[English]Noch ein kleiner Infosplitter zum Thema LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows. Wie kann man auf einem Windows Server Domain Controller LDAP-Bindungen finden?
Anzeige
Worum geht es beim LDAP Channel Binding
Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) veröffentlicht.
LDAP-Kanalbindung und LDAP-Signierung bieten Möglichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Auf Active Directory-Domänencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients ermöglichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch können Active Directory-Domänencontroller zur Erhöhung von Berechtigungsschwachstellen geöffnet werden.
Daher wollte Microsoft dieses Problem lösen und einen neuen Satz sicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern vorgeben, der die ursprüngliche unsichere Konfiguration ersetzt. Angedacht war erst Januar 2020, dann März 2020 und aktuell gilt nebulös '2. Hälfte 2020' (siehe LDAP Channel Binding: Änderung auf die 2. Hälfte 2020) – wobei ich mir nicht sicher bin, wie die Coronavirus-Krise das noch beeinflusst.
Unsichere LDAP-Bindungen finden
Administratoren können sich aber im Vorfeld damit befassen und unsichere LDAP-Bindungen in ihrem Netzwerk ermitteln. Ich hatte bereits von einiger Zeit im Unsichere LDAP-Bindungen vor März 2020 ermitteln Hinweise auf Artikel gegeben, die zeigen, wie man vorgehen könnte.
Anzeige
LDAPs:
Windows Server DomainController find LDAP binds – it-koehler-blog https://t.co/OiFDg4s1ed— Thorsten E. (@endi24) March 27, 2020
In obigem Tweet weist Thorsten E. auf eine weitere Fundstelle hin, wo sich jemand mit der Frage befasst, wie sich unsichere LDAP-Verbindungen ermitteln lassen. Der deutschsprachige Beitrag von Alexander Köhler lässt sich hier abrufen.
Ähnliche Artikel:
Microsoft Security Advisories 17. Dez. 2019
Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller
LDAP Channel Binding: Änderung auf die 2. Hälfte 2020 verschoben
Unsichere LDAP-Bindungen vor März 2020 ermitteln
Sophos SafeGuard Enterprise und LDAP Channel Binding
Neues von Microsoft zu LDAP Channel Binding and LDAP Signing
Sophos SafeGuard Enterprise und LDAP Channel Binding
LDAP Channel Binding: Änderung auf die 2. Hälfte 2020
Anzeige