KB5014754: Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern

Windows[English]Kleiner Nachtrag für Administratoren von Windows Domain-Controllern (DCs). Microsoft hat zum 10. September 2024 den Artikel KB5014754 aktualisiert. Dieser befasst sich mit Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern. Microsoft hat dort einen Termin auf Februar 2025 verschoben.


Anzeige

Ein Leserhinweis

Microsoft gewährt Administratoren noch bis zum 11. Februar 2025 die Möglichkeit, bei Domain Controllern per Registrierungseingriff auf den "Enforcement Mode" in den "Compatiblity Mode" zurückzustufen. Hier die Ausführungen des Lesers:

Change date 9/10/2024
Description
Changed the Full Enforcement mode description in the "Timing for Windows updates" section to reflect new dates. February 11, 2025 will move devices to Enforcement mode but leave support to move back to Compatibility mode. Full registry key support will now end September 10, 2025.

Ich hatte das Ganze etwa zurückgestellt, bin nun über einen weiteren Post auf das Thema gestoßen und ziehe es hier kurz in den Blog.

Windows Domain Controller KB5014754

KB5014754: Änderung vom 10. Sept. 2024

Microsoft hat im Microsoft 365 Message Center unter MC894351 auf die Änderungen hingewiesen, die hier von Joao Ferreira angesprochen wird. Am 10. September 2024 wurde der Artikel KB5014754 in den Passagen aktualisiert, die sich auf den Zeitrahmen der Sicherheitsanforderungen für zertifikatsbasierte Authentifizierungsanforderungen auf Windows-Domänencontrollern auswirken. Hier die betreffende Meldung aus dem Microsoft 365 Message Center;


Anzeige

After you install the Windows security updates released in February 2025 security update, authentication for certificates that do not meet the expected mapping requirements will be denied. This change is known as Full Enforcement mode. For full details, see KB5014754.

When will this happen:

In February 2025, or later, devices will move to Full Enforcement mode. However, you can move back to Compatibility mode until September 2025.

How this will affect your organization:

When you install the February 2025 security update, Windows updates, devices that are not already in Full Enforcement mode (StrongCertificateBindingEnforcement registry value is set to 2), will be moved to Full Enforcement mode.

If authentication is denied, you will see Event ID 39 (or Event ID 41 for Windows Server 2008 R2 SP1 and Windows Server 2008 SP2). You will have the option to set the registry key value back to 1 (Compatibility mode) at this stage. In the September 2025 Windows update, the

StrongCertificateBindingEnforcement

registry value will no longer be supported.

What you need to do to prepare:

Additional information:
Review the date changes in the "Take action", "Full Enforcement mode", and "Registry key information" sections of KB5014754. Take the appropriate action needed to make your devices more secure.

Also: Ab dem 11. Februar 2025 (Patchday) wird der "Full Enforcement mode" für die zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern erzwungen. Vorher kann man auf den Compatibility-Mode zurückgehen. Die Details lassen sich im Supportbeitrag KB5014754: Certificate-based authentication changes on Windows domain controllers nachlesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu KB5014754: Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern

  1. RalphAndreas sagt:

    Verstehe ich das richtig, das ab 09.2025 alle älteren BS (<2012) aus der Domäne fliegen?

    • Daniel sagt:

      Ab Februar 2025 meintest du sicher.

    • R.S. sagt:

      So sieht es aus.
      Aber die sollte man eh nicht mehr einsetzen, denn die bekommen in 2 Wochen das finale Sicherheitsupdate.
      Dann kommt auch mit ESU nichts mehr.
      Ergo auch kein Update mehr, das den Full Enforcement mode durchsetzt.
      Du kannt natürlich noch alte Windows 2008/2008R2 als DC einsetzen.
      Aber du solltest dir bewusst sein, das die auch mit ESU nach dem Patchday Oktober 2024 keine Sicherheitsupdates mehr bekommen.

  2. Andi sagt:

    und was ist wenn man den Wert gar nicht gesetzt hat? (Windows Server 2019 Patchstand 08/2024 )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.