Änderungen Zertifikatsbasierende-Authentifizierung (KB5014754)

von Markus Baumeister
10. Oktober 2022
4 Minuten zu lesen
Autor
Markus Baumeister
Wenn Microsoft Server Systeme an ihre Grenzen stoßen, dann finde ich einen Weg sie zu überwinden.
Zum Experten Profil
Teilen:
Kategorien:
  • Microsoft Server

Update 30. Juni 2023

Microsoft hat den Enforcement Mode erneut verschoben, diesmal auf den 11.02.2025.

Update 22. Februar 2023

Microsoft hat das Datum für den Full Enforcement Mode (vom 09.05.2023) auf den 14. November 2023 „oder später“ hochgesetzt.

Des weiteren treten noch Probleme beim Strong-Mapping von Non-Domain-Clients über „altSecurityIdentities“ auf, wie dies z.B beim Einsatz von SCEP (NDES) Zertifikaten erfolgt. In diesem Fall kann aktuell der Workaround „CertificateMappingMethods“ und Rücksetzung auf den alten Default Wert „1F“ in Kombination mit einem Weak-Mapping helfen – z.B. „X509:<I>IssuerName<S>SubjectName“.

Dies ist natürlich ausdrücklich keine sichere Lösung. Ob es sich hierbei um Einzelfälle handelt oder ob das hochsetzen des Datums seitens Microsoft in einem Zusammenhang steht, kann aktuell noch nicht bewertet werden.

Worum geht es?

Microsoft hat bereits am 10.05.2022 Updates veröffentlicht, welche u.a. die Sicherheit für die zertifikatsbasierende Authentifizierung erhöhen sollen.

  • Server mit Active Directory Certificate Services sind zu aktualisieren
  • Domain Controller sind zu aktualisieren
  • Voraussetzungen sind umzusetzen / Kompatibilitätsprobleme zu beheben

Zunächst befinden sich die Geräte, welche authentifiziert werden in einem Kompatibilitätsmodus. Der Full Enforcement Mode wird erst ab 09.05.2023 automatisch aktiviert.

Die Updates wurden bereits installiert, was bedeutet dies für mich?

Ist eine zertifikatsbasierende Authentifizierung eines Geräts mit dem Full Enforcement Mode nicht kompatibel, wird nun auf dem entsprechenden Domain Controller ein Audit-Event im SYSTEM Log mit der ID 39, 40 oder 41 generiert (die ID’s können je nach Betriebssystemversion abweichend sein).

Diese Events sind entsprechend auszuwerten und die Inkompatibilitäten zu beheben.

Nachdem keine Kompatibilitätsprobleme mehr auftreten, ist zu empfehlen den Full Enforcement Mode kontrolliert zu aktivieren, um weitere mögliche Fehler vor dem 09.05.2023 analysieren zu können.

Was ist, wenn ich nichts mache?

Dann müssen sie damit rechnen, dass Ihre Geräte mit zertifikatsbasierender Authentifizierung ab dem 09.05.2023 keine Verbindung zum Netzwerk mehr herstellen können.

Nach Installation der Updates funktioniert meine zertifikatsbasierenden Client-Authentifizierung nicht mehr, was jetzt?

In Verbindung mit dem Update (auch den ersetzenden Kumulativen Updates) kommt es vermehrt zu nicht funktionalen Zertifikats-Authentifizierungen von Geräten. Sehr oft ist im Log die Event-ID 6273 mit dem Code 16 zu finden: “Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user”

Microsoft hat am 19.05.2022 bereits Out-Of-Band Updates veröffentlicht, weil es vermehrt zu Problemen gekommen ist.

KB5015013: Windows Server 2022
KB5015020: Windows Server Version 20H2
KB5015018: Windows Server 2019
KB5015019: Windows Server 2016

Die Out-Of-Band Updates müssen aktuell nicht mehr separat installiert werden, da diese durch die monatlichen Kumulativen Updates ersetzt wurden.

Es gibt leider oft weitere Konstellationen, in welchen ein „einfaches“ Update nicht hilft.

Anbei noch ein paar Ansätze für ein Troubleshooting:

  • Grundsätzliche sind erstmal die Informationen des Microsoft Artikels KB5014754: Certificate-based authentication changes on Windows domain controllers (microsoft.com) zu beachten.
  • Bei Problemen wurde oft der Key “StrongCertificateBindingEnforcement” mit dem Wert “0” (Disable) als Workaround verwendet. Zu beachten ist hier, dass wenn nicht auch gleichzeitig der Key CertificateMappingMethods korrekt konfiguriert wird, keine zertifikatsbasierende Authentifizierung funktioniert. Microsoft hat am 26.09.2022 den Artikel aktualisiert und folgendes ergänzt: “If you set this to 0, you must also set CertificateMappingMethods to 0x1F as described in the Schannel registry key section below for computer certificate-based authentication to succeed..”
  • Ist nur ein „Weak“ Mapping vorhanden, bei dem auch noch das Zertifikat älter als der Benutzeraccount ist, führt dies auch im Kompatibilitätsmodus zu einem Fehler [Event 40 im SYSTEM Log]. In diesem Zusammenhang ist der Key CertificateBackdatingCompensation als möglicher Workaround zu betrachten.
  • Für das Troubleshooting oder einen Workaround kann es zudem helfen, ein Zertifikat manuell mit dem Computer Account über das Feld altSecurityIdentities zu verknüpfen, um hierdurch ein „Strong“ oder „Weak“ Mapping zu erreichen. Die notwendigen Werte sind dabei unbedingt “Reverse” zu hinterlegen (Tipp: Powershell).
  • Bei anderen Fällen sind Anpassungen am Client Authentifizierungs-Zertifikat erforderlich gewesen u.a. Anpassungen am „Subject“ oder „Subject Alternative Name“. Ich hatte hier schon Beispiele mit leeren Feldern oder einem UPN der eingefügt werden musste.
  • Ebenfalls ist unbedingt darauf zu achten, dass wenn während den Tests bereits eine erfolgreiche Authentifizierung durchgeführt wurde, diese anschließend für eine gewisse Zeit zwischengespeichert wird und so ggf. falsche Rückschlüsse aus weiteren Tests gezogen werden.

Gerne helfen wir Ihnen bei den Updates weiter. Sprechen Sie uns einfach an.

War dieser Artikel hilfreich für Sie?
In drei Schritten zu Ihrer IT Lösung
Wir unterstützen Sie gerne
schritt 1

    SUPPORT & BESTELLUNG

    1st Level

    Auswählen

    SUPPORT & BERATUNG

    2nd/3rd Level

    Auswählen

    MANAGED SECURITY

    Services

    Auswählen

    Support & Bestellung

    Ich habe ein akutes Problem

    Auswählen

    Ich habe einen konkreten Bedarf

    Auswählen

    Support & Beratung

    Auswählen

    Managed Service

    Ich möchte einzelne Dienste gerne outsourcen








    Auswählen

    Support & Bestellung

    Dann wende dich bitte an Thorsten Seibert

    Customer Service

    Telefon
    (0271) 488 73-38

    Sprechen Sie uns an. Wir unterstützen Sie gerne.

    Account Management

    Telefon
    0271 488 73 85

    Support & Beratung

    Managed Service

    Kontaktdaten des Fragenden