Die folgenden Informationen richten sich v.a. an IT-Verantwortliche der Institute und technisch interessierte Leser.

Mit der neuen Windows-Version 22H2 aktiviert Microsoft den sog. Credential Guard. Dieser Umstand führt dazu, dass kabelgebundene Verbindungen mit Benutzerauthentifizierung mit Webpass (Network Access Control kurz NAC) auf den Netzwerk-Switchen keine Authentifizierung mehr zulassen. Somit können sich Enduser nicht mehr ins Netzwerk einwählen. Wie weiter unten beschrieben, hat die ZI das Problem auf den Geräten in ihrem Einflussbereich entschärft, somit bleiben die Auswirkungen vorerst theoretischer Natur. In einer grossen und dezentralen Organisation kann die Problematik dennoch auftauchen und deshalb möchten wir die Details etwas genauer beleuchten:

Die Änderung ist grundsätzlich bekannt und im folgenden Artikel unter “Single sign-on for Network services breaks after upgrading to Windows 11, version 22H2” aufgeführt:

Considerations and known issues when using Credential Guard – Windows Security | Microsoft Learn

In diesem Artikel ist auch Cisco ISE (Identity Service Engine), wie sie bei der UZH eingesetzt wird, explizit erwähnt. Cisco ISE dient der zentralisierten Zugriffssteuerung auf das UZH-Netzwerk.

Wichtig zu wissen:

• Im Augenblick gibt es innerhalb der UZH nur die Möglichkeit, das Problem zu beheben bzw. zu umgehen, in dem der Credential Guard über eine Gruppenrichtlinie deaktiviert wir. Dies kann über folgende GPO (Group Policy) erreicht werden:

“Computer Configuration\Administrative Templates\System\Device Guard” -> “Turn On Virtualization Based Security”. Wert “Disabled”

• In der Windows Group Policies, die von der Zentralen Informatik für alle Institute zur Verfügung steht, ist dies so umgesetzt und deaktiviert
• Versionen bis und mit 21H2 bei der Windows Enterprise/Education-Variante sind nicht betroffen
• Der WiFi-Verbindungen sind nicht betroffen und sollten nach Möglichkeit generell als Zugang verwendet werden, wenn die Vor-Ort-Tätigkeit dies zulässt und der Standort mit guter WLAN-Abdeckung ausgestattet ist
• Aus Sicht IT-Sicherheit ist die Deaktivierung zur Zeit zugelassen, die Zentrale Informatik prüft die Möglichkeiten und erarbeitet eine Vorgehensweise damit das Feature aktiviert werden kann

Vor diesem Hintergrund zeigt sich: Generell müssen bei Upgrades von Betriebssystemen und Treibern, die von den Instituten und der ZI an der UZH eingesetzt werden, alle Funktionen im Zusammenhang mit Network Access Control (NAC) von den IT-Verantwortlichen überprüft und getestet werden bevor ein Massen-Rollout auf die Geräte der Endbenutzer erfolgt.