[English]Kurze Erinnerung für Administratoren, falls jemand das nicht mitbekommen hat. Zum April 2025-Patchday (8.4.2025) trat die "Enforcement-Phase" für die Härtung des Kerberos-Protokolls bezüglich des Kerberos PAC Validation Protocol in Kraft. Damit wurden bestimmte Modi, die per Registrierung noch aktivierbar waren, entfernt. Zudem startet die Härtung der Kerberos Authentication zum Schutz vor CVE-2025-26647.
Anzeige
Microsoft hatte ja bereits im Februar 2025 mit der Härtung von Windows-Clients und Server für das Kerberos-Protokoll Ernst gemacht. Im Rahmen der Zeitpläne zur stufenweisen Härtung ist zum 8. April 2025 die "Enforcement-Phase" (KB5037754) für das Kerberos PAC Validation Protocol in Kraft getreten.
Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Diensttickets. Es enthält Informationen über den authentifizierenden Benutzer und seine Berechtigungen.
Die Windows-Sicherheitsupdates, die zum April 2025 oder danach veröffentlicht werden, erzwingen laut obigem KB das neue Sicherheitsverhalten. Dazu entfernen die Updates die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel. Nach der Installation des Updates vom 8. April 2025 gibt es keine Unterstützung für den Kompatibilitätsmodus mehr.
Wer noch mit Windows XP-Systemen in einer AD-Umgebung befasst ist, sollte sich die Kommentare im Beitrag Kerberos PAC-Schwachstellen: Kommt das Ende für Windows XP im April 2025? durchlesen.
Kerberos Authentication-Schutz vor CVE-2025-26647
Zudem hat Microsoft zum 8. April 2025 den Beitrag KB5057784: Protections for CVE-2025-26647 (Kerberos Authentication) im Windows Message Center veröffentlicht. Dieser befasst sich mit der Härtung der Kerbereos Authentifizierung vor CVE-2025-26647. Dort gelten folgende Fristen für Windows-Updates, die am oder nach dem 8. April 2025 veröffentlicht werden, enthalten Schutzmaßnahmen für eine Sicherheitslücke bei der Kerberos-Authentifizierung. Diese Schutzmaßnahmen werden in drei Phasen implementiert.
Anzeige
- 8. April 2025: Initial Deployment phase – Audit mode; Die erste Bereitstellungsphase beginnt mit den Updates, die am 8. April 2025 veröffentlicht wurden. Diese Updates fügen ein neues Verhalten hinzu, das die in CVE-2025-26647 beschriebene Sicherheitsanfälligkeit durch Erhöhung der Berechtigung erkennt, aber nicht erzwingt. Um das neue Verhalten zu aktivieren und vor der Sicherheitsanfälligkeit geschützt zu sein, müssen Sie sicherstellen, dass alle Windows-Domänencontroller aktualisiert sind und die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass auf 2 gesetzt ist.
- 8. Juli 2025: Enforced by Default phase; Updates, die am oder nach dem 8. Juli 2025 veröffentlicht werden, erzwingen standardmäßig die NTAuth Store-Prüfung. Die Einstellung des Registrierungsschlüssels AllowNtAuthPolicyBypass ermöglicht es Kunden weiterhin, bei Bedarf in den Audit-Modus zurückzukehren. Die Möglichkeit, dieses Sicherheitsupdate vollständig zu deaktivieren, wird jedoch entfernt.
- 14. Oktober 2025: Enforcement mode; Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht werden, stellen die Microsoft-Unterstützung für den Registrierungsschlüssel AllowNtAuthPolicyBypass ein. Zu diesem Zeitpunkt müssen alle Zertifikate von Behörden ausgestellt werden, die Teil des NTAuth-Speichers sind.
Weitere Informationen zu diesen Schutzmaßnahmen finden Sie unter Anleitung zur Anwendung von Schutzmaßnahmen im Zusammenhang mit CVE-2025-26647.
Kerberos-Bug, der Passwort-Änderung blockt, gefixt
Zudem hat Microsoft am 8. April 2025 mit dem Windows-Update KB5055523 einen Bug gefixt, der die Änderung eines Passworts in Kerberos verhindert. neowin.net weist hier auf diesen Sachverhalt hin.
Ähnliche Artikel:
Microsoft Security Update Summary (8. April 2025)
Patchday: Windows 10/11 Updates (8. April 2025)
Patchday: Windows Server-Updates (8. April 2025)
Patchday: Microsoft Office Updates (8. April 2025)
Outlook 2016: Kalender-Zugriff nach April 2025-Update KB5002700 gesperrt
Word/Excel 2016: Abstürze nach April 2025 Update KB5002700?
