Update 30. Juni 2023
Microsoft hat
Microsoft hat
Microsoft hat das Datum für den Full Enforcement Mode (vom 09.05.2023) auf den 14. November 2023 „oder später“ hochgesetzt.
Des weiteren treten noch Probleme beim Strong-Mapping von Non-Domain-Clients über „altSecurityIdentities“ auf, wie dies z.B beim Einsatz von SCEP (NDES) Zertifikaten erfolgt. In diesem Fall kann aktuell der Workaround „CertificateMappingMethods“ und Rücksetzung auf den alten Default Wert „1F“ in Kombination mit einem Weak-Mapping helfen – z.B. „X509:<I>IssuerName<S>SubjectName“.
Dies ist natürlich ausdrücklich keine sichere Lösung. Ob es sich hierbei um Einzelfälle handelt oder ob das hochsetzen des Datums seitens Microsoft in einem Zusammenhang steht, kann aktuell noch nicht bewertet werden.
Microsoft hat bereits am 10.05.2022 Updates veröffentlicht, welche u.a. die Sicherheit für die zertifikatsbasierende Authentifizierung erhöhen sollen.
Zunächst befinden sich die Geräte, welche authentifiziert werden in einem Kompatibilitätsmodus. Der Full Enforcement Mode wird erst ab 09.05.2023 automatisch aktiviert.
Ist eine zertifikatsbasierende Authentifizierung eines Geräts mit dem Full Enforcement Mode nicht kompatibel, wird nun auf dem entsprechenden Domain Controller ein Audit-Event im SYSTEM Log mit der ID 39, 40 oder 41 generiert (die ID’s können je nach Betriebssystemversion abweichend sein).
Diese Events sind entsprechend auszuwerten und die Inkompatibilitäten zu beheben.
Nachdem keine Kompatibilitätsprobleme mehr auftreten, ist zu empfehlen den Full Enforcement Mode kontrolliert zu aktivieren, um weitere mögliche Fehler vor dem 09.05.2023 analysieren zu können.
Dann müssen sie damit rechnen, dass Ihre Geräte mit zertifikatsbasierender Authentifizierung ab dem 09.05.2023 keine Verbindung zum Netzwerk mehr herstellen können.
In Verbindung mit dem Update (auch den ersetzenden Kumulativen Updates) kommt es vermehrt zu nicht funktionalen Zertifikats-Authentifizierungen von Geräten. Sehr oft ist im Log die Event-ID 6273 mit dem Code 16 zu finden: “Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user”
Microsoft hat am 19.05.2022 bereits Out-Of-Band Updates veröffentlicht, weil es vermehrt zu Problemen gekommen ist.
KB5015013: Windows Server 2022
KB5015020: Windows Server Version 20H2
KB5015018: Windows Server 2019
KB5015019: Windows Server 2016
Die Out-Of-Band Updates müssen aktuell nicht mehr separat installiert werden, da diese durch die monatlichen Kumulativen Updates ersetzt wurden.
Es gibt leider oft weitere Konstellationen, in welchen ein „einfaches“ Update nicht hilft.
Anbei noch ein paar Ansätze für ein Troubleshooting:
Gerne helfen wir Ihnen bei den Updates weiter. Sprechen Sie uns einfach an.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen