Details zum Ereignis mit ID 39 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center

Ereignisquelle:	Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignis-ID:	39 (0x80000027)
Ereignisprotokoll:	System
Ereignistyp:	Warnung oder Fehler
Ereignistext (englisch):	The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more. User: %1 Certificate Subject: %2 Certificate Issuer: %3 Certificate Serial Number: %4 Certificate Thumbprint: %5
Ereignistext (deutsch):	Der Schlüsselverteilungscenter (KDC) hat ein gültiges Benutzerzertifikat gefunden, das jedoch keinem Benutzer auf sichere Weise zugeordnet werden konnte (z. B. über eine explizite Zuordnung, eine Schlüsselvertrauenszuordnung oder eine SID). Solche Zertifikate sollten entweder ersetzt oder dem Benutzer über eine explizite Zuordnung direkt zugeordnet werden. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925. Benutzer: %1 Zertifikatantragsteller: %2 Zertifikataussteller: %3 Zertifikatseriennummer: %4 Zertifikatfingerabdruck: %5

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

%1: AccountName (win:UnicodeString)
%2: Subject (win:UnicodeString)
%3: Issuer (win:UnicodeString)
%4: SerialNumber (win:UnicodeString)
%5: Thumbprint (win:UnicodeString)
%6: __binLength (win:UInt32)
%7: binary (win:Binary)

Beispiel-Ereignisse

The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). Such certificates should either be replaced or mapped directly to the user via explicit mapping. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more. 
  
   User: CLIENT3$ 
   Certificate Subject: @@@CN=CLIENT3.intra.adcslabor.de 
   Certificate Issuer: ADCS Labor Issuing CA 1 
   Certificate Serial Number: 730008133096D311F7A6CAA281000200081330 
   Certificate Thumbprint: 41AE3BFFB376CCBA37183AAE606E5D84ACB4F432

Beschreibung

Dieses Ereignis tritt auf, wenn eine Anmeldung mit einem Zertifikat abgelehnt wurde, da der Zertifikatinhalt nicht mehr als sicher eingestuft wurde. Typischerweise passiert dies in Unternehmensnetzwerken, wenn der Netzwerkrichtlinienserver (engl. Network Policy Server, NPS), ein IIS Webserver, der zertifikatbasierte Anmeldungen verarbeitet, oder auch Smartcard Anmeldungen verwendet werden.

Microsoft hat mit dem Patch vom 10. Mai 2022 eine Veränderung an der Verarbeitung Zertifikatbasierter Anmeldungen gegen das Active Directory eingeführt.

Diese umfasst unter anderem:

Die Zertifizierungsstelle trägt eine neue Zertifikaterweiterung in ausgestellte Zertifikate ein, welche den Security Identifier (objectSid) des entsprechenden Kontos beinhaltet.
Domänencontroller erwarten die neue Zertifikaterweiterung in ausgestellten Zertifikaten, befinden sich aber bis zum 09. Mai 2023 in einem Kompatibilitätsmodus.
Die SChannel Bibliothek wendet nur noch bestimmte, als "sicher" eingestufte Methoden an, um Identitäten aus Zertifikaten zurück auf Active Directory Identitäten zu mappen.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Für dieses Ereignis sollte auf alle Fälle eine Alarmierung ausgelöst werden, da im Falle einer Protokollierung Zertifikate nicht akzeptiert werden. Dies kann auf einen Angriff, aber auch auf eine Fehlkonfiguration mit Auswirkung auf die Verfügbarkeit hinweisen.

Weiterführende Links:

Externe Quellen

KB5014754—Certificate-based authentication changes on Windows domain controllers (Microsoft Corporation)