Windows Server: LDAP-Bindungen auf DCs finden

Publiziert am 29. März 2020 von Günter Born

[English]Noch ein kleiner Infosplitter zum Thema LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows. Wie kann man auf einem Windows Server Domain Controller LDAP-Bindungen finden?

Anzeige

Worum geht es beim LDAP Channel Binding

Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) veröffentlicht.

LDAP-Kanalbindung und LDAP-Signierung bieten Möglichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Auf Active Directory-Domänencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients ermöglichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch können Active Directory-Domänencontroller zur Erhöhung von Berechtigungsschwachstellen geöffnet werden.

Daher wollte Microsoft dieses Problem lösen und  einen neuen Satz sicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern vorgeben, der die ursprüngliche unsichere Konfiguration ersetzt. Angedacht war erst Januar 2020, dann März 2020 und aktuell gilt nebulös '2. Hälfte 2020' (siehe LDAP Channel Binding: Änderung auf die 2. Hälfte 2020) – wobei ich mir nicht sicher bin, wie die Coronavirus-Krise das noch beeinflusst.

Unsichere LDAP-Bindungen finden

Administratoren können sich aber im Vorfeld damit befassen und unsichere LDAP-Bindungen in ihrem Netzwerk ermitteln. Ich hatte bereits von einiger Zeit im Unsichere LDAP-Bindungen vor März 2020 ermitteln Hinweise auf Artikel gegeben, die zeigen, wie man vorgehen könnte.

In obigem Tweet weist Thorsten E. auf eine weitere Fundstelle hin, wo sich jemand mit der Frage befasst, wie sich unsichere LDAP-Verbindungen ermitteln lassen. Der deutschsprachige Beitrag von Alexander Köhler lässt sich hier abrufen.

Ähnliche Artikel:
Microsoft Security Advisories 17. Dez. 2019
Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller
LDAP Channel Binding: Änderung auf die 2. Hälfte 2020 verschoben
Unsichere LDAP-Bindungen vor März 2020 ermitteln
Sophos SafeGuard Enterprise und LDAP Channel Binding
Neues von Microsoft zu LDAP Channel Binding and LDAP Signing
Sophos SafeGuard Enterprise und LDAP Channel Binding
LDAP Channel Binding: Änderung auf die 2. Hälfte 2020

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Windows Server abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.