PAC Signature Validation 2024
Zusätzliche PAC-Signaturvalidierung für Kerberos ab April 2024, vollständig erzwungen seit April 2025.
HochErzwungenKerberos
Phasen-Verlauf
9. April 2024
Kompatibilitätsmodus
Zusätzliche PAC-Validierung eingeführt. Kompatibilitätsmodus erlaubt schwache Validierung.
14. Januar 2025
Enforcement-Modus
Enforcement-Modus standardmäßig aktiviert.
April 2025
Vollständige ErzwingungErzwungen
Vollständige Erzwingung der neuen PAC-Signaturvalidierung.
Betroffene Systeme
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
- Windows 10
- Windows 11
Betroffene Features
- Kerberos-Authentifizierung
- PAC-Validierung
Was passiert ohne Maßnahme
Cross-Domain-Authentifizierung mit Nicht-Windows-KDCs kann fehlschlagen. Sowohl DCs als auch alle Mitgliedsserver müssen gepatcht sein — teilweise Bereitstellung unterbricht die Authentifizierung.
Empfohlene Maßnahme
KB5037754 auf allen Domänencontrollern und Mitgliedsservern installieren. Kompatibilitätsprobleme mit Drittanbieter-KDCs vor Enforcement prüfen.
Registry-Schlüssel
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
PacSignatureValidationLevel
CrossDomainFilteringLevel