(Update 5. Oktober 2025): Microsoft hat den Zeitplan für die Kerberos-Signaturvalidierungsrisiken geändert. Der zweite Abschnitt „Standardmäßig erzwungene Phase“ sollte eigentlich jetzt im Oktober zum Patchday stattfinden. Wird jetzt aber noch einmal verschoben.
(Original 11. April 2024): Mit dem Sicherheitsupdate April für Windows 10, Windows 11 und Server wurden unter anderem zwei Sicherheitslücken CVE-2024-26248 und CVE-2024-29056 geschlossen. Dies betrifft das Kerberos PAC Validation Protocol. „Das Berechtigungsattributzertifikat (Privilege Attribute Certificate, PAC) ist eine Erweiterung für Kerberos-Diensttickets. Sie enthält Informationen zum authentifizierenden Benutzer und seinen Berechtigungen.“
Microsoft hat dies unter der KB5037754 beschrieben. Mit diesen Updates wird ein Sicherheitsrisiko (spoofen) dahingehend geschlossen, aber nicht vollständig behoben. Dies wird Microsoft in drei Stufen vollziehen. Microsoft selber bietet aber jetzt schon eine Lösung an, um ein erzwungenes Verhalten (durch den CrossDomainFilteringLevel=4) zu erreichen. Auf der Seite enthalten ist auch eine FAQ, Registry-Einstellungen und die Ereignisprotokolle, die ihr euch durchlesen könnt. Es sei aber darauf hingewiesen, dass es sich hier um Domäne-PCs handelt.
Hier aber der Ablauf bis April 2025:
- 9. April 2024 Die erste Bereitstellungsphase beginnt mit den am 9. April 2024 veröffentlichten Updates. Dieses Update fügt ein neues Verhalten hinzu, das die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsanfälligkeiten durch Erhöhung von Berechtigungen verhindert, aber nur dann durchgesetzt wird, wenn sowohl Windows-Domänencontroller als auch Windows-Clients in der Umgebung aktualisiert werden.
Um das neue Verhalten zu aktivieren und die Sicherheitslücken zu verringern, müssen Sie sicherstellen, dass Ihre gesamte Windows-Umgebung (einschließlich Domänencontroller und Clients) aktualisiert wird. Audit-Ereignisse werden protokolliert, um nicht aktualisierte Geräte zu identifizieren. 8. Oktober 2024Januar 2025 Updates, die am oder nach dem8. Oktober 2024Januar 2025 veröffentlicht werden, versetzen alle Windows-Domänencontroller und -Clients in der Umgebung in den erzwungenen Modus, indem sie die Einstellungen des Registrierungsunterschlüssels aufPacSignatureValidationLevel=3undCrossDomainFilteringLevel=4ändern und so das sichere Verhalten standardmäßig erzwingen. Die Standardeinstellungen können von einem Administrator außer Kraft gesetzt werden, um zum Kompatibilitätsmodus zurückzukehren.-
8. April 2025 Die Windows-Sicherheitsupdates, die am oder nach dem 8. April 2025 veröffentlicht werden, entfernen die Unterstützung für die Registry-Unterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue Sicherheitsverhalten. Nach der Installation dieses Updates gibt es keine Unterstützung für den Kompatibilitätsmodus mehr.
- support.microsoft.com/de-de/kb5037754-verwalten-von-pac-überprüfungsänderungen-im-zusammenhang-mit-cve-2024-26248-und-cve-2024
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
