Änderungen Zertifikatsbasierende-Authentifizierung (KB5014754)

von Markus Baumeister
10. Oktober 2022
4 Minuten zu lesen
Autor
Markus Baumeister
Wenn Microsoft Server Systeme an ihre Grenzen stoßen, dann finde ich einen Weg sie zu überwinden.
Zum Experten Profil
Teilen:
Kategorien:
  • Microsoft Server

Worum geht es?

Microsoft hat bereits am 10.05.2022 Updates veröffentlicht, welche u.a. die Sicherheit für die zertifikatsbasierende Authentifizierung erhöhen sollen.

  • Server mit Active Directory Certificate Services sind zu aktualisieren
  • Domain Controller sind zu aktualisieren
  • Voraussetzungen sind umzusetzen / Kompatibilitätsprobleme zu beheben

Zunächst befinden sich die Geräte, welche authentifiziert werden in einem Kompatibilitätsmodus. Der Full Enforcement Mode wird erst ab 09.05.2023 automatisch aktiviert.

Die Updates wurden bereits installiert, was bedeutet dies für mich?

Ist eine zertifikatsbasierende Authentifizierung eines Geräts mit dem Full Enforcement Mode nicht kompatibel, wird nun auf dem entsprechenden Domain Controller ein Audit-Event im SYSTEM Log mit der ID 39, 40 oder 41 generiert (die ID’s können je nach Betriebssystemversion abweichend sein).

Diese Events sind entsprechend auszuwerten und die Inkompatibilitäten zu beheben.

Nachdem keine Kompatibilitätsprobleme mehr auftreten, ist zu empfehlen den Full Enforcement Mode kontrolliert zu aktivieren, um weitere mögliche Fehler vor dem 09.05.2023 analysieren zu können.

Was ist, wenn ich nichts mache?

Dann müssen sie damit rechnen, dass Ihre Geräte mit zertifikatsbasierender Authentifizierung ab dem 09.05.2023 keine Verbindung zum Netzwerk mehr herstellen können.

Nach Installation der Updates funktioniert meine zertifikatsbasierenden Client-Authentifizierung nicht mehr, was jetzt?

In Verbindung mit dem Update (auch den ersetzenden Kumulativen Updates) kommt es vermehrt zu nicht funktionalen Zertifikats-Authentifizierungen von Geräten. Sehr oft ist im Log die Event-ID 6273 mit dem Code 16 zu finden: “Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user”

Microsoft hat am 19.05.2022 bereits Out-Of-Band Updates veröffentlicht, weil es vermehrt zu Problemen gekommen ist.

KB5015013: Windows Server 2022
KB5015020: Windows Server Version 20H2
KB5015018: Windows Server 2019
KB5015019: Windows Server 2016

Die Out-Of-Band Updates müssen aktuell nicht mehr separat installiert werden, da diese durch die monatlichen Kumulativen Updates ersetzt wurden.

Es gibt leider oft weitere Konstellationen, in welchen ein „einfaches“ Update nicht hilft.

Anbei noch ein paar Ansätze für ein Troubleshooting:

  • Grundsätzliche sind erstmal die Informationen des Microsoft Artikels KB5014754: Certificate-based authentication changes on Windows domain controllers (microsoft.com) zu beachten.
  • Bei Problemen wurde oft der Key “StrongCertificateBindingEnforcement” mit dem Wert “0” (Disable) als Workaround verwendet. Zu beachten ist hier, dass wenn nicht auch gleichzeitig der Key CertificateMappingMethods korrekt konfiguriert wird, keine zertifikatsbasierende Authentifizierung funktioniert. Microsoft hat am 26.09.2022 den Artikel aktualisiert und folgendes ergänzt: “If you set this to 0, you must also set CertificateMappingMethods to 0x1F as described in the Schannel registry key section below for computer certificate-based authentication to succeed..”
  • Ist nur ein „Weak“ Mapping vorhanden, bei dem auch noch das Zertifikat älter als der Benutzeraccount ist, führt dies auch im Kompatibilitätsmodus zu einem Fehler [Event 40 im SYSTEM Log]. In diesem Zusammenhang ist der Key CertificateBackdatingCompensation als möglicher Workaround zu betrachten.
  • Für das Troubleshooting oder einen Workaround kann es zudem helfen, ein Zertifikat manuell mit dem Computer Account über das Feld altSecurityIdentities zu verknüpfen, um hierdurch ein „Strong“ oder „Weak“ Mapping zu erreichen. Die notwendigen Werte sind dabei unbedingt “Reverse” zu hinterlegen (Tipp: Powershell).
  • Bei anderen Fällen sind Anpassungen am Client Authentifizierungs-Zertifikat erforderlich gewesen u.a. Anpassungen am „Subject“ oder „Subject Alternative Name“. Ich hatte hier schon Beispiele mit leeren Feldern oder einem UPN der eingefügt werden musste.
  • Ebenfalls ist unbedingt darauf zu achten, dass wenn während den Tests bereits eine erfolgreiche Authentifizierung durchgeführt wurde, diese anschließend für eine gewisse Zeit zwischengespeichert wird und so ggf. falsche Rückschlüsse aus weiteren Tests gezogen werden.

Gerne helfen wir Ihnen bei den Updates weiter. Sprechen Sie uns einfach an.

Schon gewusst?
In unserem IT-Kompetenzzentrum geben wir unser Expertenwissen multimedial an Sie weiter. Ist ihr Thema nicht dabei? Melden Sie sich gerne.
Jetzt kennenlernen