Certificate-based authentication changes following installation of Windows updates released September 9, 2025

Veröffentlicht am

2025

Aktualisiert am

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Keine Zusammenfassung verfügbar.

Windows-Updates, die am 9. September 2025 und später veröffentlicht werden, führen sicherheitsrelevante Verschärfungen der Anforderungen an das Zertifikatsmapping auf Windows-Servern ein. Dies ist der abschließende Meilenstein einer seit 2023 schrittweise erfolgten Einführung. IT-Administratoren müssen Maßnahmen ergreifen, um den normalen Betrieb gemäß den neuen Kriterien des Zertifikatsmappings sicherzustellen und die Updates vom 9. September 2025 zu installieren.

Wann dies geschieht:

Diese Änderung ist sofort wirksam mit den Windows-Updates vom 9. September 2025. Server, die Active Directory Certificate Services ausführen, sowie Windows-Domänencontroller, die zertifikatbasierte Authentifizierung betreiben, müssen nun bestimmte Zertifikatsmapping-Kriterien erfüllen, damit Authentifizierungsvorgänge erfolgreich sind. Diese Änderungen adressieren Sicherheitslücken, die unter anderem in CVE-2022-34691 und weiteren beschrieben sind.

Wie sich dies auf Ihre Organisation auswirkt:

Die in diesem Szenario behandelten Sicherheitslücken betreffen die Verwendung eines Dollarzeichens ($) am Ende eines Computernamens sowie Konflikte zwischen User Principal Names (UPN) und sAMAccountName. Beide Szenarien führten zu Schwachstellen in Form von Zertifikatsemulation (Spoofing).

Die Updates vom September 2025 schließen die Einführung der Sicherheitsanforderungen ab, die diese Schwachstellen verhindern. Können Zertifikate nach der Installation dieses Updates nicht entsprechend der Sicherheitsmaßnahmen stark gemappt werden, können bestimmte Authentifizierungsoperationen verweigert werden.

Was Sie zur Vorbereitung tun müssen:

Die hier genannten neuen Anforderungen an das Zertifikatsmapping wurden seit 2023 und 2024 mit unterschiedlichem Durchsetzungsgrad eingeführt. Ab den Updates vom 9. September werden frühere Methoden für eine stufenweise Durchsetzung in verschiedenen Umgebungen deaktiviert. IT-Administratoren müssen den normalen Betrieb unter Beachtung der neuen Kriterien für das Zertifikatsmapping bestätigen.

Wie immer empfehlen wir, Ihre Geräte mit den neuesten verfügbaren Sicherheitsupdates zu aktualisieren, um von erweiterten Schutzmaßnahmen gegenüber den aktuellsten Sicherheitsbedrohungen zu profitieren. Prüfen Sie die unten aufgeführten Links im Abschnitt Zusätzliche Informationen.

Zusätzliche Informationen:

KB5014754: Änderungen der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >