Gilt für
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 8. April 2025

KB-ID: 5057784

Datum ändern

Beschreibung ändern

22. Juli 2025

  • Der Absatz unter "Registrierungsschlüsselinformationen" im Abschnitt "Registrierungseinstellungen und Ereignisprotokolle" wurde aktualisiert.Originaltext: Der folgende Registrierungsschlüssel ermöglicht das Überwachen anfälliger Szenarien und das anschließende Erzwingen der Änderung, sobald anfällige Zertifikate behoben wurden. Der Registrierungsschlüssel wird nicht automatisch erstellt. Das Verhalten des Betriebssystems, wenn der Registrierungsschlüssel nicht konfiguriert ist, hängt davon ab, in welcher Phase der Bereitstellung es sich befindet.Überarbeiteter Text: Der folgende Registrierungsschlüssel ermöglicht das Überwachen anfälliger Szenarien und das anschließende Erzwingen der Änderung, sobald anfällige Zertifikate behoben wurden. Der Registrierungsschlüssel wird nicht automatisch hinzugefügt. Wenn Sie das Verhalten ändern müssen, müssen Sie den Registrierungsschlüssel manuell erstellen und den benötigten Wert festlegen. Beachten Sie, dass das Verhalten des Betriebssystems, wenn der Registrierungsschlüssel nicht konfiguriert ist, von der Phase der Bereitstellung abhängt, in der es sich befindet.

  • Die Kommentare unter "AllowNtAuthPolicyBypass" im Abschnitt "Registrierungseinstellungen und Ereignisprotokolle" wurden aktualisiert.Originaltext: Die Registrierungseinstellung AllowNtAuthPolicyBypass sollte nur auf Windows-KDCs konfiguriert werden, z. B. auf Domänencontrollern, auf denen die windows-Updates installiert sind, die im oder nach Mai 2025 veröffentlicht wurden.Überarbeiteter Text: Die Registrierungseinstellung AllowNtAuthPolicyBypass sollte nur auf Windows-KDCs konfiguriert werden, auf denen die windows-Updates installiert sind, die im oder nach April 2025 veröffentlicht wurden.

9. Mai 2025

  • Der Begriff "privilegiertes Konto" wurde im Abschnitt "Zusammenfassung" durch "Sicherheitsprinzipal mit zertifikatbasierter Authentifizierung" ersetzt.

  • Der Schritt "Aktivieren" im Abschnitt "Aktion ergreifen" wurde umformuliert, um die Verwendung von Anmeldezertifikaten zu verdeutlichen, die von Behörden ausgestellt wurden, die sich im NTAuth-Speicher befinden.Originaltext:AKTIVIEREN Sie den Erzwingungsmodus, wenn Ihre Umgebung keine Anmeldezertifikate mehr verwendet, die von Behörden ausgestellt wurden, die sich nicht im NTAuth-Speicher befinden.

  • Im Abschnitt "8. April 2025: Phase der ersten Bereitstellung – Überwachungsmodus" wurden umfangreiche Änderungen vorgenommen, indem sie darauf hingewiesen haben, dass bestimmte Bedingungen vorhanden sein müssen, bevor die von diesem Update gebotenen Schutzmaßnahmen aktiviert werden... Dieses Update muss auf alle Domänencontroller angewendet werden, UND stellen Sie sicher, dass sich anmeldezertifikate, die von Behörden ausgestellt wurden, im NTAuth-Speicher befinden. Schritte zum Wechseln in den Erzwingungsmodus wurden hinzugefügt, und es wurde ein Ausnahmehinweis hinzugefügt, um das Verschieben zu verzögern, wenn Sie über Domänencontroller verfügen, die die selbstsignierte zertifikatbasierte Authentifizierung in mehreren Szenarien verwenden.Originaltext: Um das neue Verhalten zu aktivieren und vor der Sicherheitsanfälligkeit zu schützen, müssen Sie sicherstellen, dass alle Windows-Domänencontroller aktualisiert werden und die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass auf 2 festgelegt ist.

  • Zusätzlichen Inhalt zu den "Kommentaren" der Abschnitte "Registrierungsschlüsselinformationen" und "Überwachungsereignisse" hinzugefügt.

  • Der Abschnitt "Bekanntes Problem" wurde hinzugefügt.

