PacSignatureValidationLevel CrossDomainFilteringLevel

PacSignatureValidationLevel CrossDomainFilteringLevel

Windows Server 2025

Abschaltung des Kerberos PAC Validation Protocols?

Es ist falsch wenn Blogs berichten “Microsoft plant eine dreistufige Abschaltung des Kerberos PAC Validation Protocols”. Es geht um die Methoden PacSignatureValidationLevel CrossDomainFilteringLevel.

Detaillierte Erklärung was das Protocol umfasst.

Das Kerberos PAC Validation Protocols bezieht sich auf die Mechanismen und Protokolle, die verwendet werden, um die Gültigkeit und Authentizität von Privileged Attribute Certificates (PACs) innerhalb des Kerberos-Authentifizierungsprozesses zu überprüfen. PACs sind Datenstrukturen, die sicherheitsrelevante Informationen über den Benutzer enthalten, wie Gruppenmitgliedschaften, Benutzerrechte und andere autorisierungsbezogene Informationen.

Das Kerberos PAC Validation Protocol ist ein Sicherheitsprotokoll.”

PacSignatureValidationLevel CrossDomainFilteringLevel

PacSignatureValidationLevel CrossDomainFilteringLevel

Es gibt lediglich Änderungen an den genannten Levels und eine Erzwingung des sicheren Verhaltens.

Der Wert PacSignatureValidationLevel bezieht sich auf eine Einstellung in Active Directory (AD) und Kerberos-Authentifizierung, die die Validierung von Privileged Attribute Certificates (PACs) betrifft. Ein PAC enthält sicherheitsrelevante Informationen über den Benutzer, wie Gruppenmitgliedschaften und Berechtigungen, und wird in der Kerberos-Ticket-Antwort von einem Domänencontroller an den Client übermittelt.

PacSignatureValidationLevel

Mit dem Parameter PacSignatureValidationLevel wird gesteuert, wie die Signatur eines PAC validiert wird, um sicherzustellen, dass es nicht manipuliert wurde. Diese Einstellung kann verwendet werden, um das Verhalten von Kerberos PAC-Signaturen anzupassen und zu entscheiden, wie streng die Überprüfung dieser Signaturen durch Windows-Kerberos-Clients und -Server durchgeführt werden soll.

Die Werte für den Parameter können typischerweise folgende sein:

  • 0 (keine Validierung): Die PAC-Signatur wird nicht validiert. Dies kann eine potenziell unsichere Konfiguration sein, da es bedeutet, dass die Authentifizierung und Berechtigungen nicht vollständig verifiziert werden.
  • 1 (optionale Validierung): Die PAC-Signatur wird validiert, aber wenn die Validierung fehlschlägt, wird sie trotzdem akzeptiert. Diese Einstellung bietet einen Mittelweg zwischen Sicherheit und Kompatibilität.
  • 2 (erzwungene Validierung): Die PAC-Signatur muss validiert werden, und bei einem Validierungsfehler wird die Authentifizierung abgelehnt. Dies ist die sicherste Einstellung, erfordert aber, dass alle Systeme korrekt konfiguriert sind, um PAC-Signaturen zu verifizieren.

Diese Einstellung ist insbesondere bei der Härtung von Umgebungen oder bei der Anpassung an Legacy-Systeme von Bedeutung, um sicherzustellen, dass PAC-Informationen korrekt und sicher verarbeitet werden.

CrossDomainFilteringLevel

CrossDomainFilteringLevel bezieht sich auf eine Sicherheitsmaßnahme, die häufig in Webbrowsern, insbesondere dem Internet Explorer (IE), verwendet wurde. Sie legt fest, wie der Browser mit Anfragen umgeht, die von einer Domain an eine andere gesendet werden, und soll potenzielle Sicherheitsrisiken wie Cross-Site-Scripting (XSS) oder Cross-Site Request Forgery (CSRF) verhindern.

Bedeutung der CrossDomainFilteringLevel-Einstellungen:

Es gibt unterschiedliche Sicherheitsstufen, die bestimmen, wie strikt der Browser bei der Filterung von Anfragen vorgeht, die von einer Domain zu einer anderen gesendet werden.

  1. Niedrig (Permissiv):
    • Erlaubt die meisten Anfragen zwischen verschiedenen Domains.
    • Weniger sicher, bietet aber mehr Flexibilität, wenn Webanwendungen auf Inhalte von verschiedenen Domains zugreifen müssen.
  2. Mittel (Ausgewogen):
    • Blockiert einige Anfragen zwischen Domains, während andere zugelassen werden.
    • Versucht, ein Gleichgewicht zwischen Sicherheit und Funktionalität herzustellen.
  3. Hoch (Strikt):
    • Blockiert die meisten oder sogar alle Anfragen zwischen Domains.
    • Dies ist die sicherste Option, kann aber die Funktionalität von Webanwendungen erheblich einschränken, die auf Ressourcen von verschiedenen Domains angewiesen sind (z. B. Bilder, Skripte, APIs).

Kontext und Anwendung:

  • Diese Funktion war im Internet Explorer relevant, um böswillige Inhalte daran zu hindern, auf sensible Informationen von anderen Domains zuzugreifen. Besonders in der Zeit, als der IE einer der meistgenutzten Browser war, war dies eine wichtige Sicherheitsmaßnahme.
  • Webentwickler konnten Mechanismen wie XDomainRequest verwenden, um sicher mit Daten von anderen Domains zu kommunizieren. Die CrossDomainFilteringLevel-Einstellungen mussten oft konfiguriert werden, um ein optimales Gleichgewicht zwischen Sicherheit und Funktionalität zu gewährleisten.

Weitere Informationen zum Thema findet ihr bei Microsoft

Abschaltung des Kerberos PAC Validation Protocols?