[English]Kleine Informationen für Administratoren im Windows-Umfeld. Die für 2020 geplanten Änderungen beim Zugriff auf Domain Controller über sichere LDAP-Bindungen soll wohl in der '2. Hälfte 2020' per Update kommen. Hier nochmals ein wenig sortiert. Ergänzung: Hinweise zu Sophos SafeGuard Enterprise nachgetragen.
Anzeige
Worum geht es beim LDAP Channel Binding
Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) veröffentlicht.
LDAP-Kanalbindung und LDAP-Signierung bieten Möglichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Auf Active Directory-Domänencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients ermöglichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch können Active Directory-Domänencontroller zur Erhöhung von Berechtigungsschwachstellen geöffnet werden.
Daher wollte Microsoft dieses Problem lösen und einen neuen Satz sicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern vorgeben, der die ursprüngliche unsichere Konfiguration ersetzt.
Der Fahrplan ändert sich ständig
Ich hatte auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019. Von Blog-Lesern wurde ich um Weihnachten 2019 darauf hingewiesen, dass erste Änderungen bereits im Januar 2020 wirksam würden. Ich hatte das im Blog-Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller angesprochen.
Allerdings hat Microsoft uns da jeweils rechts überholt. Die Beiträge waren kaum erschienen, als Microsoft den Termin von Januar auf März 2020 verschoben hat. Bereits zum Beitrag Unsichere LDAP-Bindungen vor März 2020 ermitteln gab es den Hinweis, dass es eine Reihe Missverständnisse gebe und Microsoft zu diesem Datum nicht wirklich was ändere. Die betreffende Textstelle in ADV190023 liest sich so:
Anzeige
Windows Updates in March 2020 add new audit events, additional logging, and a remapping of Group Policy values that will enable hardening LDAP Channel Binding and LDAP Signing. The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.
Updates werden im März 2020 neue Audit-Events und Logging-Möglichkeiten bereitstellen, um LDAP Channel Binding und LDAP Signing zu härten. Aber mit den Updates im März 2020 ändert sich nichts an den Channel Binding-Richtlinien.
Ab 2. Hälfte 2020 kommt aber die Änderung
Die Nacht habe ich den nachfolgenden Tweet von Woody Leonhard gesehen, in dem dieser auf eine 'weitere Verschiebung' der LDAP Channel Binding- und LDAP Signing-Geschichte hinweist.
Once again, Microsoft delays changes in LDAP channel binding – from January to March, and now "the second half of calendar year 2020." Admins take note. https://t.co/qUcQT5kfan
— Woody Leonhard (@AskWoody) February 4, 2020
Ich habe mir nie eine Kopie des Beitrags ADV190023 gemacht. Aber nach der Lesart von Woody Leonhard hat Microsoft erst am 4. Februar 2020 die obige Klarstellung, dass das März 2020-Update nichts an der LDAP Channel Binding und LDAP Signing selbst ändert, zum Beitrag hinzugefügt. Egal, wie das auch immer sei. Für euch ist relevant, dass ihr mit dem März 2020-Update beginnen könnt, die Einstellungen für LDAP Channel Binding und LDAP Signing zu überprüfen und ggf. zu ändern. In den nachfolgenden Beiträgen hatte ich sogar einen Hinweis auf Möglichkeiten zur Überprüfung gegeben. Sollte man tun, denn der springende Satz Microsofts lautet:
A further future monthly update, anticipated for release the second half of calendar year 2020, will enable LDAP signing and channel binding on domain controllers configured with default values for those settings.
Irgendwann kommt im 2. Halbjahr 2020 ein Update, welches das LDAP Channel Binding und LDAP Signing an Domain Controller auf Basis der Default-Vorgaben umsetzt. Bis dahin sollten Administratoren also ihre Konfiguration angepasst haben.
Nachtrag: Falls jemand SafeGuard Enterprise von Sophos nutzt, lest euch den Community-Artikel (oder meinen Artikel Sophos SafeGuard Enterprise und LDAP Channel Binding) durch. Dieser enthält Hinweise, was bei Eintreffen des Patches eventuell zu beachten ist.
Ähnliche Artikel:
Microsoft Security Advisories 17. Dez. 2019
Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller
Unsichere LDAP-Bindungen vor März 2020 ermitteln
Anzeige
Ich gehe davon aus, das die meisten Admins eh schon "Secure" unterwegs sind, und sie die Erzwingung von Binding & Signing nicht interessiert. Jeder Admin der seine Verantwortung kennt übt diese doch auch aus, oder? Somit dürfte es keine unsicheren Verbindungen geben.
Hab grade noch eine Rückmeldung eines IT-Dienstleisters bekommen 'oh prima, kann ich andere Sachen bei Kunden vorziehen …'
Ganz so einfach ist es eben nicht, auch wenn Microsoft meint, dass es auf diesem Planeten nur sie gibt. Leider gibt es jede Menge andere Software die nur auf LDAP (Port 389) ausgelegt sind und von "Secure" keine Ahnung haben. Diese Software lässt sich nicht einfach umswitchen, sondern muss neu programmiert werden, und das geht halt nicht in 4 Wochen.
Für die es interessiert hier einige Info's dazu:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536/page/3#comments
Aktuelle Windows-Server und -Clients werden da keine Probleme haben, da stimme ich zu.
Das Problem sind eher Add-On Produkte, die per LDAP Daten abfragen und die dann evtl. nicht mit der verschlüsselten Abfrage klar kommen.
Da wird in Unternehmen mit Sicherheit noch was an solchen alten Anwendungen am Laufen sein. Oder Eigenentwicklungen, die einfach laufen und die keiner mehr so richtig warten kann.
Ich werde bei uns auch noch das Logging aktivieren und dann mal nach ein paar Tagen auswerten, was da so an Abfragen eingeht. Bei zwei, drei Produkten bin ich mir nicht so sicher, ob es noch klappen wird.
Ich kenne Umgebungen wo man diese Sicherheitsmaßnahme nicht umsetzen wird, da noch ältere Geräte, die das nicht unterstützen, einsetzt bzw. einsetzen muß! (Scanner/Drucker).