Inhalt

Zusammenfassung

Die windows-Sicherheitsupdates, die am oder nach dem 8. April 2025 veröffentlicht wurden, enthalten Schutz für ein Sicherheitsrisiko bei der Kerberos-Authentifizierung. Dieses Update bietet eine Änderung des Verhaltens, wenn die ausstellende Stelle des Zertifikats, das für die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) eines Sicherheitsprinzipals verwendet wird, vertrauenswürdig ist, aber nicht im NTAuth-Speicher, und eine Ski-Zuordnung (Subject Key Identifier) im altSecID-Attribut des Sicherheitsprinzipals vorhanden ist, die zertifikatbasierte Authentifizierung verwendet. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2025-26647.

Handeln Sie

Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir die folgenden Schritte:

  1. AKTUALISIEREN Sie alle Domänencontroller mit einem Windows-Update, das am oder nach dem 8. April 2025 veröffentlicht wurde.

  2. ÜBERWACHEN Sie neue Ereignisse, die auf Domänencontrollern angezeigt werden, um betroffene Zertifizierungsstellen zu identifizieren.

  3. AKTIVIEREN Der Erzwingungsmodus, nachdem Ihre Umgebung jetzt nur Anmeldezertifikate verwendet, die von Autoritäten im NTAuth-Speicher ausgestellt wurden.

altSecID-Attribute

In der folgenden Tabelle sind alle Attribute alternativer Sicherheits-IDs (altSecIDs) und der altSecIDs aufgeführt, die von dieser Änderung betroffen sind.

Liste der Zertifikatattribute, die altSecIDs zugeordnet werden können 

AltSecIDs, die ein übereinstimmendes Zertifikat für die Verkettung mit dem NTAuth-Speicher erfordern

X509IssuerSubject

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509RFC822

X509SubjectOnly

X509NSubjectOnly

X509PublicKeyOnly

X509IssuerSerialNumber

X509SKI

X509SHA1PublicKey

X509IssuerSubject

X509NSubjectOnly

Zeitachse der Änderungen

8. April 2025: Phase der ersten Bereitstellung – Überwachungsmodus

Die erste Bereitstellungsphase (Überwachungsmodus ) beginnt mit den Updates, die am 8. April 2025 veröffentlicht wurden. Diese Updates ändern das Verhalten, das das in CVE-2025-26647 beschriebene Sicherheitsrisiko durch Rechteerweiterungen erkennt, dies jedoch zunächst nicht erzwingt.

Im Überwachungsmodus wird die Ereignis-ID 45 auf dem Domänencontroller protokolliert, wenn er eine Kerberos-Authentifizierungsanforderung mit einem unsicheren Zertifikat empfängt. Die Authentifizierungsanforderung ist zulässig, und es werden keine Clientfehler erwartet.

Um die Verhaltensänderung zu aktivieren und vor der Sicherheitsanfälligkeit zu schützen, müssen Sie sicherstellen, dass alle Windows-Domänencontroller am oder nach dem 8. April 2025 mit einer Windows Update-Version aktualisiert werden, und die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass ist auf 2 festgelegt, um den Erzwingungsmodus zu konfigurieren.

Wenn der Domänencontroller im Erzwingungsmodus eine Kerberos-Authentifizierungsanforderung mit einem unsicheren Zertifikat empfängt, protokolliert er die Legacyereignis-ID: 21 und lehnt die Anforderung ab.

Führen Sie die folgenden Schritte aus, um die von diesem Update gebotenen Schutzmaßnahmen zu aktivieren:

  1. Wenden Sie das windows-Update, das am oder nach dem 8. April 2025 veröffentlicht wurde, auf alle Domänencontroller in Ihrer Umgebung an. Nach dem Anwenden des Updates ist die Einstellung AllowNtAuthPolicyBypass standardmäßig auf 1 (Audit) festgelegt, wodurch die NTAuth-Überprüfung und die Überwachungsprotokollwarnungsereignisse aktiviert werden.WICHTIG Wenn Sie nicht bereit sind, die von diesem Update gebotenen Schutzmaßnahmen anzuwenden, legen Sie den Registrierungsschlüssel auf 0 fest, um diese Änderung vorübergehend zu deaktivieren. Weitere Informationen finden Sie im Abschnitt Registrierungsschlüsselinformationen .

