(Update 8.4.2025): Ab heute beginnt die nächste Phase: Die neuen Sicherheitseinstellungen werden verpflichtend. Wenn das Windows-Sicherheitsupdate April 2025 oder ein neueres Update auf den Domänencontrollern und Windows-Clients installiert wird, wird der alte Kompatibilitätsmodus abgeschaltet. Stattdessen wird die sichere, neue Einstellung automatisch aktiviert. So werden die Sicherheitslücken CVE-2024-26248 und CVE-2024-29056 wirksam geschlossen.
(Update 12.02.2025): Microsoft gestern in einer „60-Tage Erinnerung“ noch einmal darauf hingewiesen, dass das Sicherheitsupdate im April oder später der Erzwingungsmodus vollständig aktiviert wird.
Dadurch werden dann die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsanfälligkeiten, die seit April 2024 vorliegen, ordnungsgemäß entschärft.
(Update 5. Oktober 2024): Microsoft hat den Zeitplan für die Kerberos-Signaturvalidierungsrisiken geändert. Der zweite Abschnitt „Standardmäßig erzwungene Phase“ sollte eigentlich jetzt im Oktober zum Patchday stattfinden. Wird jetzt aber noch einmal verschoben.
(Original 11. April 2024): Mit dem Sicherheitsupdate April für Windows 10, Windows 11 und Server wurden unter anderem zwei Sicherheitslücken CVE-2024-26248 und CVE-2024-29056 geschlossen. Dies betrifft das Kerberos PAC Validation Protocol. „Das Berechtigungsattributzertifikat (Privilege Attribute Certificate, PAC) ist eine Erweiterung für Kerberos-Diensttickets. Sie enthält Informationen zum authentifizierenden Benutzer und seinen Berechtigungen.“
Microsoft hat dies unter der KB5037754 beschrieben. Mit diesen Updates wird ein Sicherheitsrisiko (spoofen) dahingehend geschlossen, aber nicht vollständig behoben. Dies wird Microsoft in drei Stufen vollziehen. Microsoft selber bietet aber jetzt schon eine Lösung an, um ein erzwungenes Verhalten (durch den CrossDomainFilteringLevel=4) zu erreichen. Auf der Seite enthalten ist auch eine FAQ, Registry-Einstellungen und die Ereignisprotokolle, die ihr euch durchlesen könnt. Es sei aber darauf hingewiesen, dass es sich hier um Domäne-PCs handelt.
Hier aber der Ablauf bis April 2025:
- 9. April 2024 Die erste Bereitstellungsphase beginnt mit den am 9. April 2024 veröffentlichten Updates. Dieses Update fügt ein neues Verhalten hinzu, das die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsanfälligkeiten durch Erhöhung von Berechtigungen verhindert, aber nur dann durchgesetzt wird, wenn sowohl Windows-Domänencontroller als auch Windows-Clients in der Umgebung aktualisiert werden.
Um das neue Verhalten zu aktivieren und die Sicherheitslücken zu verringern, müssen Sie sicherstellen, dass Ihre gesamte Windows-Umgebung (einschließlich Domänencontroller und Clients) aktualisiert wird. Audit-Ereignisse werden protokolliert, um nicht aktualisierte Geräte zu identifizieren. 8. Oktober 2024Januar 2025 Updates, die am oder nach dem8. Oktober 2024Januar 2025 veröffentlicht werden, versetzen alle Windows-Domänencontroller und -Clients in der Umgebung in den erzwungenen Modus, indem sie die Einstellungen des Registrierungsunterschlüssels aufPacSignatureValidationLevel=3undCrossDomainFilteringLevel=4ändern und so das sichere Verhalten standardmäßig erzwingen. Die Standardeinstellungen können von einem Administrator außer Kraft gesetzt werden, um zum Kompatibilitätsmodus zurückzukehren.-
8. April 2025 Die Windows-Sicherheitsupdates, die am oder nach dem 8. April 2025 veröffentlicht werden, entfernen die Unterstützung für die Registry-Unterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue Sicherheitsverhalten. Nach der Installation dieses Updates gibt es keine Unterstützung für den Kompatibilitätsmodus mehr.
- support.microsoft.com/de-de/kb5037754-verwalten-von-pac-überprüfungsänderungen-im-zusammenhang-mit-cve-2024-26248-und-cve-2024
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Die Reihenfolge der Updates ist nicht korrekt – oder steht das „Update 5. Oktober 2025“ deshalb nicht an erster Stelle, um ein wenig zu kaschieren, dass deskmodder über eine Zeitmaschine verfügt?
Hallo Zusammen,
Ich brauche bitte eure Hilfe. Ich habe ein Asus S16 ZenBook. Da es mir mit den Bugs auf w11 einfach zu blôd wurde, bin ich zurück auf w10. Das war aber auch nicht so gut, weil der treiber für wlan nicht installiert werden konnte. Auf w11 zurück geht aber auch nicht, weil das tell jetzt ein brick ist. Hat hier jemand eine Idee?
Hallo Zusammen,
Ich brauche bitte eure Hilfe. Ich habe ein Asus S16 ZenBook. Da es mir mit den bugs auf w11 einfach zu blôd wurde, bin ich zurück auf w10. Das war aber auch nicht so gut, weil der treiber für wlan nicht installiert werden konnte. Auf w11 zurück geht aber auch nicht, weil das tell jetzt ein brick ist. Hat hier jemand eine Idee?
Ja am besten eine Clean Installation vornehmen. Was du noch testen könntest wäre ein Driverupdater und dann da nur den WLAN Treiber mit installieren aber ich halte die Clean Installation für die beste Lösung.
gepostet mit der Deskmodder.de-App für iOS
Hallo, leider komme ich hier nicht weiter. Der Stick lässt sich unter Android 15 nur mit NTFS oder exfat formatieren.
Bin jetzt 30 Jahre im Client Support und lese euch seit 2013. Habe easus Pro und die tun auch so, als wäre das alles easy. Hat noch jemand eine Idee?
Mir scheint, dies ist mal wieder ein update das ausschliesslich für MS Voprteiel bietet, und für user, bestenfalls gar keine Konsequenzen?