[English]Kleiner Nachtrag für Administratoren von Windows Domain-Controllern (DCs). Microsoft hat zum 10. September 2024 den Artikel KB5014754 aktualisiert. Dieser befasst sich mit Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern. Microsoft hat dort einen Termin auf Februar 2025 verschoben.
Anzeige
Ein Leserhinweis
Microsoft gewährt Administratoren noch bis zum 11. Februar 2025 die Möglichkeit, bei Domain Controllern per Registrierungseingriff auf den "Enforcement Mode" in den "Compatiblity Mode" zurückzustufen. Hier die Ausführungen des Lesers:
Change date 9/10/2024
Description
Changed the Full Enforcement mode description in the "Timing for Windows updates" section to reflect new dates. February 11, 2025 will move devices to Enforcement mode but leave support to move back to Compatibility mode. Full registry key support will now end September 10, 2025.
Ich hatte das Ganze etwa zurückgestellt, bin nun über einen weiteren Post auf das Thema gestoßen und ziehe es hier kurz in den Blog.
KB5014754: Änderung vom 10. Sept. 2024
Microsoft hat im Microsoft 365 Message Center unter MC894351 auf die Änderungen hingewiesen, die hier von Joao Ferreira angesprochen wird. Am 10. September 2024 wurde der Artikel KB5014754 in den Passagen aktualisiert, die sich auf den Zeitrahmen der Sicherheitsanforderungen für zertifikatsbasierte Authentifizierungsanforderungen auf Windows-Domänencontrollern auswirken. Hier die betreffende Meldung aus dem Microsoft 365 Message Center;
Anzeige
After you install the Windows security updates released in February 2025 security update, authentication for certificates that do not meet the expected mapping requirements will be denied. This change is known as Full Enforcement mode. For full details, see KB5014754.
When will this happen:
In February 2025, or later, devices will move to Full Enforcement mode. However, you can move back to Compatibility mode until September 2025.
How this will affect your organization:
When you install the February 2025 security update, Windows updates, devices that are not already in Full Enforcement mode (StrongCertificateBindingEnforcement registry value is set to 2), will be moved to Full Enforcement mode.
If authentication is denied, you will see Event ID 39 (or Event ID 41 for Windows Server 2008 R2 SP1 and Windows Server 2008 SP2). You will have the option to set the registry key value back to 1 (Compatibility mode) at this stage. In the September 2025 Windows update, the
StrongCertificateBindingEnforcement
registry value will no longer be supported.
What you need to do to prepare:
Additional information:
Review the date changes in the "Take action", "Full Enforcement mode", and "Registry key information" sections of KB5014754. Take the appropriate action needed to make your devices more secure.
Also: Ab dem 11. Februar 2025 (Patchday) wird der "Full Enforcement mode" für die zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern erzwungen. Vorher kann man auf den Compatibility-Mode zurückgehen. Die Details lassen sich im Supportbeitrag KB5014754: Certificate-based authentication changes on Windows domain controllers nachlesen.
Anzeige
Verstehe ich das richtig, das ab 09.2025 alle älteren BS (<2012) aus der Domäne fliegen?
Ab Februar 2025 meintest du sicher.
Nee…..,
In the September 2025 Windows update, the
StrongCertificateBindingEnforcement
registry value will no longer be supported.
So sieht es aus.
Aber die sollte man eh nicht mehr einsetzen, denn die bekommen in 2 Wochen das finale Sicherheitsupdate.
Dann kommt auch mit ESU nichts mehr.
Ergo auch kein Update mehr, das den Full Enforcement mode durchsetzt.
Du kannt natürlich noch alte Windows 2008/2008R2 als DC einsetzen.
Aber du solltest dir bewusst sein, das die auch mit ESU nach dem Patchday Oktober 2024 keine Sicherheitsupdates mehr bekommen.
und was ist wenn man den Wert gar nicht gesetzt hat? (Windows Server 2019 Patchstand 08/2024 )
Da der Wert ab 9/2025 eh nicht mehr berücksichtigt wird hat das Vorhandensein des Wertes keine Relevanz. Der Enforcement mode kommt auch ohne den Key.