Authentifizierung am Active Directory mittels Zertifikat scheitert nach Mai-Update


    Tags: , ,

    Active DirectoryDie kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwach­stellen im Active Directory. Nach ihrer Instal­lation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zerti­fikat an­melden können. Microsoft bietet vorerst einen Work­around, bis das Problem behoben ist.

    Die Updates vom 10. Mai beheben mehrere Schwach­stellen in Domain Controllern, welche die LDAP-Remote-Code-Ausführung und ein Windows LSA Spoofing erlauben (CVE-2022-26925). Hinzu kommt ein Fix für CVE-2022-26923, eine Schwachstelle, welche die Anhebung von Privilegien durch Angreifer zulässt.

    Diese Updates stellte Microsoft für alle unterstützten Versionen von Windows Server zur Verfügung:

    Problem mit Zuordnung von Zertifikaten zu User

    Nach dem Einspielen der obigen Updates kommt es vor, dass die Authen­tifizierung per Zertifikat scheitert. Windows moniert dabei, dass Benutzername zu keinem existierenden Konto passt oder dass das Passwort falsch sei.

    Der Hintergrund für dieses Verhalten ist, dass die Patches eine verlässliche Zuordnung von Zertifikaten zu Konten erfordern, um ein Spoofing zu verhindern. Diese Tabelle zeigt, welches Mapping zwischen Attributen des AD und der Zertifikate als stark bzw. als schwach gilt. Microsoft empfiehlt die Zuordnung von

    X509Issuer­SerialNumber
    zu
    509:<I>IssuerName<SR>1234567890.

    Wenn Anwender die Zertifikate nicht mit der neuen SID-Erweiterung neu ausstellen können, dann rät Microsoft dazu, die Zuordnung zwischen Konten und Zertifikaten manuell über das AD-Attribut altSecurityIdentities vorzu­nehmen.

    Neues Verhalten deaktivieren

    Grundsätzlich sieht Microsoft vor, die strengere Anforderung an das Mapping zwischen Konten und Zertifikaten stufenweise zu aktivieren. Nach der Installation der Mai-Updates laufen die DCs im Kompatibilitäts­modus. Die Authentifizierung erfolgt dann auch bei einer schwachen Zuordnung, aber das System schreibt eine Warnung in das Eventlog.

    Ab dem 9. Mai 2023 aktiviert Microsoft den Full Enforcement Mode, welcher nur ein starkes Mapping akzeptiert.

    Aktuell lässt sich das neue Verhalten komplett über den Disabled Mode ganz deaktivieren. Dazu ändert man den Wert des Registry-Schlüssels StrongCertificateBindingEnforcement
    unter
    HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
    auf 0.

    Dies schafft kurzfristig Abhilfe, wenn die beschriebenen Probleme bei der Authen­tifizierung auftreten, lässt aber die mit den Updates adressierten Schwachstellen bestehen. Microsoft rät deshalb von diesem Vorgehen ab und ignoriert diesen Key ab dem 14. Februar 2023.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links