Es wurde kein Inhalt zum Zusammenfassen bereitgestellt.
Ab den Windows-Sicherheitsupdates vom 8. April 2025 werden Schutzmaßnahmen für CVE-2025-26647 phasenweise eingeführt und durchgesetzt. Diese Updates ändern die Handhabung der zertifikatbasierten Authentifizierung (CBA), wenn die ausstellende Zertifizierungsstelle (CA) nicht im NTAuth-Store enthalten ist, aber eine Subject Key Identifier (SKI) Zuordnung im altSecID-Attribut existiert.
Die zweite Phase, Enforced by Default Phase, beginnt heute, am 8. Juli 2025.
Wann dies geschieht:
8. Juli 2025: Enforced by Default Phase
- Updates, die am oder nach dem 8. Juli 2025 veröffentlicht werden, erzwingen standardmäßig die Überprüfung des NTAuth-Stores. Die Registrierungsschlüsseleinstellung AllowNtAuthPolicyBypass ermöglicht Kunden weiterhin, bei Bedarf in den Prüfmodus (Audit Mode) zurückzuwechseln. Die Möglichkeit, dieses Sicherheitsupdate vollständig zu deaktivieren, wird jedoch entfernt.
14. Oktober 2025: Durchsetzungsmodus (Enforcement Mode)
- Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht werden, schließen die Microsoft-Unterstützung für den Registrierungsschlüssel AllowNtAuthPolicyBypass aus. Ab diesem Zeitpunkt müssen alle Zertifikate von Zertifizierungsstellen ausgestellt werden, die Teil des NTAuth-Stores sind.
Wie sich dies auf Ihre Organisation auswirkt:
Wenn Ihre Umgebung CBA verwendet und auf Zertifikate von CAs angewiesen ist, die sich nicht im NTAuth-Store befinden, kann die Authentifizierung fehlschlagen, sobald der Durchsetzungsmodus aktiviert wird. Diese Änderung betrifft Domänencontroller und erfordert Updates, um ein sicheres Authentifizierungsverhalten zu gewährleisten. Neue Überwachungsereignisse helfen dabei, betroffene Zertifikate und CAs zu identifizieren.
Was Sie zur Vorbereitung tun müssen:
- AKTUALISIEREN Sie alle Domänencontroller mit einem Windows-Update, das am oder nach dem 8. April 2025 veröffentlicht wurde.
- ÜBERWACHEN Sie neue Ereignisse (z. B. Ereignis-ID 45 und 21), die auf Domänencontrollern sichtbar sein werden, um betroffene Zertifizierungsstellen zu identifizieren.
- AKTIVIEREN Sie den Durchsetzungsmodus, nachdem Ihre Umgebung nur noch Anmeldezertifikate verwendet, die von Zertifizierungsstellen aus dem NTAuth-Store ausgestellt wurden.
- ÜBERPRÜFEN UND AKTUALISIEREN Sie bei Bedarf die altSecID-Zuordnungen, um die Kompatibilität sicherzustellen.
Zusätzliche Informationen:
- Für vollständige technische Details, einschließlich Registrierungseinstellungen und Überwachungsereignis-IDs, siehe KB5057784: Schutzmaßnahmen für CVE-2025-26647 (Kerberos-Authentifizierung)
Weitere Informationen zu diesen Schutzmaßnahmen finden Sie unter Anleitung zum Anwenden von Schutzmaßnahmen im Zusammenhang mit CVE-2025-26647.