  2. Überwachen Sie neue Ereignisse, die auf Domänencontrollern angezeigt werden, um betroffene Zertifizierungsstellen zu identifizieren, die nicht Teil des NTAuth-Speichers sind. Die Ereignis-ID, die Sie überwachen müssen , ist Ereignis-ID: 45. Weitere Informationen zu diesen Ereignissen finden Sie im Abschnitt Überwachungsereignisse .

  3. Stellen Sie sicher, dass alle Clientzertifikate gültig und mit einer vertrauenswürdigen ausstellenden Zertifizierungsstelle im NTAuth-Speicher verkettet sind.

  4. Nachdem alle Ereignis-ID: 45 Ereignisse aufgelöst wurden, können Sie mit dem Erzwingungsmodus fortfahren. Legen Sie dazu den Registrierungswert AllowNtAuthPolicyBypass auf 2 fest. Weitere Informationen finden Sie im Abschnitt Registrierungsschlüsselinformationen .Anmerkung Es wird empfohlen, das Festlegen von AllowNtAuthPolicyBypass = 2 vorübergehend zu verzögern, bis das nach Mai 2025 veröffentlichte Windows-Update auf Domänencontroller angewendet wurde, die die selbstsignierte zertifikatbasierte Authentifizierung in mehreren Szenarien unterstützen. Dies schließt Domänencontroller ein, die Windows Hello for Business Schlüsselvertrauensstellung und die Authentifizierung mit öffentlichem Schlüssel des Geräts in die Domäne einbinden.

Juli 2025: Standardmäßig erzwungene Phase

Updates, die im oder nach Juli 2025 veröffentlicht wurden, erzwingt standardmäßig die NTAuth Store-Überprüfung. Mit der Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass können Kunden bei Bedarf in den Überwachungsmodus zurückkehren. Die Möglichkeit, dieses Sicherheitsupdate vollständig zu deaktivieren, wird jedoch entfernt.

Oktober 2025: Erzwingungsmodus

Updates, die im Oder nach Oktober 2025 veröffentlicht wurden, wird die Microsoft-Unterstützung für den Registrierungsschlüssel AllowNtAuthPolicyBypass eingestellt. In diesem Stadium müssen alle Zertifikate von Autoritäten ausgestellt werden, die Teil des NTAuth-Speichers sind. 

Registrierungseinstellungen und Ereignisprotokolle

Registrierungsschlüsselinformationen

Der folgende Registrierungsschlüssel ermöglicht das Überwachen anfälliger Szenarien und das anschließende Erzwingen der Änderung, sobald anfällige Zertifikate behoben wurden. Der Registrierungsschlüssel wird nicht automatisch hinzugefügt. Wenn Sie das Verhalten ändern müssen, müssen Sie den Registrierungsschlüssel manuell erstellen und den benötigten Wert festlegen. Beachten Sie, dass das Verhalten des Betriebssystems, wenn der Registrierungsschlüssel nicht konfiguriert ist, von der Phase der Bereitstellung abhängt, in der es sich befindet.

AllowNtAuthPolicyBypass

Registrierungsunterschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

Wert

AllowNtAuthPolicyBypass

Typ

REG_DWORD

Wertdaten

0

Deaktiviert die Änderung vollständig.

1

Führt das NTAuth-Überprüfungs- und Protokollwarnungsereignis aus, das das Zertifikat angibt, das von einer Zertifizierungsstelle ausgestellt wurde, die nicht Teil des NTAuth-Speichers (Überwachungsmodus) ist. (Standardverhalten ab release vom 8. April 2025.)

2

Führen Sie die NTAuth-Überprüfung aus, und lassen Sie die Anmeldung nicht zu, wenn sie fehlschlägt. Protokollieren Sie (vorhandene) normale Ereignisse für einen AS-REQ-Fehler mit einem Fehlercode, der angibt, dass die NTAuth-Überprüfung fehlgeschlagen ist (Erzwungener Modus).

Kommentare

Die Registrierungseinstellung AllowNtAuthPolicyBypass sollte nur auf Windows-KDCs konfiguriert werden, auf denen die windows-Updates installiert sind, die im oder nach April 2025 veröffentlicht wurden.

