Letzte 60 Tage bis zur nächsten Windows-Sicherheitshärtung angelaufen
Microsoft hat seinen "60-Tage Hinweis" zur bevorstehenden Abschaltung des Kerberos PAC Validation Protocols für Windows 10, Windows 11 und Windows Server begonnen. Die Abschaltung geschieht laut dem derzeitigen Zeitplan bis April 2025.
Nun ist die heiße Phase angelaufen - in wenigen Wochen soll laut Microsoft die Windows-Sicherheitsarchitektur so geändert sein, dass die letzte Phase der Abschaltung beginnt, die Durchsetzungsphase. Im Windows-Nachrichtencenter heißt es jetzt dazu: "Bereiten Sie sich vor, den Erzwingungsmodus später in diesem Jahr vollständig zu aktivieren!".
Microsoft hat diese Maßnahmen ergriffen, um zwei kritische Sicherheitslücken (CVE-2024-26248 und CVE-2024-29056) zu schließen, die das sogenannte Spoofing im Netzwerk ermöglichen. Diese Schwachstellen betreffen das PAC (Privilege Attribute Certificate), welches für die Kerberos-Authentifizierung zentrale Benutzerberechtigungen verwaltet.
Der Änderungsprozess begann im April 2024 mit der Einführung eines neuen Verhaltens, das beide Sicherheitsrisiken adressiert. Um die Maßnahmen wirksam umzusetzen, ist es notwendig, sowohl Windows-Domänencontroller als auch Clients auf den neuesten Stand zu bringen. Im dreistufigen Abschaltplan werden alle betroffenen Systeme automatisch auf die neue Sicherheitskonfiguration umgestellt.
Wie bereitet ihr euch auf diese Änderungen vor? Seht ihr Herausforderungen für eure IT-Umgebung? Teilt eure Gedanken und Erfahrungen in den Kommentaren - eure Einblicke könnten anderen Administratoren helfen!
Siehe auch:
Durchsetzungsphase startet im April
Über die bevorstehenden Änderungen in Bezug auf das Kerberos PAC (Privilege Attribute Certificate) Validation Protocol hatten wir schon mehrfach berichtet. Eigentlich hätte das schon abgeschlossen sein sollen, doch es gab Verzögerungen.Nun ist die heiße Phase angelaufen - in wenigen Wochen soll laut Microsoft die Windows-Sicherheitsarchitektur so geändert sein, dass die letzte Phase der Abschaltung beginnt, die Durchsetzungsphase. Im Windows-Nachrichtencenter heißt es jetzt dazu: "Bereiten Sie sich vor, den Erzwingungsmodus später in diesem Jahr vollständig zu aktivieren!".
Die Windows-Sicherheitsupdates, die im oder nach April 2025 veröffentlicht werden, entfernen die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue Sicherheitsverhalten. Nach der Installation des Updates vom April 2025 wird der Kompatibilitätsmodus nicht mehr unterstützt.
Microsoft hat diese Maßnahmen ergriffen, um zwei kritische Sicherheitslücken (CVE-2024-26248 und CVE-2024-29056) zu schließen, die das sogenannte Spoofing im Netzwerk ermöglichen. Diese Schwachstellen betreffen das PAC (Privilege Attribute Certificate), welches für die Kerberos-Authentifizierung zentrale Benutzerberechtigungen verwaltet.
Der Änderungsprozess begann im April 2024 mit der Einführung eines neuen Verhaltens, das beide Sicherheitsrisiken adressiert. Um die Maßnahmen wirksam umzusetzen, ist es notwendig, sowohl Windows-Domänencontroller als auch Clients auf den neuesten Stand zu bringen. Im dreistufigen Abschaltplan werden alle betroffenen Systeme automatisch auf die neue Sicherheitskonfiguration umgestellt.
Änderungen bald verbindlich
IT-Administratoren haben jedoch die Möglichkeit, bei Bedarf die Einstellungen anzupassen und in den Kompatibilitätsmodus zurückzukehren. Ab April 2025 wird das neue Sicherheitsverhalten jedoch verbindlich, ohne Rückkehrmöglichkeit zu den alten Modellen.Wie bereitet ihr euch auf diese Änderungen vor? Seht ihr Herausforderungen für eure IT-Umgebung? Teilt eure Gedanken und Erfahrungen in den Kommentaren - eure Einblicke könnten anderen Administratoren helfen!
Was bedeutet das NTLM-Ende für mich?
Das Ende von NTLM betrifft zunächst hauptsächlich Systemadministratoren und Unternehmen, die noch NTLM zur Authentifizierung nutzen. Ab Windows 11 24H2 und Server 2025 wird NTLMv1 nicht mehr verfügbar sein.
Für eine sichere Zukunft empfiehlt Microsoft den Umstieg auf moderne Authentifizierungsmethoden wie Kerberos. Nutzer sollten sicherstellen, dass ihre Systeme und Anwendungen kompatibel mit den neuen Authentifizierungsstandards sind.
Für eine sichere Zukunft empfiehlt Microsoft den Umstieg auf moderne Authentifizierungsmethoden wie Kerberos. Nutzer sollten sicherstellen, dass ihre Systeme und Anwendungen kompatibel mit den neuen Authentifizierungsstandards sind.
Wann wird NTLM abgeschaltet?
