Keine Zusammenfassung vorhanden.
Seit 2023 informiert Microsoft fortlaufend über Änderungen der Sicherheitsanforderungen für die Zertifikatzuordnung in Windows Servern. Diese Änderungen adressieren Schwachstellen, die in CVE-2022-34691 und weiteren diskutiert werden. Im Rahmen dieser Änderungen müssen Server, die Active Directory Certificate Services betreiben sowie Windows-Domänencontroller, die zertifikatbasierte Authentifizierungen bedienen, bestimmte Kriterien der Zertifikatzuordnung erfüllen, damit Authentifizierungsprozesse erfolgreich sind.
Der finale Meilenstein dieser Einführung erfolgt mit den Windows-Updates, die im September 2025 veröffentlicht werden. Für vollständige Details siehe KB5014754: Änderungen bei der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern.
Wann erfolgt dies:
Beginnend ab 2022 haben Windows-Updates bestimmte Schwachstellen im Zusammenhang mit der Zertifikatsemulation adressiert. Im Rahmen dessen wurden neue Anforderungen an die Zertifikatzuordnung mit unterschiedlichen Durchsetzungsgraden im Verlauf von 2023 und 2024 eingeführt. Updates vor September 2025 ermöglichen es, den Grad der Durchsetzung dieser Anforderungen in verschiedenen Umgebungen weiter zu steuern. Nach den Updates im September 2025 endet jedoch die Möglichkeit, diese Anforderungen zu umgehen.
Wie sich dies auf Ihre Organisation auswirkt:
Die spezifische Schwachstelle in diesem Szenario bezieht sich auf die Nutzung des Dollarzeichens ($) am Ende eines Computernamens. Wenn dieses vorhanden ist, konnten unter bestimmten Umständen Methoden verwendet werden, um Zertifikate zu emulieren (spoofen). Zusätzlich führten Konflikte zwischen User Principal Names (UPN) und sAMAccountName zu weiteren Emulationsschwachstellen.
Die im September 2025 veröffentlichten Updates werden die Einführung der Sicherheitsverschärfung abschließen, die diese Schwachstellen verhindert. Ab diesem Zeitpunkt werden bestimmte Authentifizierungsvorgänge verweigert, wenn Zertifikate nicht gemäß den Sicherheitsmaßnahmen stark zugeordnet werden können.
Was Sie zur Vorbereitung tun müssen:
Wir empfehlen IT-Administratoren, Tests durchzuführen, die bestätigen, dass die normalen Abläufe entsprechend den neuen Kriterien der Zertifikatzuordnung funktionieren. Wie immer empfehlen wir, Ihre Geräte mit dem neuesten verfügbaren Sicherheitsupdate zu aktualisieren, um die erweiterten Schutzmaßnahmen gegen aktuelle Sicherheitsbedrohungen zu nutzen. Prüfen Sie hierzu die in der Sektion „Zusätzliche Informationen\" bereitgestellten Links.
Zusätzliche Informationen: