Windows 10/11: Erstes DC-Härtungsupdate für 2025 startet
Microsoft startet Stufe 2 der Abschaltung des Kerberos PAC Validation Protocols für Windows 10, 11 und Server. Nach den letzten Verzögerungen beim Zeitplan für diese Sicherheitshärtung sieht es nun so aus, dass die Änderungen im April 2025 abgeschlossen werden.
Diese Maßnahmen sollen vor den Schwachstellen CVE-2024-26248 und CVE-2024-29056 Kerberos PAC (Privilege Attribute Certificate) sowie vor der Black Lotus Secure Boot-Schwachstelle schützen. Die DC-Sicherheitshärtung stärkt die Server, auf denen Azure Active Directory (AD) ausgeführt wird, um das Risiko eines unbefugten Zugriffs und von Datenverletzungen zu verringern, und wird schrittweise implementiert.
Zuvor hatte Microsoft im April 2024 die erste Bereitstellungsphase mit den Updates, die am 9. April 2024 veröffentlicht wurden. Diese erste Phase wurde auch Kompatibilitätsmodus genannt. Im Herbst 2024 wurde dann die Roadmap geändert, sodass es erst jetzt weitergeht.
In der vorangegangenen Phase, die im Oktober 2024 begann, wurden Secure Boot-Bypass-Schutzmaßnahmen im Rahmen der obligatorischen Durchsetzungsphase durchgesetzt.
Mit dem Eintritt in die standardmäßig erzwungene Phase für die Kerberos PAC können Administratoren diese Regeln noch überschreiben, damit ist dann im April Schluss. Weitere Details gibt es im Support-Artikel KB5036534 auf der offiziellen Website von Microsoft. Ein Domänencontroller, der nicht aktualisiert wird, erkennt die neue Anforderungsstruktur nicht.
Dies führt dann dazu, dass die Sicherheitsüberprüfung fehlschlägt. Im Kompatibilitätsmodus wird die alte Anforderungsstruktur verwendet, in der standardmäßig erzwungene Phase nicht mehr. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Neu hinzugekommen ist jetzt noch einmal die Phase 3, die im Februar startet, in der laut Microsoft die zertifikatsbasierte Authentifizierung verpflichtend ist: "Vollständiger Durchsetzungsmodus. Wenn ein Zertifikat nicht eindeutig zugeordnet werden kann, wird die Authentifizierung verweigert", erklärt der Support-Artikel.
Kerberos ist ein weitverbreitetes Netzwerk-Authentifizierungsprotokoll, das seit den 1980er Jahren entwickelt wurde.
Es wurde ursprünglich am Massachusetts Institute of Technology (MIT) entworfen. Der Name "Kerberos" stammt aus der griechischen Mythologie und bezieht sich auf den dreiköpfigen Höllenhund, der den Eingang zur Unterwelt bewacht - eine Anspielung auf die drei Parteien, die an der Kerberos-Authentifizierung beteiligt sind: Client, Server und Key Distribution Center (KDC).
Wie bereitet ihr euch auf diese Änderungen vor? Seht ihr Herausforderungen für eure IT-Umgebung? Teilt eure Gedanken und Erfahrungen in den Kommentaren - eure Einblicke könnten anderen Administratoren helfen!
Siehe auch:
Standardmäßig erzwungene Phase startet
Das berichtet das Online-Magazin Neowin und bezieht sich dabei auf die von Microsoft selbst veröffentlichte Roadmap. Dabei heißt es, dass das Update KB5037754 die "Standardmäßig erzwungene Phase" startet. Dahinter verbirgt sich ein Härtungs-Update für Domain Controller (DC). Diese Härtung bezieht sich im Wesentlichen auf den Prozess der Sicherung des Betriebssystems durch die Verringerung seiner Angriffsfläche und die Abschwächung potenzieller Schwachstellen.Diese Maßnahmen sollen vor den Schwachstellen CVE-2024-26248 und CVE-2024-29056 Kerberos PAC (Privilege Attribute Certificate) sowie vor der Black Lotus Secure Boot-Schwachstelle schützen. Die DC-Sicherheitshärtung stärkt die Server, auf denen Azure Active Directory (AD) ausgeführt wird, um das Risiko eines unbefugten Zugriffs und von Datenverletzungen zu verringern, und wird schrittweise implementiert.
Zuvor hatte Microsoft im April 2024 die erste Bereitstellungsphase mit den Updates, die am 9. April 2024 veröffentlicht wurden. Diese erste Phase wurde auch Kompatibilitätsmodus genannt. Im Herbst 2024 wurde dann die Roadmap geändert, sodass es erst jetzt weitergeht.
Der Zeitplan ist wie folgt:
- Januar 2025 - Erzwingungsphase standardmäßig
- Febuar 2025 - Zertifikatsbasierte Authentifizierung
- April 2025 - Durchsetzungsphase
In der vorangegangenen Phase, die im Oktober 2024 begann, wurden Secure Boot-Bypass-Schutzmaßnahmen im Rahmen der obligatorischen Durchsetzungsphase durchgesetzt.
Mit dem Eintritt in die standardmäßig erzwungene Phase für die Kerberos PAC können Administratoren diese Regeln noch überschreiben, damit ist dann im April Schluss. Weitere Details gibt es im Support-Artikel KB5036534 auf der offiziellen Website von Microsoft. Ein Domänencontroller, der nicht aktualisiert wird, erkennt die neue Anforderungsstruktur nicht.
Dies führt dann dazu, dass die Sicherheitsüberprüfung fehlschlägt. Im Kompatibilitätsmodus wird die alte Anforderungsstruktur verwendet, in der standardmäßig erzwungene Phase nicht mehr. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Neu hinzugekommen ist jetzt noch einmal die Phase 3, die im Februar startet, in der laut Microsoft die zertifikatsbasierte Authentifizierung verpflichtend ist: "Vollständiger Durchsetzungsmodus. Wenn ein Zertifikat nicht eindeutig zugeordnet werden kann, wird die Authentifizierung verweigert", erklärt der Support-Artikel.
Kerberos ist ein weitverbreitetes Netzwerk-Authentifizierungsprotokoll, das seit den 1980er Jahren entwickelt wurde.
Es wurde ursprünglich am Massachusetts Institute of Technology (MIT) entworfen. Der Name "Kerberos" stammt aus der griechischen Mythologie und bezieht sich auf den dreiköpfigen Höllenhund, der den Eingang zur Unterwelt bewacht - eine Anspielung auf die drei Parteien, die an der Kerberos-Authentifizierung beteiligt sind: Client, Server und Key Distribution Center (KDC).
Wie bereitet ihr euch auf diese Änderungen vor? Seht ihr Herausforderungen für eure IT-Umgebung? Teilt eure Gedanken und Erfahrungen in den Kommentaren - eure Einblicke könnten anderen Administratoren helfen!
Zusammenfassung
- Microsoft startet Phase 2 der Kerberos-PAC-Abschaltung für Windows
- Update KB5037754 beginnt 'Standardmäßig erzwungene Phase' für DCs
- Schutz vor CVE-2024-26248, CVE-2024-29056 und Black Lotus-Schwachstelle
- Stärkung von Azure AD-Servern gegen unbefugten Zugriff
- Dreistufiger Plan: Januar, Februar und April 2025 für volle Umsetzung
- Administratoren können Regeln bis April 2025 noch überschreiben
- Zertifikatsbasierte Authentifizierung ab Februar 2025 verpflichtend
Siehe auch:
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen