Tags: Active Directory, Authentifizierung, Troubleshooting
Die kumulativen Windows-Updates im Mai 2022 beseitigten mehrere Schwachstellen im Active Directory. Nach ihrer Installation auf einem Domänen-Controller kommt es aber vor, dass sich Benutzer nicht mehr mittels Zertifikat anmelden können. Microsoft bietet vorerst einen Workaround, bis das Problem behoben ist.
Die Updates vom 10. Mai beheben mehrere Schwachstellen in Domain Controllern, welche die LDAP-Remote-Code-Ausführung und ein Windows LSA Spoofing erlauben (CVE-2022-26925). Hinzu kommt ein Fix für CVE-2022-26923, eine Schwachstelle, welche die Anhebung von Privilegien durch Angreifer zulässt.
Diese Updates stellte Microsoft für alle unterstützten Versionen von Windows Server zur Verfügung:
- KB5014010, KB5014006 für Windows Server 2008
- KB5014012, KB5013999 für Windows Server 2008 R2
- KB5014017, KB5014018 für Windows Server 2012
- KB5014011, KB5014001 für Windows Server 2012 R2
- KB5013952 für Windows Server 2016
- KB5013941 für Windows Server 2019
- KB5013944 für Windows Server 2022
Problem mit Zuordnung von Zertifikaten zu User
Nach dem Einspielen der obigen Updates kommt es vor, dass die Authentifizierung per Zertifikat scheitert. Windows moniert dabei, dass Benutzername zu keinem existierenden Konto passt oder dass das Passwort falsch sei.
Der Hintergrund für dieses Verhalten ist, dass die Patches eine verlässliche Zuordnung von Zertifikaten zu Konten erfordern, um ein Spoofing zu verhindern. Diese Tabelle zeigt, welches Mapping zwischen Attributen des AD und der Zertifikate als stark bzw. als schwach gilt. Microsoft empfiehlt die Zuordnung von
X509IssuerSerialNumber
zu
509:<I>IssuerName<SR>1234567890.
Wenn Anwender die Zertifikate nicht mit der neuen SID-Erweiterung neu ausstellen können, dann rät Microsoft dazu, die Zuordnung zwischen Konten und Zertifikaten manuell über das AD-Attribut altSecurityIdentities vorzunehmen.
Neues Verhalten deaktivieren
Grundsätzlich sieht Microsoft vor, die strengere Anforderung an das Mapping zwischen Konten und Zertifikaten stufenweise zu aktivieren. Nach der Installation der Mai-Updates laufen die DCs im Kompatibilitätsmodus. Die Authentifizierung erfolgt dann auch bei einer schwachen Zuordnung, aber das System schreibt eine Warnung in das Eventlog.
Ab dem 9. Mai 2023 aktiviert Microsoft den Full Enforcement Mode, welcher nur ein starkes Mapping akzeptiert.
Aktuell lässt sich das neue Verhalten komplett über den Disabled Mode ganz deaktivieren. Dazu ändert man den Wert des Registry-Schlüssels StrongCertificateBindingEnforcement
unter
HKLM:\SYSTEM\CurrentControlSet\Services\Kdc
auf 0.
Dies schafft kurzfristig Abhilfe, wenn die beschriebenen Probleme bei der Authentifizierung auftreten, lässt aber die mit den Updates adressierten Schwachstellen bestehen. Microsoft rät deshalb von diesem Vorgehen ab und ignoriert diesen Key ab dem 14. Februar 2023.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
- Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
Weitere Links