{"id":283373,"date":"2023-07-06T02:16:53","date_gmt":"2023-07-06T00:16:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283373"},"modified":"2023-07-06T02:18:42","modified_gmt":"2023-07-06T00:18:42","slug":"nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-verschoben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/06\/nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-verschoben\/","title":{"rendered":"&Auml;nderungen bei der zertifikatsbasierten Authentifizierung bei Domain Controllern verschoben"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Windows\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" width=\"200\" align=\"left\"\/>[English]Noch eine kurze Information f\u00fcr Administratoren von Windows Server-Systemen (Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU), die als Domain Controller fungieren. Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/02\/windows-hrtung-termine-2023\/\">Windows-H\u00e4rtung: Termine 2023<\/a> hatte ich einige Termine f\u00fcr dieses Jahr aufgelistet, zu denen Microsoft H\u00e4rtungsma\u00dfnahmen zur Verbesserung der Sicherheit plante. Zumindest f\u00fcr die \u00c4nderungen bei der zertifikatsbasierten Authentifizierung bei Domain Controllern gibt es nun einen Aufschub bis Februar 2025. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg09.met.vgwort.de\/na\/5f85af9f574345fb9e1bebf029c057bf\" width=\"1\" height=\"1\"\/>Ich hatte bereits im Januar 2023 im Artikel <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/15\/nderungen-an-den-windows-sicherheitseinstellungen-in-2023\/\">\u00c4nderungen an den Windows Sicherheitseinstellungen in 2023<\/a> auf sich abzeichnende \u00c4nderungen bei der zertifikatsbasierten Authentifizierung auf Dom\u00e4nen Controllern hingewiesen.<\/p>\n<ul>\n<li>Microsoft musste im August 2022 die Schwachstellen CVE-2022-34691, CVE-2022-26931 und CVE-2022-26923 per Sicherheitsupdate adressieren (<a href=\"https:\/\/borncity.com\/blog\/2022\/08\/10\/microsoft-security-update-summary-9-august-2022\/\">Microsoft Security Update Summary (9. August 2022)<\/a>). Es gab eine Schwachstelle, die zu einer Erh\u00f6hung von Berechtigungen f\u00fchren kann, wenn das Kerberos Distribution Center (KDC) eine zertifikatsbasierte Authentifizierungsanfrage bearbeitet.  <\/li>\n<li>Seit Mai 2022 laufen die betroffenen Domain Controller nach Installation des betreffenden Sicherheitsupdates in einem Compatibility-Modus. Das Update hatte seinerzeit f\u00fcr einigen \u00c4rger gesorgt.  <\/li>\n<li>Bis jetzt konnten Administratoren die zertifikatsbasierte Authentifizierung, die noch auf einer schwachen Zuordnung beruht, bei Domain Controllern per Registrierungseintrag deaktivieren. Dieser Deaktivierungsmodus wurde am 11. April 2023 per Update entfernt.  <\/li>\n<li>Ab dem 14. November 2023 wollte Microsoft mit dem H\u00e4rten der Systeme bez\u00fcglich der Schwachstelle fortfahren, und diese per Update auf den Full Enforcement-Modus umstellen. In diesem Modus wird die Authentifizierung verweigert, wenn ein Zertifikat die starken (sicheren) Zuordnungskriterien nicht erf\u00fcllt und nicht fest zugeordnet werden kann.<\/li>\n<\/ul>\n<p>Microsoft hatte dazu den Support-Beitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_additionalresources\">KB5014754: Certificate-based authentication changes on Windows domain controllers<\/a> mit Details ver\u00f6ffentlicht, wobei die urspr\u00fcnglich f\u00fcr den 14. Februar 2023 geplante Entfernung des Deaktivierungsmodus auf den 11. April 2023 verschoben wurde. <\/p>\n<p><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"KB5014754 is now postponed until February 2025\" alt=\"KB5014754 is now postponed until February 2025\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/07\/fSOwZBN.png\"\/><\/a><\/p>\n<p>In obigem Tweet weist Scott Breen, Senior Product Manager vom Microsoft Intune Customer Acceleration Team (EDU), auf eine kleine Korrektur hin. Im Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener\">KB5014754\u2014Certificate-based authentication changes on Windows domain controllers<\/a> hat Microsoft den geplanten Termin 14. November 2023 zur Erzwingung des Full Enforcement Mode auf den 11. Februar 2025 verschoben. Zuvor waren diese Daten mit 19. Mai 2023 bis 14. November 2023 angegeben. <\/p>\n<p>Das deutet doch darauf hin, dass es im Feld arge Probleme gibt. Auf Twitter vermutet jemand, dass die Zertifikate f\u00fcr Mobiltelefone \/ NDES das Problem sind. Scott Breen hat sich dazu aber nicht ge\u00e4u\u00dfert. Das Ganze betrifft \u00fcbrigens Windows Server 2012 R2, Windows Server 2012 und Windows Server 2008 R2 Enterprise ESU, die als Domain Controller fungieren. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/21\/windows-out-of-band-updates-vom-19-5-2022-versagen-mit-nps-beim-ad-dc-authentifizierungsfehler\/\">Windows Out-of-Band-Updates vom 19.5.2022 versagen mit NPS beim AD DC-Authentifizierungsfehler<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/\">CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a>  <\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/05\/02\/windows-hrtung-termine-2023\/\">Windows-H\u00e4rtung: Termine 2023<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/03\/05\/erinnerung-nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-im-april-2023\/\">Erinnerung: \u00c4nderungen bei der zertifikatsbasierten Authentifizierung bei Domain Controllern im April 2023<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/01\/15\/nderungen-an-den-windows-sicherheitseinstellungen-in-2023\/\">\u00c4nderungen an den Windows Sicherheitseinstellungen in 2023<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch eine kurze Information f\u00fcr Administratoren von Windows Server-Systemen (Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU), die als Domain Controller fungieren. Im Blog-Beitrag Windows-H\u00e4rtung: Termine 2023 hatte ich einige Termine f\u00fcr dieses Jahr aufgelistet, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/06\/nderungen-bei-der-zertifikatsbasierten-authentifizierung-bei-domain-controllern-verschoben\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301,2557],"tags":[4328,4315,4364],"class_list":["post-283373","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","category-windows-server","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283373","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283373"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283373\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283373"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283373"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283373"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}