LDAP Channel Binding: Änderung auf die 2. Hälfte 2020 verschoben

Publiziert am 5. Februar 2020 von Günter Born

[English]Kleine Informationen für Administratoren im Windows-Umfeld. Die für 2020 geplanten Änderungen beim Zugriff auf Domain Controller über sichere LDAP-Bindungen soll wohl in der '2. Hälfte 2020' per Update kommen. Hier nochmals ein wenig sortiert. Ergänzung: Hinweise zu Sophos SafeGuard Enterprise nachgetragen.

Anzeige

Worum geht es beim LDAP Channel Binding

Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) veröffentlicht.

LDAP-Kanalbindung und LDAP-Signierung bieten Möglichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Auf Active Directory-Domänencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients ermöglichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch können Active Directory-Domänencontroller zur Erhöhung von Berechtigungsschwachstellen geöffnet werden.

Daher wollte Microsoft dieses Problem lösen und  einen neuen Satz sicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern vorgeben, der die ursprüngliche unsichere Konfiguration ersetzt.

Der Fahrplan ändert sich ständig

Ich hatte auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019. Von Blog-Lesern wurde ich um Weihnachten 2019 darauf hingewiesen, dass erste Änderungen bereits im Januar 2020 wirksam würden. Ich hatte das im Blog-Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller angesprochen.

Allerdings hat Microsoft uns da jeweils rechts überholt. Die Beiträge waren kaum erschienen, als Microsoft den Termin von Januar auf März 2020 verschoben hat. Bereits zum Beitrag Unsichere LDAP-Bindungen vor März 2020 ermitteln gab es den Hinweis, dass es eine Reihe Missverständnisse gebe und Microsoft zu diesem Datum nicht wirklich was ändere. Die betreffende Textstelle in ADV190023 liest sich so:

Windows Updates in March 2020 add new audit events, additional logging, and a remapping of Group Policy values that will enable hardening LDAP Channel Binding and LDAP Signing. The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.

Updates werden im März 2020 neue Audit-Events und Logging-Möglichkeiten bereitstellen, um LDAP Channel Binding und LDAP Signing zu härten. Aber mit den Updates im März 2020 ändert sich nichts an den Channel Binding-Richtlinien.

Ab 2. Hälfte 2020 kommt aber die Änderung

Die Nacht habe ich den nachfolgenden Tweet von Woody Leonhard gesehen, in dem dieser auf eine 'weitere Verschiebung' der LDAP Channel Binding- und LDAP Signing-Geschichte hinweist.

Ich habe mir nie eine Kopie des Beitrags ADV190023 gemacht. Aber nach der Lesart von Woody Leonhard hat Microsoft erst am 4. Februar 2020 die obige Klarstellung, dass das März 2020-Update nichts an der LDAP Channel Binding und LDAP Signing selbst ändert, zum Beitrag hinzugefügt. Egal, wie das auch immer sei. Für euch ist relevant, dass ihr mit dem März 2020-Update beginnen könnt, die Einstellungen für LDAP Channel Binding und LDAP Signing zu überprüfen und ggf. zu ändern. In den nachfolgenden Beiträgen hatte ich sogar einen Hinweis auf Möglichkeiten zur Überprüfung gegeben. Sollte man tun, denn der springende Satz Microsofts lautet:

Anzeige

A further future monthly update, anticipated for release the second half of calendar year 2020, will enable LDAP signing and channel binding on domain controllers configured with default values for those settings.

Irgendwann kommt im 2. Halbjahr 2020 ein Update, welches das LDAP Channel Binding und LDAP Signing an Domain Controller auf Basis der Default-Vorgaben umsetzt. Bis dahin sollten Administratoren also ihre Konfiguration angepasst haben.

Nachtrag: Falls jemand SafeGuard Enterprise von Sophos nutzt, lest euch den Community-Artikel (oder meinen Artikel Sophos SafeGuard Enterprise und LDAP Channel Binding) durch. Dieser enthält Hinweise, was bei Eintreffen des Patches eventuell zu beachten ist.

Ähnliche Artikel:
Microsoft Security Advisories 17. Dez. 2019
Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller
Unsichere LDAP-Bindungen vor März 2020 ermitteln

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu LDAP Channel Binding: Änderung auf die 2. Hälfte 2020 verschoben

  1. Jörn Walter sagt:
    5. Februar 2020 um 08:45 Uhr

    Ich gehe davon aus, das die meisten Admins eh schon "Secure" unterwegs sind, und sie die Erzwingung von Binding & Signing nicht interessiert. Jeder Admin der seine Verantwortung kennt übt diese doch auch aus, oder? Somit dürfte es keine unsicheren Verbindungen geben.

    Antworten
    • Günter Born sagt:
      5. Februar 2020 um 09:49 Uhr

      Hab grade noch eine Rückmeldung eines IT-Dienstleisters bekommen 'oh prima, kann ich andere Sachen bei Kunden vorziehen …'

      Antworten
    • LotharV sagt:
      5. Februar 2020 um 11:07 Uhr

      Ganz so einfach ist es eben nicht, auch wenn Microsoft meint, dass es auf diesem Planeten nur sie gibt. Leider gibt es jede Menge andere Software die nur auf LDAP (Port 389) ausgelegt sind und von "Secure" keine Ahnung haben. Diese Software lässt sich nicht einfach umswitchen, sondern muss neu programmiert werden, und das geht halt nicht in 4 Wochen.

      Für die es interessiert hier einige Info's dazu:
      https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536/page/3#comments

      Antworten
    • Martin sagt:
      5. Februar 2020 um 11:09 Uhr

      Aktuelle Windows-Server und -Clients werden da keine Probleme haben, da stimme ich zu.

      Das Problem sind eher Add-On Produkte, die per LDAP Daten abfragen und die dann evtl. nicht mit der verschlüsselten Abfrage klar kommen.

      Da wird in Unternehmen mit Sicherheit noch was an solchen alten Anwendungen am Laufen sein. Oder Eigenentwicklungen, die einfach laufen und die keiner mehr so richtig warten kann.

      Ich werde bei uns auch noch das Logging aktivieren und dann mal nach ein paar Tagen auswerten, was da so an Abfragen eingeht. Bei zwei, drei Produkten bin ich mir nicht so sicher, ob es noch klappen wird.

      Antworten
    • Dietmar sagt:
      5. Februar 2020 um 11:37 Uhr

      Ich kenne Umgebungen wo man diese Sicherheitsmaßnahme nicht umsetzen wird, da noch ältere Geräte, die das nicht unterstützen, einsetzt bzw. einsetzen muß! (Scanner/Drucker).

      Antworten

Schreibe einen Kommentar zu Dietmar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.