Überwachungsereignisse

Ereignis-ID: 45 | NT Auth Store Check Audit Event

Administratoren sollten für das folgende Ereignis watch, das durch die Installation von Windows-Updates hinzugefügt wurde, die am oder nach dem 8. April 2025 veröffentlicht wurden. Wenn es vorhanden ist, bedeutet dies, dass ein Zertifikat von einer Zertifizierungsstelle ausgestellt wurde, die nicht Teil des NTAuth-Speichers ist.

Ereignisprotokoll

Protokollsystem

Ereignistyp

Warnung

Ereignisquelle

Kerberos-Key-Distribution-Center

Ereigniskennung

45

Ereignistext

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) hat ein Clientzertifikat gefunden, das gültig, aber nicht mit einem Stamm im NTAuth-Speicher verkettet war. Die Unterstützung für Zertifikate, die nicht mit dem NTAuth-Speicher verkettet sind, ist veraltet.

Die Unterstützung für die Verkettung von Zertifikaten mit Nicht-NTAuth-Speichern ist veraltet und unsicher.Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2300705 .

 Benutzer: <UserName>  Zertifikatantragsteller: <>  Zertifikataussteller: <zertifikataussteller>  Seriennummer des Zertifikats:<Zertifikatseriennummer>  Zertifikatfingerabdruck: < CertThumbprint>

Kommentare

  • Zukünftige Windows-Updates optimieren die Anzahl von Ereignis-45-Angemeldeten auf CVE-2025-26647-geschützten Domänencontrollern.

  • Administratoren können die Protokollierung des Kerberos-Key-Distribution-Center-Ereignisses 45 unter folgenden Umständen ignorieren:

    • Windows Hello for Business-Benutzeranmeldungen (WHfB), bei denen der Antragsteller und der Aussteller des Zertifikats dem folgenden Format entsprechen: <SID>/<UID>/login.windows.net/<Mandanten-ID>/<Benutzer-UPN>

    • PKINIT-Anmeldungen (Machine Public Key Cryptography for Initial Authentication), bei denen der Benutzer ein Computerkonto ist (das durch ein nachfolgendes $-Zeichen beendet wird), Antragsteller und Aussteller sind derselbe Computer, und die Seriennummer ist 01.

Ereignis-ID: 21 | AS-REQ-Fehlerereignis

Nach der Behandlung von Kerberos-Key-Distribution-Center Event 45 gibt die Protokollierung dieses generischen Legacyereignisses an, dass das Clientzertifikat immer noch NICHT vertrauenswürdig ist. Dieses Ereignis kann aus mehreren Gründen protokolliert werden. Einer davon ist, dass ein gültiges Clientzertifikat NICHT mit einer ausstellenden Zertifizierungsstelle im NTAuth-Speicher verkettet ist.

Ereignisprotokoll

Protokollsystem

Ereignistyp

Warnung

Ereignisquelle

Kerberos-Key-Distribution-Center

Ereigniskennung

21

Ereignistext

Das Clientzertifikat für den Benutzer <Domain\UserName> ist ungültig und hat zu einer fehlgeschlagenen Smartcardanmeldung geführt.

Wenden Sie sich an den Benutzer, um weitere Informationen zu dem Zertifikat zu erfahren, das er für die Smartcardanmeldung verwenden möchte.

Die Kette status lautet: Eine Zertifizierungskette wurde ordnungsgemäß verarbeitet, aber eines der Zertifizierungsstellenzertifikate wird vom Richtlinienanbieter nicht als vertrauenswürdig eingestuft.

Kommentare

  • Eine Ereignis-ID: 21, die auf ein Konto vom Typ "Benutzer" oder "Computer" verweist, beschreibt den Sicherheitsprinzipal, der die Kerberos-Authentifizierung initiiert.

  • Windows Hello for Business (WHfB)-Anmeldungen verweisen auf ein Benutzerkonto.

  • Computerkryptografie mit öffentlichem Schlüssel für die Erstauthentifizierung (PKINIT) verweist auf ein Computerkonto.

Bekanntes Problem

Kunden haben Probleme mit der Ereignis-ID 45 und der Ereignis-ID 21 gemeldet, die durch die zertifikatbasierte Authentifizierung mit selbstsignierten Zertifikaten ausgelöst wurden. Weitere Informationen finden Sie im bekannten Problem, das unter Windows-Releaseintegrität dokumentiert ist:

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter