{"id":278442,"date":"2023-03-05T00:05:00","date_gmt":"2023-03-04T23:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278442"},"modified":"2023-03-23T08:12:01","modified_gmt":"2023-03-23T07:12:01","slug":"erinnerung-nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-im-april-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/05\/erinnerung-nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-im-april-2023\/","title":{"rendered":"Erinnerung: &Auml;nderungen bei der zertifikatsbasierten Authentifizierung bei Domain Controllern im April 2023"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=28949\" target=\"_blank\" rel=\"noopener\">English<\/a>]Bis zum Patchday April 2023 ist es ja noch einige Wochen. Administratoren, die f\u00fcr die Aktualisierung von Windows Domain Controllern verantwortlich zeichnen, m\u00f6chte ich aber an ein Thema im Bereich Domain Controller erinnern. Es geht darum, dass Microsoft in 2023 die zertifikatsbasierte Authentifizierung bei Domain Controllern (DC) per Update angepasst hat und die M\u00f6glichkeit zur Abschaltung (bei auftretenden Problemen) zum 11. April 2023 deaktiviert.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/5f85af9f574345fb9e1bebf029c057bf\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte bereits im Januar 2023 im Artikel <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/15\/nderungen-an-den-windows-sicherheitseinstellungen-in-2023\/\">\u00c4nderungen an den Windows Sicherheitseinstellungen in 2023<\/a> auf sich abzeichnende \u00c4nderungen bei der zertifikatsbasierten Authentifizierung auf Dom\u00e4nen Controllern hingewiesen. Wer den Modus auf den Domain Controller wegen Verbindungsproblemen per Registrierungseintrag noch deaktiviert hat, wird ab dem Stichtag in Authentifizierungsprobleme laufen.<\/p>\n<p>Nun ist mir die Tage das Thema \u00fcber Citrix erneut unter die Augen gekommen &#8211; Carl Stalhood weist in folgendem <a href=\"https:\/\/twitter.com\/cstalhood\/status\/1630336361482932225\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf die \u00c4nderung hing. Denn der Single Sign On (SSO) schl\u00e4gt beim Versuch, ver\u00f6ffentlichte Ressourcen zu starten, fehl und die Benutzer erhalten die Fehlermeldung \"Der Benutzername oder das Passwort ist falsch\".<\/p>\n<p><a href=\"https:\/\/twitter.com\/cstalhood\/status\/1630336361482932225\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Certificate-based authentication changes on domain controllers\" src=\"https:\/\/i.imgur.com\/XlcGJr8.png\" alt=\"Certificate-based authentication changes on domain controllers\" \/><\/a><\/p>\n<p>Citrix hat es f\u00fcr seine Kunden im Beitrag <a href=\"https:\/\/support.citrix.com\/article\/CTX479236\/fas-information-about-microsoft-kb-kb5014754cve202234691-cve202226931-and-cve202226923\" target=\"_blank\" rel=\"noopener\">FAS: Information about Microsoft KB KB5014754\/CVE-2022-34691, CVE-2022-26931 and CVE-2022-26923<\/a> nochmals zusammengefasst. Die nachfolgenden Ausf\u00fchrungen gelten aber f\u00fcr alle Betreiber von Windows Domain Controllern.<\/p>\n<ul>\n<li>Microsoft musste im August 2022 die Schwachstellen CVE-2022-34691, CVE-2022-26931 und CVE-2022-26923 per Sicherheitsupdate adressieren (<a href=\"https:\/\/borncity.com\/blog\/2022\/08\/10\/microsoft-security-update-summary-9-august-2022\/\">Microsoft Security Update Summary (9. August 2022)<\/a>). Es gab eine Schwachstelle, die zu einer Erh\u00f6hung von Berechtigungen f\u00fchren kann, wenn das Kerberos Distribution Center (KDC) eine zertifikatsbasierte Authentifizierungsanfrage bearbeitet.<\/li>\n<li>Seit Mai 2022 laufen die betroffenen Domain Controller nach Installation des betreffenden Sicherheitsupdates in einem Compatibility-Modus. Das Update hatte seinerzeit f\u00fcr einigen \u00c4rger gesorgt.<\/li>\n<li>Bis jetzt konnten Administratoren die zertifikatsbasierte Authentifizierung, die noch auf einer schwachen Zuordnung beruht, bei Domain Controllern per Registrierungseintrag deaktivieren. Dieser Deaktivierungsmodus wird am 11. April 2023 per Update entfernt.<\/li>\n<li>Ab dem 14. November 2023 beginnt Microsoft mit dem H\u00e4rten der Systeme bez\u00fcglich der Schwachstelle, und stellt diese per Update auf den Full Enforcement-Modus um. In diesem Modus wird die Authentifizierung verweigert, wenn ein Zertifikat die starken (sicheren) Zuordnungskriterien nicht erf\u00fcllt und nicht fest zugeordnet werden kann.<\/li>\n<\/ul>\n<p>Microsoft hat das Ganze im Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_additionalresources\" target=\"_blank\" rel=\"noopener\">KB5014754: Certificate-based authentication changes on Windows domain controllers<\/a> aufgef\u00fchrt, wobei die urspr\u00fcnglich f\u00fcr den 14. Februar 2023 geplante Entfernung des Deaktivierungsmodus auf den 11. April 2023 verschoben wurde.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/21\/windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler\/\">Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/\">CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/15\/nderungen-an-den-windows-sicherheitseinstellungen-in-2023\/\">\u00c4nderungen an den Windows Sicherheitseinstellungen in 2023<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bis zum Patchday April 2023 ist es ja noch einige Wochen. Administratoren, die f\u00fcr die Aktualisierung von Windows Domain Controllern verantwortlich zeichnen, m\u00f6chte ich aber an ein Thema im Bereich Domain Controller erinnern. Es geht darum, dass Microsoft in 2023 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/05\/erinnerung-nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-im-april-2023\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[8313,4328,4364],"class_list":["post-278442","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-domain-controller","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278442"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278442\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}