Kompatibilität der Zyxel Firewall-Authentifizierung mit Windows Server 2025

Mit den bevorstehenden Änderungen, die in Microsoft Windows Server 2025 eingeführt werden, wurde die Unterstützung der NTLM-Authentifizierung zugunsten modernerer und sicherer Authentifizierungsprotokolle veraltet. Infolgedessen kann es bei Authentifizierungsmethoden, die auf MSCHAPv2 beruhen, wie z. B. in Active Directory (AD) und RADIUS-Umgebungen, zu Kompatibilitätsproblemen kommen, wenn sie mit Zyxel Firewall Appliances mit aktuellen Firmware-Versionen zusammenarbeiten.

Hinweis: Ab April 2025 unterstützt Windows Server 2025 weiterhin MS-CHAPv2 für die Authentifizierung.
Es ist jedoch zu beachten, dass Windows Defender Credential Guard, das in Windows Server 2025 standardmäßig aktiviert ist, MS-CHAPv2-basierte Authentifizierungsmethoden wie PEAP-MSCHAPv2 und EAP-MSCHAPv2 stören kann.
Diese Störung kann zu Authentifizierungsfehlern in Szenarien wie Active Directory (AD)-Authentifizierung auf Ihrer Zyxel Firewall und RADIUS-Server-Authentifizierung führen.

Wenn Sie Ihre Zyxel Firewall mit Windows Server 2025 Active Directory unter Verwendung von LDAPS (TCP-Port 636) auf ZLD 5.40 oder uOS 1.32 integrieren möchten, lesen Sie bitte diesen speziellen Artikel:
👉 Zyxel Firewall - Windows Server 2025 Active Directory und Zyxel Firewall ZLD 5.40/uOS 1.32

Hinweis: Dieser Artikel befasst sich mit Kompatibilitätsproblemen bei der Authentifizierung (z. B. MS-CHAPv2, NTLM-Abkündigung) mit Windows Server 2025. Wenn Sie nach Schritten zur AD-Integration unter Verwendung von LDAPS suchen, lesen Sie bitte den verlinkten Artikel am Ende des Artikels.

Beobachtetes Verhalten

Beim Versuch, Benutzer über AD oder NPS (Network Policy Server) mit MSCHAPv2 zu authentifizieren, erhalten Zyxel Firewalls möglicherweise keine gültige Antwort, was zu fehlgeschlagenen Authentifizierungsversuchen führt. Dieses Verhalten ist auf die Entfernung der NTLM-Unterstützung in Windows Server 2025 zurückzuführen, die eine erforderliche Komponente für die Funktion von MSCHAPv2 ist.

Die empfohlene Lösung von Zyxel

Um eine kontinuierliche und ununterbrochene Benutzerauthentifizierung zu gewährleisten, empfiehlt Zyxel die folgende Umgehungslösung, bis die vollständige Kompatibilität hergestellt ist:

• Erstellen Sie lokale Benutzerkonten auf der Zyxel-Firewall für die Authentifizierung.
• Auf diese Weise wird die Abhängigkeit von NTLM umgangen und ein reibungsloser Anmeldevorgang für die Benutzer gewährleistet, während die Netzwerksicherheit erhalten bleibt.

Workaround-Lösung (mit Vorsicht zu genießen)

Abhilfemaßnahme 1: Aktivieren von SSL (LDAPS) auf der Zyxel Firewall

Der Kern dieses Workarounds ist die Verwendung von LDAP über SSL, das mit den neuen Sicherheitsrichtlinien von Microsoft übereinstimmt und das alte NTLM-Protokoll ersetzt.

Konfigurations-Schritte:

1. Melden Sie sich bei der Zyxel Firewall-Schnittstelle an und navigieren Sie zu:
   Authentifizierung > Server-Einstellungen > Erweiterte Einstellungen
2. Aktivieren Sie die Option SSL.

Stellen Sie sicher, dass:

• Der Domain-Controller verfügt über ein gültiges SSL-Zertifikat.
• Dieses Zertifikat ist im Speicher der vertrauenswürdigen Stammzertifizierungsstellen (Trusted Root Certification Authorities) auf der Firewall installiert.

Risiken und Beschränkungen:

• Ohne ein ordnungsgemäß installiertes und vertrauenswürdiges Zertifikat ist die Firewall nicht in der Lage, über LDAPS eine Verbindung mit dem AD-Server herzustellen.
• Manuelle Zertifikatsverwaltung ist erforderlich: Export, Import und Überprüfung der Vertrauenskette.

Abhilfemaßnahme 2: Lockerung der Sicherheitsrichtlinie auf Windows Server 2025

Der zweite Ansatz besteht darin, die Gruppenrichtlinie auf dem Domänencontroller so zu ändern, dass unsicheres Verhalten standardmäßig zugelassen wird. Dadurch kann die Zyxel Firewall eine Verbindung über standardmäßiges (nicht sicheres) LDAP herstellen.

Schritte:

1. Führen Sie gpedit.msc auf dem Windows Server 2025-Domänencontroller aus.
2. Navigieren Sie zu:
   Editor für lokale Gruppenrichtlinien → Computerkonfiguration → Windows-Einstellungen →.
   Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
   Domänencontroller: LDAP-Server-Signaturanforderungen
3. Ändern Sie die Einstellung "Durchsetzung" auf "Deaktiviert".

Was dies bewirkt:

• Ermöglicht es dem Domänencontroller, auf einfache (nicht verschlüsselte) LDAP-Anfragen von Clients wie Zyxel Firewall zu antworten.
• Die Anforderung, LDAPS zu verwenden, wird umgangen.

Risiken:

• Kennwörter und andere sensible Daten werden unverschlüsselt übertragen, was besonders in ungesicherten oder öffentlichen Netzwerken gefährlich ist.
• Eröffnet eine potenzielle Anfälligkeit für Man-in-the-Middle-Angriffe.
• Verstößt gegen die von Microsoft empfohlenen Sicherheitsrichtlinien und kann Warnmeldungen in Überwachungssystemen auslösen.

Schlussfolgerung:

Dies ist eine schnelle Umgehung, die jedoch die Sicherheit erheblich einschränkt. Verwenden Sie sie nur in eingeschränkten, isolierten Umgebungen und stellen Sie sie wieder ein, sobald eine offizielle Lösung verfügbar ist.

Ein Blick in die Zukunft

Bei Zyxel arbeiten wir aktiv daran, dass unsere Lösungen mit den Veränderungen in der Branche Schritt halten. Unsere Teams verfolgen die Entwicklungen von Microsoft mit Windows Server 2025 sehr genau, und wir prüfen bereits Integrationsmöglichkeiten zur Unterstützung der damit eingeführten erweiterten Sicherheitsprotokolle.

Die aktuellen Firmware-Versionen unterstützen zwar noch nicht die aktualisierten Authentifizierungsmethoden, aber seien Sie versichert, dass dies auf unserer Entwicklungs-Roadmap hohe Priorität hat. Unsere Ingenieure sind bestrebt, unseren Kunden ein nahtloses Erlebnis zu bieten, und die Unterstützung für die Windows Server 2025-Authentifizierung wird derzeit aktiv geprüft.

Vielen Dank für Ihr anhaltendes Vertrauen in Zyxel. Gemeinsam bauen wir an einer sicheren und widerstandsfähigen Zukunft.

Wir bedanken uns für Ihr Verständnis und empfehlen Ihnen, mit unserer Zyxel Community und dem Support Portal in Verbindung zu bleiben, um die neuesten Nachrichten und Anleitungen zu erhalten.