Microsoft beendet nächsten Monat die Unterstützung für Registrierungsschlüssel in Windows-Domänencontrollern

Microsoft beendet nächsten Monat die Unterstützung für Registrierungsschlüssel in Windows-Domänencontrollern

Wichtige Änderungen an den Sicherheitseinstellungen des Windows-Domänencontrollers

Im Mai 2022 hat Microsoft kritische Sicherheitsupdates für Windows veröffentlicht, die mehrere Schwachstellen mit den Bezeichnungen CVE-2022-34691, CVE-2022-26931 und CVE-2022-26923 beheben. Bei diesen Schwachstellen handelt es sich um EoP-Fehler (Elevation of Privilege), die speziell auf die Wartungsprozesse zertifikatsbasierter Authentifizierungssysteme abzielen, die im Kerberos Key Distribution Center (KDC) eingesetzt werden.

Das Problem betraf insbesondere Windows-Domänencontroller (DCs), die das Dollarzeichen („$“) am Ende von Computernamen nicht erkannten. Dieses Versehen eröffnete Cyberkriminellen die Möglichkeit, Zertifikate auf verschiedene böswillige Weise zu fälschen. Als Reaktion darauf hat Microsoft in den letzten Jahren eine Reihe von Updates veröffentlicht, um IT-Administratoren einen reibungsloseren Übergang zu ermöglichen und gleichzeitig die Systemkompatibilität zu gewährleisten.

Kommende Patch Tuesday-Updates

Ab dem 9. September treten mit den nächsten Patch Tuesday-Updates wesentliche Änderungen in Kraft. Insbesondere wird der Registrierungsschlüssel Key Distribution Center nicht mehr unterstützt. Als kurzfristige Problemumgehung stellte Microsoft bereits im Mai 2022 den Registrierungsschlüssel StrongCertificateBindingEnforcement bereit. Dieser Schlüssel ermöglichte es IT-Administratoren, weiterhin zertifikatsbasierte Zuordnungen und Authentifizierung zu nutzen, allerdings nur im Kompatibilitätsmodus. Er ermöglichte verschiedene Methoden zur Überprüfung der Benutzerauthentizität und Fallback-Mechanismen basierend auf definierten Werten.

Auswirkungen des Zertifikat-Backdating-Schlüssels

Neben dem Schlüssel „StrongCertificateBindingEnforcement“ wird im September auch ein weiterer Registrierungsschlüssel namens „CertificateBackdatingCompensation“ geändert. Dieser Schlüssel, der ebenfalls den Kompatibilitätsmodus unterstützen sollte, ermöglichte die Benutzerauthentifizierung auch mit schwächeren Zertifikatszuordnungen, sofern das Zertifikat vor dem Erstellungszeitpunkt des Benutzers erstellt wurde. Mit den kommenden Updates wird die Verwendung schwacher Zertifikatszuordnungen jedoch verboten sein. Der Grund für diese Änderung ist logisch, da die vorherigen Einstellungen eine wichtige Sicherheitsüberprüfung effektiv deaktivierten.

Übergang vom Kompatibilitätsmodus

IT-Administratoren sollten unbedingt beachten, dass nach der Aktivierung des vollständigen Durchsetzungsmodus nach dem 10. September eine Rückkehr zum Kompatibilitätsmodus nicht mehr möglich ist. Diese Änderung unterstreicht Microsofts Engagement für die Verbesserung der Sicherheit von Windows-Domänencontrollern und stellt sicher, dass Unternehmen nicht nur konform, sondern auch vor potenziellen Bedrohungen geschützt sind.

Um detailliertere Einblicke in diese Änderungen zu erhalten, wird IT-Experten, die Windows-Domänencontroller verwalten, empfohlen, die umfassenden Richtlinien von Microsoft zu konsultieren.

Quelle & Bilder

Ähnliche Artikel:

Google bietet Zwischenlösungen für Anmeldeprobleme bei ChromeOS-Geräten
Microsoft stellt die Mobile Plans-App für Windows-Benutzer ein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert