Oorspronkelijke publicatiedatum: 8 april 2025
KB-id: 5057784
|
Datum wijzigen |
Beschrijving wijzigen |
|
dinsdag 22 juli 2025 |
|
|
dinsdag 9 mei 2025 |
|
In dit artikel
Samenvatting
De Windows-beveiligingsupdates die zijn uitgebracht op of na 8 april 2025, bevatten beveiligingen voor een beveiligingsprobleem met Kerberos-verificatie. Deze update biedt een wijziging in het gedrag wanneer de verlenende instantie van het certificaat dat wordt gebruikt voor de verificatie op basis van certificaten (CBA) van een beveiligingsprincipal wordt vertrouwd, maar niet in het NTAuth-archief, en een toewijzing van de onderwerpsleutel-id (SKI) aanwezig is in het altSecID-kenmerk van de beveiligingsprincipal met behulp van verificatie op basis van certificaten. Zie CVE-2025-26647 voor meer informatie over dit beveiligingsprobleem.
Actie ondernemen
Om uw omgeving te beschermen en storingen te voorkomen, raden we de volgende stappen aan:
-
Werk alle domeincontrollers bij met een Windows-update die is uitgebracht op of na 8 april 2025.
-
CONTROLEER nieuwe gebeurtenissen die zichtbaar zijn op domeincontrollers om de betrokken certificeringsinstanties te identificeren.
-
INSCHAKELEN De afdwingingsmodus na uw omgeving gebruikt nu alleen aanmeldingscertificaten die zijn uitgegeven door instanties die zich in het NTAuth-archief bevinden.
altSecID-kenmerken
De volgende tabel bevat alle kenmerken van alternatieve beveiligings-id's (altSecID's) en de altSecID's die door deze wijziging worden beïnvloed.
|
Lijst met certificaatkenmerken die kunnen worden toegewezen aan altSecID's |
AltSecID's waarvoor een overeenkomend certificaat is vereist om te koppelen aan het NTAuth-archief |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
Tijdlijn van wijzigingen
8 april 2025: Eerste implementatiefase – Controlemodus
De eerste implementatiefase (auditmodus ) begint met de updates die zijn uitgebracht op 8 april 2025. Deze updates wijzigen het gedrag dat het beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden detecteert dat wordt beschreven in CVE-2025-26647 , maar in eerste instantie niet afdwingt.
In de controlemodus wordt gebeurtenis-id: 45 geregistreerd op de domeincontroller wanneer deze een Kerberos-verificatieaanvraag met een onveilig certificaat ontvangt. De verificatieaanvraag wordt toegestaan en er worden geen clientfouten verwacht.
Als u de wijziging in het gedrag wilt inschakelen en beveiligd wilt zijn tegen het beveiligingsprobleem, moet u ervoor zorgen dat alle Windows-domeincontrollers worden bijgewerkt met een Windows Update-release op of na 8 april 2025 en dat de registersleutelinstelling AllowNtAuthPolicyBypass is ingesteld op 2 om te configureren voor de afdwingingsmodus .
Als de domeincontroller in de afdwingingsmodus een Kerberos-verificatieaanvraag met een onveilig certificaat ontvangt, wordt de verouderde gebeurtenis-id: 21 geregistreerd en wordt de aanvraag geweigerd.
Voer de volgende stappen uit om de beveiligingen van deze update in te schakelen:
-
Pas de Windows-update die is uitgebracht op of na 8 april 2025 toe op alle domeincontrollers in uw omgeving. Nadat u de update hebt toegepast, wordt de instelling AllowNtAuthPolicyBypass standaard ingesteld op 1 (Audit), waardoor de NTAuth-controle en de waarschuwingsgebeurtenissen voor auditlogboeken worden ingeschakeld.BELANGRIJK Als u nog niet klaar bent om de beveiligingen van deze update toe te passen, stelt u de registersleutel in op 0 om deze wijziging tijdelijk uit te schakelen. Zie de sectie Registersleutelgegevens voor meer informatie.
-
Bewaak nieuwe gebeurtenissen die zichtbaar zijn op domeincontrollers om de betrokken certificeringsinstanties te identificeren die geen deel uitmaken van het NTAuth-archief. De gebeurtenis-id die u moet bewaken, is gebeurtenis-id: 45. Zie de sectie Controlegebeurtenissen voor meer informatie over deze gebeurtenissen.
-
Zorg ervoor dat alle clientcertificaten geldig zijn en zijn gekoppeld aan een vertrouwde verlenende CA in het NTAuth-archief.
-
Nadat alle gebeurtenis-id: 45 gebeurtenissen zijn opgelost, kunt u doorgaan naar de afdwingingsmodus . Stel hiervoor de registerwaarde AllowNtAuthPolicyBypass in op 2. Zie de sectie Registersleutelgegevens voor meer informatie.Notitie We raden u aan de instelling AllowNtAuthPolicyBypass = 2 tijdelijk uit te stellen tot nadat u de Windows-update hebt toegepast die na mei 2025 is uitgebracht op domeincontrollers die zelfondertekende verificatie op basis van certificaten ondersteunen die in meerdere scenario's wordt gebruikt. Dit omvat domeincontrollers die Windows Hello voor Bedrijven Sleutelvertrouwen en Verificatie van openbare sleutels voor apparaten die lid zijn van een domein.
Juli 2025: standaard afgedwongen
Updates die in of na juli 2025 is uitgebracht, dwingt standaard de controle van de NTAuth Store af. Met de registersleutelinstelling AllowNtAuthPolicyBypass kunnen klanten nog steeds zo nodig teruggaan naar de controlemodus . De mogelijkheid om deze beveiligingsupdate volledig uit te schakelen, wordt echter verwijderd.
