{"id":303539,"date":"2024-09-26T00:02:14","date_gmt":"2024-09-25T22:02:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=303539"},"modified":"2025-05-31T20:50:45","modified_gmt":"2025-05-31T18:50:45","slug":"kb5014754-aenderungen-der-zertifikatsbasierten-authentifizierung-auf-windows-domaenencontrollern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/26\/kb5014754-aenderungen-der-zertifikatsbasierten-authentifizierung-auf-windows-domaenencontrollern\/","title":{"rendered":"KB5014754: \u00c4nderungen der zertifikatsbasierten Authentifizierung auf Windows-Dom\u00e4nencontrollern"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/09\/26\/kb5014754-changes-to-certificate-based-authentication-on-windows-domain-controllers\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kleiner Nachtrag f\u00fcr Administratoren von Windows Domain-Controllern (DCs). Microsoft hat zum 10. September 2024 den Artikel KB5014754 aktualisiert. Dieser befasst sich mit \u00c4nderungen der zertifikatsbasierten Authentifizierung auf Windows-Dom\u00e4nencontrollern. Microsoft hat dort einen Termin auf Februar 2025 verschoben.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Leserhinweis<\/h2>\n<p>Microsoft gew\u00e4hrt Administratoren noch bis zum 11. Februar 2025 die M\u00f6glichkeit, bei Domain Controllern per Registrierungseingriff auf den \"Enforcement Mode\" in den \"Compatiblity Mode\" zur\u00fcckzustufen. Hier die Ausf\u00fchrungen des Lesers:<\/p>\n<blockquote><p>Change date 9\/10\/2024<br \/>\nDescription<br \/>\nChanged the Full Enforcement mode description in the \"Timing for Windows updates\" section to reflect new dates. February 11, 2025 will move devices to Enforcement mode but leave support to move back to Compatibility mode. Full registry key support will now end September 10, 2025.<\/p><\/blockquote>\n<p>Ich hatte das Ganze etwa zur\u00fcckgestellt, bin nun \u00fcber einen weiteren Post auf das Thema gesto\u00dfen und ziehe es hier kurz in den Blog.<\/p>\n<p><a href=\"https:\/\/m365admin.handsontek.net\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Windows Domain Controller KB5014754\" src=\"https:\/\/i.postimg.cc\/4dZ1ZvZV\/image.png\" alt=\"Windows Domain Controller KB5014754\" width=\"594\" height=\"487\" \/><\/a><\/p>\n<h2>KB5014754: \u00c4nderung vom 10. Sept. 2024<\/h2>\n<p>Microsoft hat im Microsoft 365 Message Center unter <em>MC894351<\/em> auf die \u00c4nderungen hingewiesen, die <a href=\"https:\/\/m365admin.handsontek.net\/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> von Joao Ferreira angesprochen wird. Am 10. September 2024 wurde der Artikel KB5014754 in den Passagen aktualisiert, die sich auf den Zeitrahmen der Sicherheitsanforderungen f\u00fcr zertifikatsbasierte Authentifizierungsanforderungen auf Windows-Dom\u00e4nencontrollern auswirken. Hier die betreffende Meldung aus dem Microsoft 365 Message Center;<\/p>\n<blockquote><p>After you install the Windows security updates released in February 2025 security update, authentication for certificates that do not meet the expected mapping requirements will be denied. This change is known as Full Enforcement mode. For full details, see <a href=\"https:\/\/support.microsoft.com\/topic\/ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener noreferrer\">KB5014754<\/a>.<\/p>\n<p><b>When will this happen:<\/b><\/p>\n<p>In February 2025, or later, devices will move to Full <b>Enforcement<\/b>\u00a0mode. However, you can move back to\u00a0<b>Compatibility\u00a0<\/b>mode until September 2025.<\/p>\n<p><b>How this will affect your organization:<\/b><\/p>\n<div>\n<p>When you install the February 2025 security update, Windows updates, devices that are not already in Full Enforcement mode (<b>StrongCertificateBindingEnforcement<\/b>\u00a0registry value is set to\u00a0<b>2<\/b>), will be moved to Full Enforcement mode.<\/p>\n<p>If authentication is denied, you will see Event ID 39 (or Event ID 41 for Windows Server 2008 R2 SP1 and Windows Server 2008 SP2). You will have the option to set the registry key value back to\u00a0<b>1<\/b> (Compatibility mode) at this stage. In the September 2025 Windows update, the<\/p>\n<p><b>StrongCertificateBindingEnforcement<\/b><\/p>\n<p>registry value will no longer be supported.<\/p>\n<p><b>What you need to do to prepare:<\/b><\/p>\n<p><b>Additional information:<\/b><br \/>\nReview the date changes in the \"Take action\", \"Full Enforcement mode\", and \"Registry key information\" sections of\u00a0<a href=\"https:\/\/support.microsoft.com\/topic\/ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener noreferrer\"><u>KB5014754<\/u><\/a>. Take the appropriate action needed to make your devices more secure.<\/p>\n<\/div>\n<\/blockquote>\n<p>Also: Ab dem 11. Februar 2025 (Patchday) wird der \"Full Enforcement mode\" f\u00fcr die zertifikatsbasierten Authentifizierung auf Windows-Dom\u00e4nencontrollern erzwungen. Vorher kann man auf den Compatibility-Mode zur\u00fcckgehen.\u00a0Die Details lassen sich im Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/topic\/ad2c23b0-15d8-4340-a468-4d4f3b188f16\" target=\"_blank\" rel=\"noopener noreferrer\">KB5014754: Certificate-based authentication changes on Windows domain controllers<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleiner Nachtrag f\u00fcr Administratoren von Windows Domain-Controllern (DCs). Microsoft hat zum 10. September 2024 den Artikel KB5014754 aktualisiert. Dieser befasst sich mit \u00c4nderungen der zertifikatsbasierten Authentifizierung auf Windows-Dom\u00e4nencontrollern. Microsoft hat dort einen Termin auf Februar 2025 verschoben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,4364],"class_list":["post-303539","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303539","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=303539"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303539\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=303539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=303539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=303539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}