Windows 10/11 und Server-Absicherung: Zeitpläne 2025 und danach
Probleme mit Remote-Unterstützung nach April 2024-Update (PAC-Änderungen, KB5037754)
Kerberos PAC-Schwachstellen: Kommt das Ende für Windows XP im April 2025?
Anzeige
Gabs irgendwo Probleme? Hier nicht! MS hat das sehr gut in Stufen eingeführt, so dass man früh testen und analysieren konnte, und wer alle Win XP usw. aus dem Netz geschafft hat, hat kein Problem. Oder?
Bei uns auch keine Probleme
naja, wenn sie so Kerberos puschen wollen, dann sollen sie mal endlich an der Unterstützung für external Domain trust arbeiten. Das hat mich ein Tag und zwei Kollegen gekostet dem Problem warum kein Kerberos genutzt wird bei einem external Domain trust.
Die Frage kommt vielleicht etwas spät, aber was ich in der gegeben Dokumentation etwas vermisse bzw. nirgendwo gefunden habe, ist eine einfache Angabe / Übersicht / Matrix welche Windows-Versionen mit aktiviertem Enforcement / erfolgter Kerberos-Härtung *nicht* mehr per Kerberos mit einem DC kommunizieren können.
Nur 2003 / XP und niedriger? Oder 2008 / Vista und niedriger? Oder sind auch Windows 2008 R2 / 7 betroffen? Oder gar 2012 (R2) & 8(.1)?
Schon mal danke vorab, falls jemand dies beantworten sollte!
2012 R2 DC macht bei uns definitiv Probleme.
Hallo zusammen,
hat jemand schon die Patches auf den DC´s und Endpunkten installiert und irgendetwas "bemerkt"? – Speziell bezogen auf etwaige 2012 oder 2008 Server oder Windows 7 Clients?
Hatte auch das Logging aktiviert, aber es wurden keinerlei Events im Eventlog eingetragen…
Hatte die Frage auch in dem Beitrag "Kerberos PAC-Schwachstellen…" gepostet, hier nur noch mal zur Sicherheit "redundant" die Frage zur Diskussion
Hallo, würde mich auch brennend interessieren, ob sich das Thema nur auf XP / Server 2003 Maschinen bezieht oder ob auch Server 2008 (R2) oder Server 2012 (R2) betroffen sind. Hat Jemand entsprechende Infos bzw. Erfahrungen sammeln können?
Hi, ich habe Events 45 in einer Umgebung, Client und DC sind Server 2022 bzw. auch W10-Clients. Es wird da ein Selfsigned Certificat im Event geführt (Austeller des Zertifikats ist "CN=Maschinenname"). Nur finde ich im Zertifikatsspeicher des jeweiligen Computers kein Zertifikat mit dem Thumbprint, der im Event aufgeführt ist…. Vielleicht kann jemand aus der Community einen Tip geben?
Grüße, Ralf
Ich kann das Problem von Ralf bestätigen. Wir haben die gleichen (vielen) EventID 45 Meldungen, allerdings bisher keinen Lösungsansatz. Der Link im Microsoft Artikel zu KB-ID: 5057784 führt leider ins Leere.
Hallo, Ralf, im Dokument https://support.microsoft.com/de-de/topic/schutz-f%C3%BCr-cve-2025-26647-kerberos-authentifizierung-5f5d753b-4023-4dd3-b7b7-c8b104933d53 steht, dass du diese Meldung von Computerkonten vernachlässigen kannst: "Administratoren können die Protokollierung des Kerberos-Key-Distribution-Center-Ereignisses 45 unter folgenden Umständen ignorieren: PKINIT-Anmeldungen (Machine Public Key Cryptography for Initial Authentication), bei denen der Benutzer ein Computerkonto ist (das durch ein nachfolgendes $-Zeichen beendet wird), Antragsteller und Aussteller sind derselbe Computer, und die Seriennummer ist 01."
Hier gibt es nun Kerberos Fehler in Masse, was wohl an einem Trust mit einer alten Domain liegt – dessen DCs noch auf Windows 2012 R2 laufen.
Die Umstellung hat sich zu lange gezogen, blöd von MS diese Änderungen nun hart zu erzwingen und nicht mehr Abschaltbar zu machen.
Ich habe nichts gegen die Änderungen, aber die Reg Schlüssel ganz zu entfernen ist Dumm.
Evtl. gibts Probleme mit WHfB, zumindest gibts viele Einträge bezgl EventID 45 wie hier:
https://www.reddit.com/r/entra/comments/1jzfm4o/cve202526647_hello_for_business_cloud_trust_issues/
….
SteveSyfuhs
> DCs reject AS-REQ requests with a KDC_ERROR_CLIENT_NOT_TRUSTED error.
This sounds like a bug. Unclear why that's happening. It knows its key trust and should be skipping this path.