Microsoft beginnt die Abschaltung mit Windows 11, 24H2 und Windows Server 2025. In diesen Versionen wird zunächst NTLMv1 komplett entfernt. NTLMv2 bleibt vorerst noch bestehen.
Der Konzern hat jedoch bereits angekündigt, dass langfristig die gesamte NTLM-Familie als veraltet eingestuft wird und schrittweise entfernt werden soll. Ein genauer Zeitplan für NTLMv2 wurde bislang nicht kommuniziert.
Der Konzern hat jedoch bereits angekündigt, dass langfristig die gesamte NTLM-Familie als veraltet eingestuft wird und schrittweise entfernt werden soll. Ein genauer Zeitplan für NTLMv2 wurde bislang nicht kommuniziert.
Welche Alternativen gibt es?
Microsoft entwickelt aktuell zwei neue Kerberos-Funktionen als direkte Alternativen: IAKerb (Initial and Pass Through Authentication Using Kerberos) und Local KDC (Local Key Distribution Center).
Zudem empfiehlt Microsoft die Verwendung des Negotiate-Protokolls, das bevorzugt Kerberos zur Authentifizierung nutzt und nur bei Bedarf auf NTLM zurückgreift. Multi-Faktor-Authentifizierung ist eine weitere empfohlene Sicherheitsoption.
Zudem empfiehlt Microsoft die Verwendung des Negotiate-Protokolls, das bevorzugt Kerberos zur Authentifizierung nutzt und nur bei Bedarf auf NTLM zurückgreift. Multi-Faktor-Authentifizierung ist eine weitere empfohlene Sicherheitsoption.
Warum wird NTLM entfernt?
NTLM hat in der Vergangenheit mehrfach kritische Sicherheitslücken offenbart. Zuletzt musste sogar ein Drittanbieter eine inoffizielle Korrektur für eine Schwachstelle bereitstellen.
Microsoft reagiert mit der Entfernung auf diese Sicherheitsbedenken und möchte Unternehmen vor potenziellen Angriffen über das veraltete Protokoll schützen. Die Umstellung ist Teil einer größeren Sicherheitsinitiative.
Microsoft reagiert mit der Entfernung auf diese Sicherheitsbedenken und möchte Unternehmen vor potenziellen Angriffen über das veraltete Protokoll schützen. Die Umstellung ist Teil einer größeren Sicherheitsinitiative.
Was ist mit älteren Windows-Versionen?
Bestehende Windows-Versionen sind von der NTLM-Entfernung zunächst nicht betroffen. Die Änderungen gelten nur für Windows 11 24H2 und Windows Server 2025 sowie zukünftige Versionen.
Allerdings sollten auch Nutzer älterer Systeme einen Umstieg planen, da Microsoft die weitere Unterstützung von NTLM schrittweise einstellen wird. Sicherheitsupdates für NTLM könnten in Zukunft ausbleiben.
Allerdings sollten auch Nutzer älterer Systeme einen Umstieg planen, da Microsoft die weitere Unterstützung von NTLM schrittweise einstellen wird. Sicherheitsupdates für NTLM könnten in Zukunft ausbleiben.
Ist Kerberos sicherer als NTLM?
Kerberos gilt als deutlich sicherer als NTLM. Es bietet moderne Verschlüsselungsmethoden und verhindert verschiedene Arten von Angriffen, die bei NTLM möglich waren.
Das Protokoll unterstützt zudem erweiterte Funktionen wie Delegierung und gegenseitige Authentifizierung. Diese Eigenschaften machen es zur bevorzugten Wahl für Unternehmensumgebungen.
Das Protokoll unterstützt zudem erweiterte Funktionen wie Delegierung und gegenseitige Authentifizierung. Diese Eigenschaften machen es zur bevorzugten Wahl für Unternehmensumgebungen.
Was ist mit WIP/EDP?
Parallel zur NTLM-Entfernung wird auch Windows Information Protection (WIP), auch bekannt als Enterprise Data Protection (EDP), mit Windows 11 24H2 eingestellt.
Unternehmen, die WIP zum Schutz vor Datenlecks nutzen, müssen sich nach alternativen Lösungen umsehen. Microsoft dürfte in Zukunft neue Technologien für den Datenschutz vorstellen.
Unternehmen, die WIP zum Schutz vor Datenlecks nutzen, müssen sich nach alternativen Lösungen umsehen. Microsoft dürfte in Zukunft neue Technologien für den Datenschutz vorstellen.
Zusammenfassung
- Microsoft erinnert an Abschaltung des Kerberos PAC bis April 2025
- Änderung schließt kritische Sicherheitslücken CVE-2024-26248/-29056
- Dreistufiger Plan: Neue Sicherheitskonfiguration wird durchgesetzt
- IT-Admins können vorübergehend Kompatibilitätsmodus aktivieren
- Ab April 2025 ist neues Sicherheitsverhalten verbindlich
- Updates für Windows-Domänencontroller und -Clients erforderlich
- Administratoren sollen sich auf Änderungen vorbereiten
Siehe auch:
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
- Nur heute: Media Markt und Saturn mit genialen Wochenendknallern
- Windows Recovery: Microsoft startet neue Updates für Windows 11 & 10
- Windows 11: Juni-Patchday sorgt für BSODs und Datei-Explorer-Bug
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen