
Wichtige Ankündigung: Probleme bei der Windows Hello Kerberos-Authentifizierung identifiziert
Microsoft hat ein erhebliches Problem bei der Windows Hello Kerberos-Authentifizierung auf Active Directory-Domänencontrollern (AD DC) festgestellt. Dieses Problem trat nach der Installation der Patch Tuesday-Updates vom April 2025 auf und betrifft insbesondere Windows Server 2025 (KB5055523), Server 2022 (KB5055526), Server 2019 (KB5055519) und Server 2016 (KB5055521).
Details zum Authentifizierungsfehler
Die Updates haben zu Komplikationen bei der Verarbeitung von Kerberos-Anmeldungen oder -Delegationen geführt, die zertifikatsbasierte Anmeldeinformationen verwenden. Dieses Problem tritt vor allem in Systemen auf, die auf Schlüsselvertrauen über das Feld msds-KeyCredentialLink in Active Directory angewiesen sind. Daher können in Organisationen, die Windows Hello for Business (WHfB) in Key Trust-Umgebungen oder mit Device Public Key Authentication (Machine PKINIT) nutzen, Authentifizierungsfehler auftreten.
Microsoft führte aus:
Nach der Installation des monatlichen Windows-Sicherheitsupdates vom 8. April 2025 (KB5055523 / KB5055526 / KB5055519 / KB5055521) oder höher können bei Active Directory-Domänencontrollern (DC) Probleme bei der Verarbeitung von Kerberos-Anmeldungen oder -Delegationen mit zertifikatsbasierten Anmeldeinformationen auftreten, die auf Schlüsselvertrauen über das Active Directory-Feld msds-KeyCredentialLink basieren. Dies kann zu Authentifizierungsproblemen in Windows Hello for Business (WHfB)-Schlüsselvertrauensumgebungen oder Umgebungen führen, in denen die Geräte-Public-Key-Authentifizierung (auch bekannt als Machine PKINIT) eingesetzt wird.
…
Zu den betroffenen Protokollen gehören Kerberos Public Key Cryptography for Initial Authentication (Kerberos PKINIT) und Certificate-based Service-for-User Delegation (S4U), das sowohl über Kerberos Constrained Delegation (KCD) als auch über Kerberos Resource-Based Constrained Delegation (RBKCD) funktioniert.
Die Grundursache verstehen
Die Störung ist auf ein Kompatibilitätsproblem zurückzuführen, das durch Patches zur Behebung einer Netzwerksicherheitslücke in Windows Kerberos (CVE-2025-26647) verursacht wurde. Weitere Details finden Sie in den Patchnotizen unter KB5057784. Da sich die Bereitstellung dieser Patches noch in der anfänglichen Bereitstellungsphase bzw.im Prüfmodus befindet, sind sie noch nicht vollständig wirksam.
Laut Microsoft liegt das Problem an neuen Sicherheitsprotokollen, die mit den jüngsten Updates eingeführt wurden. Insbesondere wurde die Methode geändert, mit der Domänencontroller Zertifikate für die Kerberos-Authentifizierung validieren. Der aktualisierte Prozess erfordert nun, dass Zertifikate eine Verbindung zu einem Stammverzeichnis im NTAuth-Speicher herstellen, wie in KB5057784 beschrieben.
Microsoft stellte fest:
Dieses Problem steht im Zusammenhang mit den in KB5057784, Schutz vor CVE-2025-26647 (Kerberos-Authentifizierung), beschriebenen Sicherheitsmaßnahmen. Ab den Windows-Updates vom 8. April 2025 und später hat sich die Methode geändert, mit der DCs Zertifikate für die Kerberos-Authentifizierung validieren. Nach diesem Update prüfen sie, ob die Zertifikate mit einem Stamm im NTAuth-Speicher verknüpft sind, wie in KB5057784 beschrieben.
Dieses Verhalten kann durch den Registrierungswert
AllowNtAuthPolicyBypass
in gesteuert werdenHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
. WennAllowNtAuthPolicyBypass
dieser nicht vorhanden ist, verhält sich der DC standardmäßig so, als wäre der Wert auf „1“ gesetzt.Die folgenden zwei Symptome wurden identifiziert:
- Wenn der Registrierungswert
AllowNtAuthPolicyBypass
auf dem authentifizierenden Domänencontroller auf „1“ konfiguriert ist, wird das Kerberos-Key-Distribution-Center-Ereignis mit der ID 45 wiederholt protokolliert. Dies weist darauf hin: „Das Key Distribution Center (KDC) hat ein Client-Zertifikat gefunden, das gültig war, sich jedoch nicht mit einem Stammzertifikat im NTAuth-Speicher verknüpfen ließ.“ Obwohl dieses Ereignis möglicherweise mehrmals protokolliert wird, verlaufen die betroffenen Anmeldevorgänge ohne weitere Probleme erfolgreich.- Wenn hingegen
AllowNtAuthPolicyBypass
„2“ eingestellt ist, schlagen Benutzeranmeldungen fehl und die Kerberos-Key-Distribution-Center-Ereignis-ID 21 wird in den Ereignisprotokollen angezeigt, mit der Meldung: „Das Client-Zertifikat für den Benutzer ist ungültig und führte zu einer fehlgeschlagenen Smartcard-Anmeldung.“
Aktueller Workaround und weitere Informationen
Organisationen, die derzeit mit diesen Authentifizierungsproblemen konfrontiert sind, empfiehlt Microsoft, die Registrierungseinstellung von „2“ auf „1“ zu ändern, um die Auswirkungen vorübergehend zu mildern. Ausführlichere Informationen zu diesem Problem finden Sie im Eintrag im Microsoft Windows Health Dashboard.
Weitere Einblicke und Updates zu dieser sich entwickelnden Situation finden Sie im Neowin-Artikel.
Schreibe einen Kommentar