Kerberos PAC Validation

Schrittweise Erzwingung der PAC-Signaturvalidierung für Kerberos-Tickets. Registry-Key zum Deaktivieren seit Oktober 2023 entfernt.

HochErzwungenKerberos

Phasen-Verlauf

8. November 2022
Phase 1 — Audit-Modus

PAC-Signaturvalidierung im Audit-Modus eingeführt. Neue PAC-Attribute und Requestor-Signaturen hinzugefügt.

13. Dezember 2022
Phase 2 — Zusätzliche Härtung

Weitere Härtungsmaßnahmen für PAC-Signaturen.

11. April 2023
Phase 3 — Enforcement standardmäßig

Enforcement-Modus standardmäßig aktiviert. Kann nicht niedriger als Enforcement gesetzt werden.

10. Oktober 2023
Phase 4 — Vollständige ErzwingungErzwungen

Registry-Subkey zum Deaktivieren entfernt. Vollständige Erzwingung ohne Opt-out.

Betroffene Systeme

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11

Betroffene Features

  • Kerberos-Authentifizierung
  • PAC-Validierung
  • Domänencontroller

Was passiert ohne Maßnahme

Drittanbieter-Kerberos-Implementierungen (älteres Samba, MIT Kerberos) ohne PAC-Signatur-Unterstützung scheitern bei der Authentifizierung. Ungepatchte DCs bleiben anfällig für Privilege-Escalation.

Empfohlene Maßnahme

Sicherstellen, dass alle Domänencontroller und Mitgliedsserver den Patch KB5020805 installiert haben. Drittanbieter-Kerberos-Implementierungen auf PAC-Signatur-Kompatibilität prüfen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\KDC
KrbtgtFullPacSignature

Event-IDs zur Überwachung

42
Microsoft-Windows-Kerberos-Key-Distribution-Center

KDC verfügt nicht über starke Schlüssel für das krbtgt-Konto

Referenzen

Zurück zur Security Timeline