[English]Kleiner Lesetipp für Administratoren im Windows-Umfeld. Bis März 2020 müsst ihr dafür sorgen, dass Zugriffe auf Domain Controller nur noch über sicher LDAP-Bindungen erfolgen. Vier Befehle können helfen, wackelige Systeme zu identifizieren. Ergänzung: Von einem Blog-Leser habe ich noch ergänzende Informationen zum Thema LDAP-Bindungen im März 2020 erhalten. Weil es wohl Missverständnisse gibt, hat Microsoft einen eigenen Techcommunity-Artikel dazu veröffentlicht (Referenz inside).
Anzeige
Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Aber möglicherweise hat das nicht jeder Administrator mitbekommen. Zudem hat Microsoft mir einen Strich durch die Rechnung gemacht. Die angerührte Tinte, mit dem ich den Beitrag ins Internet gedruckt habe, war noch nicht trocken, da hat Microsoft den Termin von Januar auf März 2020 verschoben. Hatte ich dann als Nachtrag an den Artikel angefrickelt.
Microsoft hat in ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019).
Four commands to help you track down insecure LDAP Bindings before !!!! March 2020 – Evotec https://t.co/KJrThXscvU
— Thorsten Enderlein (@endi24) January 24, 2020
Falls wer noch mit dieser Geschichte kämpfen sollte, Thorsten Enderlein weist in obigem Tweet auf einen Artikel hin, der vier Befehle zur Unterstützung verspricht, um Systeme mit unsicheren LDAP-Bindungen aufzuspüren.
Anzeige
Ergänzungen zum
Blog-Leser Tom B. hat mir per Mail noch eine Ergänzung geschickt und schreibt: Nach meiner Erfahrung gibt es diesbezüglich ein paar Missverständnisse. Denn Microsoft wird keine Änderungen zu den LDAP-Einstellungen machen, lediglich neue Ereignis für die Überwachung und Protokollierung einbringen sowie GPO ergänzen.
Microsoft hat dazu den Techcommunity-Artikel LDAP Channel Binding and LDAP Signing Requirements – March update default behavior veröffentlicht, der weitere Details enthält. Vielleicht hilft es jemandem.
Anzeige
Hinweis aus diesem Artikel
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536
[…]
The March 2020 3B updates consist of the following on both new and existing domain controllers:
• New audit events
• Additional logging
• A remapping of Group Policy values
The March 2020 3B updates specifically DO NOT:
Make any changes to the current LDAP signing or channel binding settings, default or otherwise, that apply to new or existing domain controllers.
[…]
Was bedeutet dies für DCs, wenn noch 2008R2 (14.01. last patch day, da end-of-life) zum Einsatz kommt, die erst 'etwas später' gegen neuere DCs ausgetauscht werden? Gibt es da etwas zu beachten, wenn die Win 10 Clients die März Updates bekommen?
Gute Frage, das würde mich auch interessieren.
Hallo Günter
Vielen Dank für diesen Beitrag. Wie verhält es sich mit den Windows Clients in der Domäne. Muss bei denen auch ein Patch eingespielt werden, oder "stellen" diese automatisch auf LDAPS um?