Windows: Kerberos PAC Validation Protocol seit 8. April 2025 im Enforcement-Modus

Publiziert am 11. April 2025 von Günter Born

Windows[English]Kurze Erinnerung für Administratoren, falls jemand das nicht mitbekommen hat. Zum April 2025-Patchday (8.4.2025) trat die "Enforcement-Phase" für die Härtung des Kerberos-Protokolls bezüglich des Kerberos PAC Validation Protocol in Kraft. Damit wurden bestimmte Modi, die per Registrierung noch aktivierbar waren, entfernt. Zudem startet die Härtung der Kerberos Authentication zum Schutz vor CVE-2025-26647.

Anzeige

Microsoft hatte ja bereits im Februar 2025 mit der Härtung von Windows-Clients und Server für das Kerberos-Protokoll Ernst gemacht. Im Rahmen der Zeitpläne zur stufenweisen Härtung ist zum 8. April 2025 die "Enforcement-Phase" (KB5037754​​​​​​​) für das Kerberos PAC Validation Protocol in Kraft getreten.

Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Diensttickets. Es enthält Informationen über den authentifizierenden Benutzer und seine Berechtigungen.

Die Windows-Sicherheitsupdates, die zum April 2025 oder danach veröffentlicht werden, erzwingen laut obigem KB das neue Sicherheitsverhalten. Dazu entfernen die Updates die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und  CrossDomainFilteringLevel. Nach der Installation des Updates vom 8. April 2025 gibt es keine Unterstützung für den Kompatibilitätsmodus mehr.

Wer noch mit Windows XP-Systemen in einer AD-Umgebung befasst ist, sollte sich die Kommentare im Beitrag Kerberos PAC-Schwachstellen: Kommt das Ende für Windows XP im April 2025? durchlesen.

Kerberos Authentication-Schutz vor CVE-2025-26647

Zudem hat Microsoft zum 8. April 2025 den Beitrag KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication) im Windows Message Center veröffentlicht. Dieser befasst sich mit der Härtung der Kerbereos Authentifizierung vor CVE-2025-26647. Dort gelten folgende Fristen für Windows-Updates, die am oder nach dem 8. April 2025 veröffentlicht werden, enthalten Schutzmaßnahmen für eine Sicherheitslücke bei der Kerberos-Authentifizierung. Diese Schutzmaßnahmen werden in drei Phasen implementiert.

Anzeige
  • 8. April 2025: Initial Deployment phase – Audit mode; Die erste Bereitstellungsphase beginnt mit den Updates, die am 8. April 2025 veröffentlicht wurden. Diese Updates fügen ein neues Verhalten hinzu, das die in CVE-2025-26647 beschriebene Sicherheitsanfälligkeit durch Erhöhung der Berechtigung erkennt, aber nicht erzwingt. Um das neue Verhalten zu aktivieren und vor der Sicherheitsanfälligkeit geschützt zu sein, müssen Sie sicherstellen, dass alle Windows-Domänencontroller aktualisiert sind und die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass auf 2 gesetzt ist.
  • 8. Juli 2025: Enforced by Default phase; Updates, die am oder nach dem 8. Juli 2025 veröffentlicht werden, erzwingen standardmäßig die NTAuth Store-Prüfung. Die Einstellung des Registrierungsschlüssels AllowNtAuthPolicyBypass ermöglicht es Kunden weiterhin, bei Bedarf in den Audit-Modus zurückzukehren. Die Möglichkeit, dieses Sicherheitsupdate vollständig zu deaktivieren, wird jedoch entfernt.
  • 14. Oktober 2025: Enforcement mode; Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht werden, stellen die Microsoft-Unterstützung für den Registrierungsschlüssel AllowNtAuthPolicyBypass ein. Zu diesem Zeitpunkt müssen alle Zertifikate von Behörden ausgestellt werden, die Teil des NTAuth-Speichers sind.

Weitere Informationen zu diesen Schutzmaßnahmen finden Sie unter Anleitung zur Anwendung von Schutzmaßnahmen im Zusammenhang mit CVE-2025-26647.

Kerberos-Bug, der Passwort-Änderung blockt, gefixt

Zudem hat Microsoft am 8. April 2025 mit dem Windows-Update KB5055523 einen Bug gefixt, der die Änderung eines Passworts in Kerberos verhindert. neowin.net weist hier auf diesen Sachverhalt hin.

Ähnliche Artikel:
Microsoft Security Update Summary (8. April 2025)
Patchday: Windows 10/11 Updates (8. April 2025)
Patchday: Windows Server-Updates (8. April 2025)
Patchday: Microsoft Office Updates (8. April 2025)

Outlook 2016: Kalender-Zugriff nach April 2025-Update KB5002700 gesperrt
Word/Excel 2016: Abstürze nach April 2025 Update KB5002700?

Windows 10/11 und Server-Absicherung: Zeitpläne 2025 und danach
Probleme mit Remote-Unterstützung nach April 2024-Update (PAC-Änderungen, KB5037754)
Kerberos PAC-Schwachstellen: Kommt das Ende für Windows XP im April 2025?

Anzeige
Dieser Beitrag wurde unter Sicherheit, Update, Windows, Windows 10, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Windows: Kerberos PAC Validation Protocol seit 8. April 2025 im Enforcement-Modus

  1. Gänseblümchen sagt:
    11. April 2025 um 15:12 Uhr

    Gabs irgendwo Probleme? Hier nicht! MS hat das sehr gut in Stufen eingeführt, so dass man früh testen und analysieren konnte, und wer alle Win XP usw. aus dem Netz geschafft hat, hat kein Problem. Oder?

    Antworten
  2. TBR sagt:
    11. April 2025 um 19:20 Uhr

    Bei uns auch keine Probleme

    Antworten
  3. Karl sagt:
    11. April 2025 um 21:49 Uhr

    naja, wenn sie so Kerberos puschen wollen, dann sollen sie mal endlich an der Unterstützung für external Domain trust arbeiten. Das hat mich ein Tag und zwei Kollegen gekostet dem Problem warum kein Kerberos genutzt wird bei einem external Domain trust.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.