[English]Die Sicherheitsupdates vom April 2025 für Windows Server können Probleme bei Domänencontrollern verursachen, so dass die Kerberos-Ereignis-IDs 45 und 21 protokolliert werden. Microsoft hat dieses Problem bestätigt und schreibt, dass die Anmeldung mit Windows Hello im Key Trust-Modus fehlschlagen kann. Privatanwender sind von diesen Problemen wohl nicht betroffen.
Zum 8. April 2025 wurden von Microsoft Sicherheitsupdates für Windows-Clients und Server ausgerollt, die diverse Schwachstellen (in Microsoft Security Update Summary (8. April 2025) erwähnt) schließen. Für Windows Server sind die Updates im Artikel Patchday: Windows Server-Updates (8. April 2025) aufgelistet.
Hello-Logon-Problem und Kerberos-Events
Zum 6. Mai 2025 hat Microsoft im Windows Release Health-Dashboard von Windows Server 2025 (und anderen Server-Versionen) den Support-Beitrag Logon might fail with Windows Hello in Key Trust mode and log Kerberos Events eingestellt. Dort bestätigt Microsoft Probleme nach Installation des des monatlichen Windows-Sicherheitsupdates vom 8. April 2025 (bei Windows Server 2025 ist das KB5055523) oder späteren Updates Probleme.
Bei Active Directory-Domänencontrollern (DC) können Probleme bei der Verarbeitung von Kerberos-Anmeldungen oder Delegationen auftreten, heißt es. Diese treten auf, wenn die Kerberos-Anmeldungen oder Delegationen zertifikatbasierte Anmeldeinformationen verwenden, die auf Schlüsselvertrauen über das Active Directory-Feld msds-KeyCredentialLink basieren.
Dies kann laut Microsoft zu Authentifizierungsproblemen in Windows Hello for Business (WHfB)-Schlüsselvertrauensumgebungen oder in Umgebungen führen, in denen Device Public Key Authentication (auch bekannt als Machine PKINIT) eingesetzt wird. Es sei zudem möglich, dass auch andere Produkte, die auf diese Funktion angewiesen sind, betroffen sind. Microsoft erwähnt in diesem Zusammenhang Smartcard-Authentifizierungsprodukte, Single-Sign-On-Lösungen (SSO) von Drittanbietern und Identitätsmanagementsysteme.
Betroffene Protokolle sind Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) und zertifikatsbasierte Service-for-User Delegation (S4U) über Kerberos Constrained Delegation (KCD oder A2D2 Delegation) und Kerberos Resource-Based Constrained Delegation (RBKCD oder A2DF Delegation).
Dieses Problem steht im Zusammenhang mit der Absicherung gegen die in KB5057784, Protections for CVE-2025-26647 (Kerberos Authentication) beschriebene Schwachstelle, die durch die Sicherheits-Updates wie KB5057784 (für Server 2025) geschlossen werden. Auch Folge-Updates werden diese Probleme verursachen.
Der Hintergrund: Ab den Windows-Updates, die am 8. April 2025 und später veröffentlicht wurden, hat sich die Methode geändert, mit der DCs die für die Kerberos-Authentifizierung verwendeten Zertifikate überprüfen. Ist das April 2025 Update installiert, prüfen sie, ob die Zertifikate mit einem Stamm im NTAuth-Speicher verkettet sind (in KB5057784 beschrieben).
Dieses Verhalten kann durch den Registrierungswert AllowNtAuthPolicyBypass im Schlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
gesteuert werden. Wenn AllowNtAuthPolicyBypass nicht vorhanden ist, verhält sich der DC so, als ob der Wert auf „1" konfiguriert wäre. Tritt das Problem auf, Problem können zwei Symptome beobachtet werden:
- Wenn der Registrierungswert AllowNtAuthPolicyBypass auf dem authentifizierenden DC auf „1" gesetzt ist, wird die Kerberos-Key-Distribution-Center-Ereignis-ID 45 wiederholt im DC-Systemereignisprotokoll aufgezeichnet. Das Ereignis wird mit einem Text "The Key Distribution Center (KDC) encountered a client certificate that was valid but did not chain to a root in the NTAuth store" oder ähnlich protokolliert. Auch wenn zahlreiche Ereignisse mit dieser ID protokolliert werden, sollen die damit verbundenen Anmeldevorgänge ansonsten erfolgreich sein und keine anderen Probleme außerhalb dieser Ereignisprotokolle beobachtet werden können.
- Ist der Registrierungswert AllowNtAuthPolicyBypass auf dem authentifizierenden DC auf „2" gesetzt ist, schlagen Benutzeranmeldevorgänge fehl. Dann wird ein Kerberos-Key-Distribution-Center-Ereignis-ID 21 wird im DC-Systemereignisprotokoll mit einem Text wie : "The client certificate for the user is not valid and resulted in a failed smartcard logon." oder ähnlich eingetragen. Es gibt einen Workaround, denn die Auswirkungen auf den Benutzer treten nur auf, wenn der Registrierungsschlüssel AllowNtAuthPolicyBypass auf einen Wert von „2" gesetzt ist. Um die daraus resultierenden Anmeldefehler zu verhindern, sollen Administratoren AllowNtAuthPolicyBypass vorübergehend von „2" auf „1" zurücksetzen (siehe Abschnitt Registrierungseinstellungen in KB5057784).
Microsoft schreibt, dass man sich dieses Problems bewusst sei. Betroffen sind Windows Server 2025; Windows Server 2022; Windows Server 2019; und Windows Server 2016. Redmond betont, dass es ihnen wichtig sei, dass Unternehmen die Einhaltung von Sicherheitsmaßnahmen mithilfe der Registrierungswerte, die nach den Windows-Updates vom 8. April 2025 verfügbar sind, genau überwachen und testen können. Microsofts Entwickler arbeiten an einer Lösung und werden so bald wie möglich ein Update zur Verfügung stellen. (via)
Ähnliche Artikel:
Microsoft Security Update Summary (8. April 2025)
Patchday: Windows 10/11 Updates (8. April 2025)
Patchday: Windows Server-Updates (8. April 2025)
Patchday: Microsoft Office Updates (8. April 2025)
Outlook 2016: Kalender-Zugriff nach April 2025-Update KB5002700 gesperrt
Word/Excel 2016: Abstürze nach April 2025 Update KB5002700?
Windows 10/11 und Server-Absicherung: Zeitpläne 2025 und danach
Kerberos PAC-Schwachstellen: Kommt das Ende für Windows XP im April 2025?
Windows: Kerberos PAC Validation Protocol seit 8. April 2025 im Enforcement-Modus
MVP: 2013 – 2016
Privatanwender sind von diesen Problemen wohl nicht betroffen.
Mal überlegen. Kenne ich private Anwender, die einen Server 2025 (auch noch als DC) betreiben? Öhm. nee, eher nicht.