KB5014754 — Certificate Strong Mapping
Zertifikatsbasierte Authentifizierung gegen Active Directory erfordert Strong Mapping. Zertifikate ohne SID-Extension werden seit Februar 2025 abgelehnt.
Phasen-Verlauf
KB5014754 eingeführt. Strong-Mapping-Unterstützung hinzugefügt. Schwache Mappings funktionieren weiterhin. Audit-Events (ID 39, 40, 41) protokolliert.
Ursprünglich geplanter Enforcement-Termin. Microsoft verschiebt wegen mangelnder Vorbereitung.
Full Enforcement Mode aktiviert. Zertifikate ohne SID-Extension (OID 1.3.6.1.4.1.311.25.2) oder explizites AD-Mapping werden abgelehnt.
StrongCertificateBindingEnforcement Registry-Key wird ignoriert. Kein Zurückfallen in den Kompatibilitätsmodus mehr möglich.
Betroffene Systeme
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Betroffene Features
- Zertifikatsbasierte Authentifizierung
- Smart-Card-Anmeldung
- 802.1X
- AD CS
Was passiert ohne Maßnahme
Smart-Card-Anmeldung schlägt fehl für Zertifikate ohne SID-Extension. 802.1X-Netzwerkauthentifizierung und VPN-Lösungen mit Zertifikats-Auth gegen AD funktionieren nicht mehr. Alle Zertifikate müssen von aktualisierten CA-Templates neu ausgestellt werden.
Empfohlene Maßnahme
Alle Zertifikate von aktualisierten CA-Templates neu ausstellen. SID-Extension (OID 1.3.6.1.4.1.311.25.2) muss enthalten sein. Event-IDs 39, 40, 41 prüfen.
Registry-Schlüssel
Event-IDs zur Überwachung
Zertifikat konnte nicht stark einem Benutzer zugeordnet werden
Zertifikat wurde schwach zugeordnet, aber im Kompatibilitätsmodus erlaubt
SID im Zertifikat stimmt nicht mit der SID des Benutzers überein