien nicht erfüllt und nicht fest zugeordnet werden kann.
Microsoft hat das Ganze im Support-Beitrag KB5014754: Certificate-based authentication changes on Windows domain controllers aufgeführt, wobei die ursprünglich für den 14. Februar 2023 geplante Entfernung des Deaktivierungsmodus auf den 11. April 2023 verschoben wurde.
Ähnliche Artikel:
Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler
CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern
Änderungen an den Windows Sicherheitseinstellungen in 2023
Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)
Anzeige
Hallo, oben steht:
[…]
Zum Härten der Systeme bezüglich der Schwachstelle wurden ab dem 14. November 2023 alle Systeme per Update auf den Full Enforcement-Modus umgestellt. In diesem Modus wird die Authentifizierung verweigert, wenn ein Zertifikat die starken (sicheren) Zuordnungskriterien nicht erfüllt.
[…]
müsste das Datum nicht 14. November 2022 heißen oder müsste das wurden nicht werden heißen?
viele Grüße
Nein, es ist der 14. Nov. 2023 – das "wurden" muss "werden" heißen. Ich habe den Text überarbeitet, da die Information quasi 2 Mal im Beitrag stand.