kb5014754 - zertifikatsbasierte Authentifizierung / Vorgangsweise

[mcdaniels 22]

Guten Morgen,

bezogen auf kb5014754 verfolgt Microsoft ja einen mehrstufigen Plan zur Absicherung der zertifikatsbasierten Authentifizierung. Trotz des Studiums mehrerer Artikel zu diesem Thema ist mir die Vorgangsweise bezüglich die Installation nicht ganz klar, teilweise bin ich hier bei den Zusammenhängen ebenso unsicher. Ich bin mir sicher, dass ihr mir auf die  Sprünge helfen könnt.

 

Soweit ich es richtig verstehe (bitte korrigieren, falls es nicht stimmt):

 

• Das Update ist jedenfalls auf Domaincontrollern einzuspielen.
• Sofern es eingespielt wird, befindet es sich -  bei entspr. Registry-Eintrag - bis zum 11.4.2023 in einem Kompatibiltätsmodus. Hier kann man dann via Eventlogs checken, ob es Inkompatibilitäten mit den Clients gibt.
• Am 11. April 2023 wird per Update der Kompatibilitätsmodus abgedreht
• Ab 11. April 2023 kann sich somit (sofern es Kompatibilitätsprobleme gibt) kein Client, der eine zertifikatsbasierte Anmeldung verwendet, mehr anmelden.
  • Dies betrifft z.b. SSO-Dienste.
• Meldet sich ein User mittels Username und Passwort an, hat dieser Patch KEINE Auswirkungen auf die Authentifizierung und ebenso nicht auf die im AD befindlichen Computerkonten.
• Ansonsten hat der Patch keine Auswirkungen (z.b. auf die Kommunikation der DCs untereinander).

 

Unklar ist mir:

• Wie ist der Patch nun einzuspielen?  (Im WSUS finde ich ihn nicht)
  • Muss man ihn manuell runterladen und dann auf allen DCs installieren?
  • Grundlegend dürfte es nach der Installation des Patches auf allen DCs keine Probleme geben?

 

bearbeitet 6. März 2023 von mcdaniels

[zahni 521]

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem.

Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center"  und nicht kdsSvc.

 

[v-rtc 81]

vor 2 Minuten schrieb zahni:

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem.

Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center"  und nicht kdsSvc.

 

Vielen Dank! Hatte ich mir auch schon gestellt 😂

[mcdaniels 22]

vor 9 Minuten schrieb zahni:

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem.

 

bedingt aber natürlich, dass der Patch erstmal eingespielt wird.

 

vor 9 Minuten schrieb zahni:

Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center"  und nicht kdsSvc.

Danke!

Nachsatz bzgl. des Patches: Es gab da doch für das KB5014754 ein out-of-band Update. Nehme an, dass dann dieses Update (manuell) einzuspielen ist?

bearbeitet 6. März 2023 von mcdaniels

[zahni 521]

vor 47 Minuten schrieb mcdaniels:

Nachsatz bzgl. des Patches: Es gab da doch für das KB5014754 ein out-of-band Update

Zitat "Vor dem Sicherheitsupdate vom 10. Mai 2022". Das sollte also schon längst drauf sein.

[mcdaniels 22]

vor 19 Minuten schrieb zahni:

Zitat "Vor dem Sicherheitsupdate vom 10. Mai 2022". Das sollte also schon längst drauf sein.

und sollte das Inhalt eines kumulativen Updates gewesen sein? (Weil die kumulativen Updates sind hier alle eingespielt)

 

 

bearbeitet 6. März 2023 von mcdaniels

[zahni 521]

Das ist drauf. Wir haben von einem Server so eine Meldung. K.A. was der Kollege da installiert hat.

[mcdaniels 22]

Gerade eben schrieb zahni:

Das ist drauf. Wir haben von einem Server so eine Meldung. K.A. was der Kollege da installiert hat.

...kann dir nicht folgen, was meinst du damit?

[zahni 521]

Das Update ist drauf, weil ich eine solche Meldung habe.

[mcdaniels 22]

vor einer Stunde schrieb zahni:

Das Update ist drauf, weil ich eine solche Meldung habe.

sorry für meine lange Leitung. Du hast das Update drauf, weil ihr  so eine Meldung habt, ok.

 

Aber wie komme ich zu diesem Update? Deshalb ja meine Frage, ob das ev. sogar  mit den kumulativen Updates mit installiert wird. Ich find es nicht im WSUS und -gerade geschaut-  auch nicht via MS Update Katalog.

 

Es ist wohl so:

Nutzt man kumulative Updates und hat das Sicherheitsupdate vom 10. Mai 22 nicht installiert, einfach das aktuelle kumulative Sicherheitsupdate für die DCs einspielen.

 

Wenn man allerdings immer alle kumulativen Sicherheitsupdates (auf den DCs) installiert hat und aktuell bei Patchstand 02/2023 ist, braucht man gar nix machen, denn dann ist der Patch&fix schon oben & wenn man dann auch noch keine Einträge im Eventlog der DCs hat, sollte ja auch nach dem 11.4.2023 (enforcement Mode) alles weiter laufen wie gewohnt.

 

bearbeitet 6. März 2023 von mcdaniels

[testperson 1.534]

Weil es mir eben über den Weg lief und ich im Hinterkopf hatte, dass es hier auch mal um KB5014754 ging. Das wurde "jetzt" auf Februar 2025 geschoben:

Zitat

UPDATED

• 6/30/23: Changed Full Enforcement Mode date from November 14, 2023 to February 11, 2025 (these dates were previously listed as May 19, 2023 to November 14, 2023).

KB5014754—Certificate-based authentication changes on Windows domain controllers - Microsoft Support

[Coldasice 12]

Am 5.7.2023 um 16:36 schrieb testperson:

Weil es mir eben über den Weg lief und ich im Hinterkopf hatte, dass es hier auch mal um KB5014754 ging. Das wurde "jetzt" auf Februar 2025 geschoben:

KB5014754—Certificate-based authentication changes on Windows domain controllers - Microsoft Support

 

Das betrifft aber nur Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2, richtig?

Wenn man einen Server 2003 im Einsatz hat, kann man sich an diesen nach wie vor am 10. Okt. nicht mehr per RDP anmelden oder auf das Filesystem zugreifen!?

 

Installiert man den Patch nicht auf einem DC, bleibt auch alles so, wie es ist?

bearbeitet 27. Juli 2023 von Coldasice