Kerberos NTAuth Store Enforcement

Zertifikatsbasierte Kerberos-Authentifizierung erfordert, dass die ausstellende CA im NTAuth-Store registriert ist.

HochErzwungenKerberos

Phasen-Verlauf

8. April 2025
Audit-Phase

NTAuth-Prüfung eingeführt. AllowNtAuthPolicyBypass=1 als Standard.

Juli 2025
Enforcement standardmäßig

NTAuth-Store-Prüfung erzwungen. AllowNtAuthPolicyBypass=2.

14. Oktober 2025
Vollständige ErzwingungErzwungen

Registry-Key AllowNtAuthPolicyBypass entfernt.

Betroffene Systeme

  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Betroffene Features

  • Zertifikatsbasierte Authentifizierung
  • Kerberos
  • Smart-Card
  • Windows Hello for Business

Was passiert ohne Maßnahme

Zertifikate von CAs ohne NTAuth-Store-Eintrag werden für Kerberos-Anmeldung abgelehnt. Windows Hello for Business kann betroffen sein.

Empfohlene Maßnahme

Sicherstellen, dass alle CAs für zertifikatsbasierte Anmeldung im NTAuth-Store registriert sind.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\Kdc
AllowNtAuthPolicyBypass

Event-IDs zur Überwachung

45
Microsoft-Windows-Kerberos-Key-Distribution-Center

Unsicheres Zertifikat erkannt (Audit)

21
Microsoft-Windows-Kerberos-Key-Distribution-Center

Anmeldung mit nicht-konformem Zertifikat abgelehnt

Referenzen

Zurück zur Security Timeline