Oktober 2025: afdwingingsmodus
Updates uitgebracht in of na oktober 2025, wordt de microsoft-ondersteuning voor de registersleutel AllowNtAuthPolicyBypass stopgezet. In deze fase moeten alle certificaten worden uitgegeven door instanties die deel uitmaken van het NTAuth-archief.
Registerinstellingen en gebeurtenislogboeken
Registersleutelgegevens
Met de volgende registersleutel kunt u kwetsbare scenario's controleren en de wijziging vervolgens afdwingen zodra kwetsbare certificaten zijn opgelost. De registersleutel wordt niet automatisch toegevoegd. Als u het gedrag wilt wijzigen, moet u de registersleutel handmatig maken en de gewenste waarde instellen. Houd er rekening mee dat het gedrag van het besturingssysteem wanneer de registersleutel niet is geconfigureerd, afhankelijk is van de fase van de implementatie waarin het zich bevindt.
AllowNtAuthPolicyBypass
|
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
Waarde |
AllowNtAuthPolicyBypass |
|
|
Gegevenstype |
REG_DWORD |
|
|
Waardegegevens |
0 |
Hiermee schakelt u de wijziging volledig uit. |
|
1 |
Voert de NTAuth-controle- en logboekwaarschuwingsgebeurtenis uit die het certificaat aangeeft dat is uitgegeven door een instantie die geen deel uitmaakt van het NTAuth-archief (auditmodus). (Standaardgedrag vanaf de release van 8 april 2025.) |
|
|
2 |
Voer de NTAuth-controle uit en als deze mislukt, staat u de aanmelding niet toe. Registreer normale gebeurtenissen (bestaande) voor een AS-REQ-fout met een foutcode die aangeeft dat de NTAuth-controle is mislukt (modus Afgedwongen ). |
|
|
Opmerkingen |
De registerinstelling AllowNtAuthPolicyBypass mag alleen worden geconfigureerd op Windows KDCs waarop de Windows-updates zijn geïnstalleerd die in of na april 2025 zijn uitgebracht. |
|
Controlegebeurtenissen
Gebeurtenis-id: 45 | Controlegebeurtenis voor NT-verificatiearchief
Beheerders moeten watch voor de volgende gebeurtenis die is toegevoegd door de installatie van Windows-updates die zijn uitgebracht op of na 8 april 2025. Als het bestaat, betekent dit dat een certificaat is uitgegeven door een instantie die geen deel uitmaakt van het NTAuth-archief.
|
Gebeurtenislogboek |
Logboeksysteem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kerberos-Key-Distribution-Center |
|
Gebeurtenis-id |
45 |
|
Gebeurtenistekst |
In het Key Distribution Center (KDC) is een clientcertificaat aangetroffen dat geldig was, maar niet was gekoppeld aan een hoofdmap in het NTAuth-archief. Ondersteuning voor certificaten die niet zijn gekoppeld aan het NTAuth-archief is afgeschaft. Ondersteuning voor certificaten die worden gekoppeld aan niet-NTAuth-winkels is afgeschaft en onveilig.Zie https://go.microsoft.com/fwlink/?linkid=2300705 voor meer informatie. Gebruiker: <username> Certificaatonderwerp: <certificaatonderwerp> Certificaatverlener:> certificaatverlener< Serienummer van certificaat: <serienummer van certificaat> Vingerafdruk certificaat: < CertThumbprint> |
|
Opmerkingen |
|
Gebeurtenis-id: 21 | AS-REQ-foutgebeurtenis
Nadat kerberos-key-distribution-center-gebeurtenis 45 is aangepakt, geeft de logboekregistratie van deze algemene, verouderde gebeurtenis aan dat het clientcertificaat nog steeds NIET wordt vertrouwd. Deze gebeurtenis kan om meerdere redenen worden vastgelegd, waaronder dat een geldig clientcertificaat NIET is gekoppeld aan een verlenende CA in het NTAuth-archief.
|
Gebeurtenislogboek |
Logboeksysteem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Kerberos-Key-Distribution-Center |
|
Gebeurtenis-id |
21 |
|
Gebeurtenistekst |
Het clientcertificaat voor de gebruiker <Domain\UserName> is ongeldig en heeft geresulteerd in een mislukte smartcardaanmelding. Neem contact op met de gebruiker voor meer informatie over het certificaat dat ze proberen te gebruiken voor smartcardaanmelding. De ketenstatus is: een certificeringsketen die correct is verwerkt, maar een van de CA-certificaten wordt niet vertrouwd door de beleidsprovider. |
|
Opmerkingen |
|
Bekend probleem
Klanten hebben problemen gemeld met gebeurtenis-id: 45 en gebeurtenis-id: 21, geactiveerd door verificatie op basis van certificaten met behulp van zelfondertekende certificaten. Raadpleeg voor meer informatie het bekende probleem dat is gedocumenteerd over de status van de Windows-release:
-
Windows Server 2025: Aanmelden kan mislukken met Windows Hello in de modus Sleutelvertrouwen en kerberos-gebeurtenissen registreren
-
Windows Server 2022: Aanmelden kan mislukken met Windows Hello in de modus Sleutelvertrouwen en kerberos-gebeurtenissen registreren
-
Windows Server 2019: Aanmelden kan mislukken met Windows Hello in de modus Sleutelvertrouwen en kerberos-gebeurtenissen registreren
-
Windows Server 2016: Aanmelden kan mislukken met Windows Hello in de modus Sleutelvertrouwen en kerberos-gebeurtenissen registreren
