{"id":310570,"date":"2025-04-11T13:30:21","date_gmt":"2025-04-11T11:30:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310570"},"modified":"2025-04-11T15:07:11","modified_gmt":"2025-04-11T13:07:11","slug":"windows-kerberos-pac-validation-protocol-seit-8-april-2025-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/11\/windows-kerberos-pac-validation-protocol-seit-8-april-2025-abgeschaltet\/","title":{"rendered":"Windows: Kerberos PAC Validation Protocol seit 8. April 2025 im Enforcement-Modus"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kurze Erinnerung f\u00fcr Administratoren, falls jemand das nicht mitbekommen hat. Zum April 2025-Patchday (8.4.2025) trat die \"Enforcement-Phase\" f\u00fcr die H\u00e4rtung des Kerberos-Protokolls bez\u00fcglich des Kerberos PAC Validation Protocol in Kraft. Damit wurden bestimmte Modi, die per Registrierung noch aktivierbar waren, entfernt. Zudem startet die H\u00e4rtung der\u00a0Kerberos Authentication zum Schutz vor CVE-2025-26647.<\/p>\n

<\/p>\n

\"\"Microsoft hatte ja bereits im Februar 2025 mit der H\u00e4rtung von Windows-Clients und Server f\u00fcr das Kerberos-Protokoll Ernst gemacht. Im Rahmen der Zeitpl\u00e4ne zur stufenweisen H\u00e4rtung ist zum 8. April 2025 die \"Enforcement-Phase\" (KB5037754<\/a>\u200b\u200b\u200b\u200b\u200b\u200b\u200b) f\u00fcr das Kerberos PAC Validation Protocol in Kraft getreten.<\/p>\n

Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Diensttickets. Es enth\u00e4lt Informationen \u00fcber den authentifizierenden Benutzer und seine Berechtigungen.<\/p><\/blockquote>\n

Die Windows-Sicherheitsupdates, die zum April 2025 oder danach ver\u00f6ffentlicht werden, erzwingen laut obigem KB das neue Sicherheitsverhalten. Dazu entfernen die Updates die Unterst\u00fctzung f\u00fcr die Registrierungsunterschl\u00fcssel PacSignatureValidationLevel\u00a0<\/em>und\u00a0 CrossDomainFilteringLevel<\/em>. Nach der Installation des Updates vom 8. April 2025 gibt es keine Unterst\u00fctzung f\u00fcr den Kompatibilit\u00e4tsmodus mehr.<\/p>\n

Wer noch mit Windows XP-Systemen in einer AD-Umgebung befasst ist, sollte sich die Kommentare im Beitrag\u00a0Kerberos PAC-Schwachstellen: Kommt das Ende f\u00fcr Windows XP im April 2025?<\/a>\u00a0durchlesen.<\/p>\n

Kerberos Authentication-Schutz vor CVE-2025-26647<\/h2>\n

Zudem hat Microsoft zum 8. April 2025 den Beitrag KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication)<\/a> im Windows Message Center ver\u00f6ffentlicht. Dieser befasst sich mit der H\u00e4rtung der Kerbereos Authentifizierung vor CVE-2025-26647. Dort gelten folgende Fristen f\u00fcr Windows-Updates, die am oder nach dem 8. April 2025 ver\u00f6ffentlicht werden, enthalten Schutzma\u00dfnahmen f\u00fcr eine Sicherheitsl\u00fccke bei der Kerberos-Authentifizierung. Diese Schutzma\u00dfnahmen werden in drei Phasen implementiert.<\/p>\n