{"id":311277,"date":"2025-05-08T00:02:04","date_gmt":"2025-05-07T22:02:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311277"},"modified":"2025-05-07T18:19:48","modified_gmt":"2025-05-07T16:19:48","slug":"windows-server-april-2025-updates-windows-hello-problem-und-kerberos-ereignisse-bestaetigt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/08\/windows-server-april-2025-updates-windows-hello-problem-und-kerberos-ereignisse-bestaetigt\/","title":{"rendered":"Windows Server: April 2025-Updates Windows Hello-Problem und Kerberos-Ereignisse best\u00e4tigt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Die Sicherheitsupdates vom April 2025 f\u00fcr Windows Server k\u00f6nnen Probleme bei Dom\u00e4nencontrollern verursachen, so dass die Kerberos-Ereignis-IDs 45 und 21 protokolliert werden. Microsoft hat dieses Problem best\u00e4tigt und schreibt, dass die Anmeldung mit Windows Hello im Key Trust-Modus fehlschlagen kann. Privatanwender sind von diesen Problemen wohl nicht betroffen.<\/p>\n

<\/p>\n

\"\"Zum 8. April 2025 wurden von Microsoft Sicherheitsupdates f\u00fcr Windows-Clients und Server ausgerollt, die diverse Schwachstellen (in Microsoft Security Update Summary (8. April 2025)<\/a> erw\u00e4hnt) schlie\u00dfen. F\u00fcr Windows Server sind die Updates im Artikel Patchday: Windows Server-Updates (8. April 2025)<\/a> aufgelistet.<\/p>\n

Hello-Logon-Problem und Kerberos-Events<\/h2>\n

Zum 6. Mai 2025 hat Microsoft im Windows Release Health-Dashboard von Windows Server 2025 (und anderen Server-Versionen) den Support-Beitrag\u00a0Logon might fail with Windows Hello in Key Trust mode and log Kerberos Events<\/a> eingestellt. Dort best\u00e4tigt Microsoft Probleme nach Installation des des monatlichen Windows-Sicherheitsupdates vom 8. April 2025 (bei Windows Server 2025 ist das KB5055523) oder sp\u00e4teren Updates Probleme.<\/p>\n

Bei Active Directory-Dom\u00e4nencontrollern (DC) k\u00f6nnen Probleme bei der Verarbeitung von Kerberos-Anmeldungen oder Delegationen auftreten, hei\u00dft es. Diese treten auf, wenn die Kerberos-Anmeldungen oder Delegationen zertifikatbasierte Anmeldeinformationen verwenden, die auf Schl\u00fcsselvertrauen \u00fcber das Active Directory-Feld msds-KeyCredentialLink basieren.<\/p>\n

Dies kann laut Microsoft zu Authentifizierungsproblemen in Windows Hello for Business (WHfB)-Schl\u00fcsselvertrauensumgebungen oder in Umgebungen f\u00fchren, in denen Device Public Key Authentication (auch bekannt als Machine PKINIT) eingesetzt wird. Es sei zudem m\u00f6glich, dass auch andere Produkte, die auf diese Funktion angewiesen sind, betroffen sind. Microsoft erw\u00e4hnt in diesem Zusammenhang Smartcard-Authentifizierungsprodukte, Single-Sign-On-L\u00f6sungen (SSO) von Drittanbietern und Identit\u00e4tsmanagementsysteme.<\/p>\n

Betroffene Protokolle sind Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) und zertifikatsbasierte Service-for-User Delegation (S4U) \u00fcber Kerberos Constrained Delegation (KCD oder A2D2 Delegation) und Kerberos Resource-Based Constrained Delegation (RBKCD oder A2DF Delegation).<\/p>\n

Dieses Problem steht im Zusammenhang mit der Absicherung gegen die in KB5057784, Protections for CVE-2025-26647 (Kerberos Authentication)<\/a> beschriebene Schwachstelle, die durch die\u00a0Sicherheits-Updates wie KB5057784 (f\u00fcr Server 2025) geschlossen werden. Auch Folge-Updates werden diese Probleme verursachen.<\/p>\n

Der Hintergrund: Ab den Windows-Updates, die am 8. April 2025 und sp\u00e4ter ver\u00f6ffentlicht wurden, hat sich die Methode ge\u00e4ndert, mit der DCs die f\u00fcr die Kerberos-Authentifizierung verwendeten Zertifikate \u00fcberpr\u00fcfen. Ist das April 2025 Update installiert, pr\u00fcfen sie, ob die Zertifikate mit einem Stamm im NTAuth-Speicher verkettet sind (in KB5057784<\/a> beschrieben).<\/p>\n

Dieses Verhalten kann durch den Registrierungswert AllowNtAuthPolicyBypass<\/em> im Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Kdc<\/pre>\n
gesteuert werden. Wenn AllowNtAuthPolicyBypass<\/em> nicht vorhanden ist, verh\u00e4lt sich der DC so, als ob der Wert auf \u201e1\" konfiguriert w\u00e4re. Tritt das Problem auf,\u00a0Problem k\u00f6nnen zwei Symptome beobachtet werden:<\/p>\n