Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller

[English]Noch ein kurzer Informationssplitter an Administratoren von Domain Controllern im Windows Server-Umfeld. Ab Januar 2020 fordert Microsoft das Verbindungen zu diesen Domain-Controllern über sichere Verbindungen erfolgen.


Anzeige

Blog-Leser Michael F. hat mich zum Wochenende auf diesen Sachverhalt hingewiesen (danke dafür). Eigentlich sollten betroffene Administratoren das wissen, Michael schreibt aber:

einige meiner Domain Admins haben auf folgende Artikel etwas überrascht reagiert und meinten: ja das wissen wir schon, aber auch erst seit kurzem.

Michael hat mir noch die folgenden Artikel verlinkt und gefragt, ob man das nicht in einen Blog-Beitrag fassen könne, um andere Domain Admins nochmals darauf hinzuweisen – was hiermit getan wurde. Microsoft hat in ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019). Nachtrag: Scheint bis März 2020 verschoben worden zu sein.

Links:
Microsoft erzwingt ab Januar sichere Verbindungen zum Domain Controller
2020 LDAP channel binding and LDAP signing requirement for Windows
LDAP Security: LdapEnforceChannelBinding


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller

  1. JohnRipper sagt:

    Es kommt im März nicht Januar:

    In the Recommended Actions section, updated the opening sentence to indicate that the Windows update will be available in March 2020.

  2. JohnRipper sagt:

    Abgesehen davon: Richtig ist es ja und eigentlich schon lange notwendig. Trotzdem gibt es bestimmt genug Alt-Konfigurationen wo jemand ein System was nicht aus dem Hause MS kommt an einen DC gefrickelt hat. Ich erinnere mich an meine frühen Versionen von owncloud heute Nextcloud, die unverschlüsselt mit dem DC kommuniziert haben. War auch vollkommen ok.
    Im Zuge von diversen Updates wurde das auf LDAPs umgestellt (was ein gefrickel) aber ich will nicht wissen wieviele das nicht getan haben.
    Und so gibt es bestimmt diverse Anwendungen.
    Naja egal, ich bin das Problem los.

    Und Verbindungen zwischen dem DC sowie Domain Members sind eh schon lange verschlüsselt.

  3. Marco sagt:

    Der Titel suggeriert implizit, dass nur noch LDAP Verbindungen via SSL/TLS mögilch sind. Abfragen ohne SSL/TLS via TCP 389 sind weiterhin möglich.

    https://social.technet.microsoft.com/Forums/en-US/43ee59fb-5937-4c7d-b5fe-d158bf7040ab/after-enable-ldapenforcechannelbinding-still-can-do-simple-bind-via-ldpexe

    Betroffen sind nach meinem Verständnis somit Systeme/Software, welche via SSL/TLS LDAP Verbindung auf das AD zugreifen (z.B. via SSL TCP 636), und keine "Channel Binding" Informationen unterstützen.

    Gruss Marco

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.