Änderungen Zertifikatsbasierende-Authentifizierung (KB5014754)

Microsoft hat den Enforcement Mode erneut verschoben, diesmal auf den 11.02.2025.

Microsoft hat das Datum für den Full Enforcement Mode (vom 09.05.2023) auf den 14. November 2023 „oder später“ hochgesetzt.

Des weiteren treten noch Probleme beim Strong-Mapping von Non-Domain-Clients über „altSecurityIdentities“ auf, wie dies z.B beim Einsatz von SCEP (NDES) Zertifikaten erfolgt. In diesem Fall kann aktuell der Workaround „CertificateMappingMethods“ und Rücksetzung auf den alten Default Wert „1F“ in Kombination mit einem Weak-Mapping helfen – z.B. „X509:<I>IssuerName<S>SubjectName“.

Dies ist natürlich ausdrücklich keine sichere Lösung. Ob es sich hierbei um Einzelfälle handelt oder ob das hochsetzen des Datums seitens Microsoft in einem Zusammenhang steht, kann aktuell noch nicht bewertet werden.

Microsoft hat bereits am 10.05.2022 Updates veröffentlicht, welche u.a. die Sicherheit für die zertifikatsbasierende Authentifizierung erhöhen sollen.

• Server mit Active Directory Certificate Services sind zu aktualisieren
• Domain Controller sind zu aktualisieren
• Voraussetzungen sind umzusetzen / Kompatibilitätsprobleme zu beheben

Zunächst befinden sich die Geräte, welche authentifiziert werden in einem Kompatibilitätsmodus. Der Full Enforcement Mode wird erst ab 09.05.2023 automatisch aktiviert.

Ist eine zertifikatsbasierende Authentifizierung eines Geräts mit dem Full Enforcement Mode nicht kompatibel, wird nun auf dem entsprechenden Domain Controller ein Audit-Event im SYSTEM Log mit der ID 39, 40 oder 41 generiert (die ID’s können je nach Betriebssystemversion abweichend sein).

Diese Events sind entsprechend auszuwerten und die Inkompatibilitäten zu beheben.

Nachdem keine Kompatibilitätsprobleme mehr auftreten, ist zu empfehlen den Full Enforcement Mode kontrolliert zu aktivieren, um weitere mögliche Fehler vor dem 09.05.2023 analysieren zu können.

Dann müssen sie damit rechnen, dass Ihre Geräte mit zertifikatsbasierender Authentifizierung ab dem 09.05.2023 keine Verbindung zum Netzwerk mehr herstellen können.

In Verbindung mit dem Update (auch den ersetzenden Kumulativen Updates) kommt es vermehrt zu nicht funktionalen Zertifikats-Authentifizierungen von Geräten. Sehr oft ist im Log die Event-ID 6273 mit dem Code 16 zu finden: “Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user”

Microsoft hat am 19.05.2022 bereits Out-Of-Band Updates veröffentlicht, weil es vermehrt zu Problemen gekommen ist.

KB5015013: Windows Server 2022
KB5015020: Windows Server Version 20H2
KB5015018: Windows Server 2019
KB5015019: Windows Server 2016

Die Out-Of-Band Updates müssen aktuell nicht mehr separat installiert werden, da diese durch die monatlichen Kumulativen Updates ersetzt wurden.

Es gibt leider oft weitere Konstellationen, in welchen ein „einfaches“ Update nicht hilft.

Anbei noch ein paar Ansätze für ein Troubleshooting:

• Grundsätzliche sind erstmal die Informationen des Microsoft Artikels KB5014754: Certificate-based authentication changes on Windows domain controllers (microsoft.com) zu beachten.
• Bei Problemen wurde oft der Key “StrongCertificateBindingEnforcement” mit dem Wert “0” (Disable) als Workaround verwendet. Zu beachten ist hier, dass wenn nicht auch gleichzeitig der Key CertificateMappingMethods korrekt konfiguriert wird, keine zertifikatsbasierende Authentifizierung funktioniert. Microsoft hat am 26.09.2022 den Artikel aktualisiert und folgendes ergänzt: “If you set this to 0, you must also set CertificateMappingMethods to 0x1F as described in the Schannel registry key section below for computer certificate-based authentication to succeed..”
• Ist nur ein „Weak“ Mapping vorhanden, bei dem auch noch das Zertifikat älter als der Benutzeraccount ist, führt dies auch im Kompatibilitätsmodus zu einem Fehler [Event 40 im SYSTEM Log]. In diesem Zusammenhang ist der Key CertificateBackdatingCompensation als möglicher Workaround zu betrachten.
• Für das Troubleshooting oder einen Workaround kann es zudem helfen, ein Zertifikat manuell mit dem Computer Account über das Feld altSecurityIdentities zu verknüpfen, um hierdurch ein „Strong“ oder „Weak“ Mapping zu erreichen. Die notwendigen Werte sind dabei unbedingt “Reverse” zu hinterlegen (Tipp: Powershell).
• Bei anderen Fällen sind Anpassungen am Client Authentifizierungs-Zertifikat erforderlich gewesen u.a. Anpassungen am „Subject“ oder „Subject Alternative Name“. Ich hatte hier schon Beispiele mit leeren Feldern oder einem UPN der eingefügt werden musste.
• Ebenfalls ist unbedingt darauf zu achten, dass wenn während den Tests bereits eine erfolgreiche Authentifizierung durchgeführt wurde, diese anschließend für eine gewisse Zeit zwischengespeichert wird und so ggf. falsche Rückschlüsse aus weiteren Tests gezogen werden.

Gerne helfen wir Ihnen bei den Updates weiter. Sprechen Sie uns einfach an.