Microsoft verschiebt nächste Phase der Sicherheitshärtung für Windows

Microsoft plant eine dreistufige Abschaltung des Kerberos PAC Validation Protocols für Windows 10, 11 und Server bis April 2025. Die Änderungen sollen Sicherheitslücken schließen - doch nun gibt es Verzögerungen beim Zeitplan.

Sicherheitsupdate mit weitreichenden Folgen

Microsoft bereitet eine bedeutende Änderung in der Windows-Sicherheitsarchitektur vor (wir berichten). Das Unternehmen plant, das Kerberos PAC (Privilege Attribute Certificate) Validation Protocol schrittweise abzuschalten. Dieser Prozess, der Windows 10, Windows 11 und Windows Server betrifft, soll bis April 2025 in drei Phasen umgesetzt werden.

Die Änderungen zielen darauf ab, zwei kritische Sicherheitslücken zu schließen: CVE-2024-26248 und CVE-2024-29056. Diese Schwachstellen ermöglichen potenziell das "Spoofing", also das Vortäuschen einer falschen Identität im Netzwerk. Das PAC spielt eine zentrale Rolle bei der Kerberos-Authentifizierung, indem es Informationen über Benutzerberechtigungen in Diensttickets speichert.

Microsoft hatte bereits in einem Support-Artikel detaillierte Informationen zu diesem Vorhaben veröffentlicht. Der Prozess begann bereits im April 2024 mit der Einführung eines neuen Verhaltens, das die Sicherheitslücken adressiert. Diese erste Phase erfordert jedoch, dass sowohl Windows-Domänencontroller als auch -Clients aktualisiert werden, um wirksam zu sein.

Dreistufiger Abschaltplan bis 2025

Die zweite Phase, ursprünglich für Oktober 2024 geplant, wurde auf Januar 2025 verschoben, wie bei Deskmoddder aufgefallen ist. Gründe für die Änderung sind nicht bekannt.

In dieser "standardmäßig erzwung­enen Phase" werden alle Windows-Domänen­controller und -Clients in den so­genannten "Enforced Mode" versetzt. Dies geschieht durch Änder­ungen in der Registrierung, die das neue Sicherheits­verhalten standard­mäßig aktivieren. IT-Administratoren haben jedoch die Möglich­keit, diese Einstellungen zu über­schreiben und zum Kompatibilitäts­modus zurück­zukehren, falls dies für bestimmte Systeme erforderlich sein sollte.

Die finale Phase ist für April 2025 angesetzt. Ab diesem Zeitpunkt wird die Unterstützung für die betreffenden Registrierungsschlüssel vollständig entfernt, wodurch das neue Sicherheitsverhalten permanent und ohne Ausnahme durchgesetzt wird. Es wird dann keine Möglichkeit mehr geben, zum alten Kompatibilitätsmodus zurückzukehren. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch

Vorbereitung wichtig

Für IT-Administratoren bedeutet dieser Fahrplan, dass sie ihre Windows-Umgebungen sorgfältig vorbereiten müssen. Es ist entscheidend, alle Systeme rechtzeitig zu aktualisieren und mögliche Kompatibilitätsprobleme frühzeitig zu identifizieren. Microsoft stellt dafür Audit-Ereignisse zur Verfügung, die nicht aktualisierte Geräte erkennen können.

Hintergründe zur Kerberos-Authentifizierung

Zudem bietet Microsoft in seinem Support-Artikel eine umfangreiche FAQ, Informationen zu Registry-Einstellungen und relevanten Ereignisprotokollen. Diese Ressourcen sind besonders für Administratoren von Domänen-PCs wertvoll, da sie bei der Planung und Umsetzung der Änderungen unterstützen können.

Kerberos ist ein weit verbreitetes Netzwerk-Authentifizierungsprotokoll, das seit den 1980er Jahren entwickelt wurde. Es wurde ursprünglich am Massachusetts Institute of Technology (MIT) entworfen. Der Name "Kerberos" stammt aus der griechischen Mythologie und bezieht sich auf den dreiköpfigen Höllenhund, der den Eingang zur Unterwelt bewacht - eine Anspielung auf die drei Parteien, die an der Kerberos-Authentifizierung beteiligt sind: Client, Server und Key Distribution Center (KDC).

Wie bereitet ihr euch auf diese Änderungen vor? Seht ihr Herausforderungen für eure IT-Umgebung? Teilt eure Gedanken und Erfahrungen in den Kommentaren - eure Einblicke könnten anderen Administratoren helfen!


Siehe auch: