Neues aus der IT-Welt

Microsoft räumt erneut Probleme mit Windows Updates ein. Dieses Mal hat es Windows Server getroffen, die nach der Installation der Sicherheitsupdates vom April-Patchday im Active-Directory-Betrieb Authentifizierungsprobleme mit "Windows Hello for Business" verursachen können.

In den Windows-Release-Health-Notizen geht Microsoft auf die Probleme ein und beschreibt eine temporäre Gegenmaßnahme. Nach der Installation der April-Softwareflicken können AD-Domain-Controller Probleme bei der Verarbeitung von Kerberos-Log-ons oder der Delegation davon mit zertifikatsbasierten Zugangsdaten haben, die auf vertraute Schlüssel mittels des Active-Directory-"msds-KeyCredentialLink"-Felds setzen. Das kann zu Authentifizierungsproblemen mit "Windows Hello for Business" führen, wenn die Umgebung davon zur Nutzung von vertrauenswürdigen Schlüsseln ("Key Trust") konfiguriert ist oder sofern die Umgebung auf Device-Public-Key-Authentifizierung setzt, was auch als "Machine PKINIT" bekannt ist.

Das könne auch weitere Produkte betreffen, die auf diese Funktionen setzen. Dazu gehören Smart-Card-Authentifizierungsprodukte, Single-Sign-On-Lösungen von Drittherstellern und Identitäts-Management-Systeme. Die betroffenen Protokolle sind Kerberos-Public-Key-Kryptografie für die initiale Authentifizierung (Kerberos PKINIT) und Zertifikat-basierte "Service-for-User"-Delegation (S4U) mittels sowohl Kerberos Constrained Delegation (KCD oder A2D2-Delegation) als auch Kerberos Ressourcen-basierte Constrained Delegation (RBKCD oder A2DF-Delegation), erklärt Microsoft weiter. Home-User seien vermutlich seltener betroffen, da DCs für die Authentifizierung eher im Geschäfts- und Enterprise-Umfeld angesiedelt seien.

Auslöser sind Schutzmaßnahmen für die Kerberos-Authentifizierung gegen die Schwachstelle CVE-2025-26647 / EUVD-2025-10222 (CVSS 8.8, Risiko "hoch") – eine unzureichende Eingabeprüfung von Kerberos, die Angreifer aus dem Netz ohne vorherige Authentifizierung zum Ausweiten ihrer Rechte mißbrauchen können. Microsoft hat in einem Support-Artikel nähere Informationen dazu zusammengetragen.

Dadurch wurde die Methode geändert, mit der DCs Zertifikate überprüfen, die Kerberos zur Authentifizierung nutzt. Mit den April-Updates prüft Windows, ob ein Zertifikat mit einer Wurzel im NTAuth-Speicher verknüpft ist. Ist der Wert des Registry-Eintrags "AllowNtAuthPolicyBypass" im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc" nicht gesetzt, nimmt Windows dafür standardmäßig den Wert "1" an. Das kann zu zwei Symptomen führen. Erstens, bei einem Wert "1" von "AllowNtAuthPolicyBypass", daß die Event-ID 45 wiederholt im System-Ereignisprotokoll auftaucht, mit einer Nachricht der Art "The Key Distribution Center (KDC) encountered a client certificate that was valid but did not chain to a root in the NTAuth store". Außer den teils exzessiven Log-Einträgen hat das jedoch keine Auswirkungen – die Log-ons klappen.

Das zweite Symptom hingegen kann auftreten, wenn "AllowNtAuthPolicyBypass" auf "2" auf dem authentifizierenden DC steht. Dann schlagen Nutzer-Log-ons fehl und die Ereignis-ID 21 wird auf dem Kerberos-Key-Distribution-Center mitprotokolliert. Die Textnachricht dazu lautet sinngemäß "The client certificate for the user is not valid and resulted in a failed smartcard logon".

Da das Problem nur auftritt, wenn "AllowNtAuthPolicyBypass" den Wert "2" hat, sollen Admins diesen vorübergehend auf "1" setzen. Microsoft hat nun Kenntnis von dem Problem und arbeitet an einer Lösung, die so schnell wie möglich verteilt wird. Betroffen sind die Windows Server 2025, 2022, 2019 und 2016.