{"id":295228,"date":"2024-05-14T00:03:00","date_gmt":"2024-05-13T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295228"},"modified":"2025-04-11T13:37:13","modified_gmt":"2025-04-11T11:37:13","slug":"probleme-mit-remote-untersttzung-nach-april-2024-update-pac-nderungen-kb5037754","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/14\/probleme-mit-remote-untersttzung-nach-april-2024-update-pac-nderungen-kb5037754\/","title":{"rendered":"Probleme mit Remote-Unterstützung nach April 2024-Update (PAC-Änderungen, KB5037754)"},"content":{"rendered":"

\"Windows\"Mit den April 2024-Updates hat Microsoft auch am Privilege Attribute Certificate (PAC) \u00c4nderungen vorgenommen, um auf die Schwachstellen CVE-2024-26248 und CVE-2024-29056 zu reagieren. Ein Blog-Leser hatte mich bereits vor Tagen per Mail kontaktiert, weil man einerseits Probleme mit Remote-Unterst\u00fctzung nach den April 2024-Updates hat. Andererseits sehen die Administratoren dort auf den Ziel-Clients Kerberos-Ticketanmeldungsfehler. Ist das ein Einzelfall oder haben andere Administratoren auch entsprechende Erfahrungen gemacht?<\/p>\n

<\/p>\n

PAC-\u00c4nderungen (KB5037754)<\/h2>\n

\"\"Ich habe es hier im Blog nicht thematisiert – aber Microsoft hat im April 2024 den Support-Beitrag KB5037754: How to manage PAC Validation changes related to CVE-2024-26248 and CVE-2024-29056<\/a> ver\u00f6ffentlicht. Dort hei\u00dft es, dass die Windows-Sicherheitsupdates, die am oder nach dem 9. April 2024 ver\u00f6ffentlicht werden, Schwachstellen CVE-2024-26248 und CVE-2024-29056 in Bezug auf die Erh\u00f6hung von Berechtigungen mit dem Kerberos PAC-Validierungsprotokoll beheben.<\/p>\n

Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Diensttickets. Es enth\u00e4lt Informationen \u00fcber den authentifizierenden Benutzer und seine Berechtigungen.<\/p><\/blockquote>\n

Microsoft hat im oben verlinkten Supportbeitrag Hinweise gegeben, dass die Windows Domain Controller (DCs) sowie die Windows Clients mit den Sicherheitsupdates aktualisiert werden m\u00fcssen. Zudem hei\u00dft es, dass Audit-Ereignisse im Kompatibilit\u00e4tsmodus angezeigt werden, um nicht aktualisierte Ger\u00e4te zu identifizieren.<\/p>\n

Probleme mit der Remoteunterst\u00fctzung<\/h2>\n

Blog-Leser Harald hat mich zum 7. Mai 2024 kontaktiert und schreibt, dass sie in seinem Umfeld seit der Installation der April 2024-Updates Probleme mit der Remoteunterst\u00fctzung feststellen. Man sieht auf den Ziel-Clients die im Support-Beitrag KB5037754: How to manage PAC Validation changes related to CVE-2024-26248 and CVE-2024-29056<\/a> beschriebenen Kerberos-Ticketanmeldungsfehler mit der ID 22.<\/p>\n

\"<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Zus\u00e4tzlich gibt es noch Eintr\u00e4ge mit der Ereignis ID 7, die den lokalen DC angibt und besagt, das die Authentifizierungsinformationen nicht \u00fcberpr\u00fcft werden k\u00f6nnen.<\/p>\n

\"<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Die zugeh\u00f6rigen 4625er im Security-Log haben teilweise leere Quell-SIDs als Antragsteller, sowie bef\u00fcllte Antragsteller SIDs aber gescheiterte, aber auch erfolgreiche Logons, schreibt Harald dazu. In allen F\u00e4llen funktioniert in seiner Umgebung die Remoteunterst\u00fctzung nicht mehr. Laut Blog-Leser sind alle Windows Clients und Server auf dem April 2024-Patch-Stand. Ansonsten konnten die Administratoren im Unternehmen aber noch keine Probleme beobachten.<\/p>\n

Erg\u00e4nzung:<\/strong> In einer Nachtrags-Mail schrieb der Leser \"Vermutlich scheint es eine Read-Only-DC-Spezialit\u00e4t zu sein. Wir fahren da ein spezielles Szenario. Es sieht so aus als ob die Authentifizierung \u00fcber Writable DCs (Zielclient steht in einer Site mit Writable-DC) immer klappt.\"<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBug in \"Kerberos Configuration Manager for SQL Server\" (M\u00e4rz 2024)<\/a>
\nWindows Server: Fix f\u00fcr (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates<\/a>
\nWindows Server (Kerberos) LSASS-Memory-Leak durch M\u00e4rz 2024-Updates best\u00e4tigt<\/a>
\nWindows Server: April 2024-Updates st\u00f6ren NTLM-Authentifizierung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Mit den April 2024-Updates hat Microsoft auch am Privilege Attribute Certificate (PAC) \u00c4nderungen vorgenommen, um auf die Schwachstellen CVE-2024-26248 und CVE-2024-29056 zu reagieren. Ein Blog-Leser hatte mich bereits vor Tagen per Mail kontaktiert, weil man einerseits Probleme mit Remote-Unterst\u00fctzung nach … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7862,2557],"tags":[24,4315,4364],"class_list":["post-295228","post","type-post","status-publish","format-standard","hentry","category-stoerung","category-windows-server","tag-problem","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295228"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295228\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}