Unsichere LDAP-Bindungen vor März 2020 ermitteln

[English]Kleiner Lesetipp für Administratoren im Windows-Umfeld. Bis März 2020 müsst ihr dafür sorgen, dass Zugriffe auf Domain Controller nur noch über sicher LDAP-Bindungen erfolgen. Vier Befehle können helfen, wackelige Systeme zu identifizieren. Ergänzung: Von einem Blog-Leser habe ich noch ergänzende Informationen zum Thema LDAP-Bindungen im März 2020 erhalten. Weil es wohl Missverständnisse gibt, hat Microsoft einen eigenen Techcommunity-Artikel dazu veröffentlicht (Referenz inside).


Anzeige

Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Aber möglicherweise hat das nicht jeder Administrator mitbekommen. Zudem hat Microsoft mir einen Strich durch die Rechnung gemacht. Die angerührte Tinte, mit dem ich den Beitrag ins Internet gedruckt habe, war noch nicht trocken, da hat Microsoft den Termin von Januar auf März 2020 verschoben. Hatte ich dann als Nachtrag an den Artikel angefrickelt.

Microsoft hat in ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019).

Falls wer noch mit dieser Geschichte kämpfen sollte, Thorsten Enderlein weist in obigem Tweet auf einen Artikel hin, der vier Befehle zur Unterstützung verspricht, um Systeme mit unsicheren LDAP-Bindungen aufzuspüren.

Ergänzungen zum LDAP Channel Binding

Blog-Leser Tom B. hat mir per Mail noch eine Ergänzung geschickt und schreibt: Nach meiner Erfahrung gibt es diesbezüglich ein paar Missverständnisse. Denn Microsoft wird keine Änderungen zu den LDAP-Einstellungen machen, lediglich neue Ereignis für die Überwachung und Protokollierung einbringen sowie GPO ergänzen.

Microsoft hat dazu den Techcommunity-Artikel LDAP Channel Binding and LDAP Signing Requirements – March update default behavior veröffentlicht, der weitere Details enthält. Vielleicht hilft es jemandem.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Unsichere LDAP-Bindungen vor März 2020 ermitteln

  1. Tom sagt:

    Hinweis aus diesem Artikel
    https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536
    […]
    The March 2020 3B updates consist of the following on both new and existing domain controllers:
    • New audit events
    • Additional logging
    • A remapping of Group Policy values

    The March 2020 3B updates specifically DO NOT:
    Make any changes to the current LDAP signing or channel binding settings, default or otherwise, that apply to new or existing domain controllers.
    […]

  2. Robert Richter sagt:

    Was bedeutet dies für DCs, wenn noch 2008R2 (14.01. last patch day, da end-of-life) zum Einsatz kommt, die erst 'etwas später' gegen neuere DCs ausgetauscht werden? Gibt es da etwas zu beachten, wenn die Win 10 Clients die März Updates bekommen?

  3. Christof sagt:

    Hallo Günter

    Vielen Dank für diesen Beitrag. Wie verhält es sich mit den Windows Clients in der Domäne. Muss bei denen auch ein Patch eingespielt werden, oder "stellen" diese automatisch auf LDAPS um?

Schreibe einen Kommentar zu Robert Richter Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.