{"id":227845,"date":"2020-02-05T07:15:21","date_gmt":"2020-02-05T06:15:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227845"},"modified":"2020-02-14T15:20:58","modified_gmt":"2020-02-14T14:20:58","slug":"ldap-channel-binding-nderung-auf-die-2-hlfte-2020-verschoben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/05\/ldap-channel-binding-nderung-auf-die-2-hlfte-2020-verschoben\/","title":{"rendered":"LDAP Channel Binding: Änderung auf die 2. Hälfte 2020 verschoben"},"content":{"rendered":"

[English<\/a>]Kleine Informationen f\u00fcr Administratoren im Windows-Umfeld. Die f\u00fcr 2020 geplanten \u00c4nderungen beim Zugriff auf Domain Controller \u00fcber sichere LDAP-Bindungen soll wohl in der '2. H\u00e4lfte 2020' per Update kommen. Hier nochmals ein wenig sortiert. Erg\u00e4nzung:<\/strong> Hinweise zu Sophos SafeGuard Enterprise nachgetragen.<\/p>\n

<\/p>\n

Worum geht es beim LDAP Channel Binding<\/h2>\n

\"\"Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller<\/a> bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023<\/a> (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) ver\u00f6ffentlicht.<\/p>\n

LDAP-Kanalbindung und LDAP-Signierung bieten M\u00f6glichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Dom\u00e4nencontrollern zu erh\u00f6hen. Auf Active Directory-Dom\u00e4nencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen f\u00fcr LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients erm\u00f6glichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch k\u00f6nnen Active Directory-Dom\u00e4nencontroller zur Erh\u00f6hung von Berechtigungsschwachstellen ge\u00f6ffnet werden.<\/p><\/blockquote>\n

Daher wollte Microsoft dieses Problem l\u00f6sen und\u00a0 einen neuen Satz sicherer Standardkonfigurationen f\u00fcr LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Dom\u00e4nencontrollern vorgeben, der die urspr\u00fcngliche unsichere Konfiguration ersetzt.<\/p>\n

Der Fahrplan \u00e4ndert sich st\u00e4ndig<\/h2>\n

Ich hatte auf diesen Sachverhalt hingewiesen \u2013 siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019<\/a>. Von Blog-Lesern wurde ich um Weihnachten 2019 darauf hingewiesen, dass erste \u00c4nderungen bereits im Januar 2020 wirksam w\u00fcrden. Ich hatte das im Blog-Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller<\/a> angesprochen.<\/p>\n

Allerdings hat Microsoft uns da jeweils rechts \u00fcberholt. Die Beitr\u00e4ge waren kaum erschienen, als Microsoft den Termin von Januar auf M\u00e4rz 2020 verschoben hat. Bereits zum Beitrag Unsichere LDAP-Bindungen vor M\u00e4rz 2020 ermitteln<\/a> gab es den Hinweis, dass es eine Reihe Missverst\u00e4ndnisse gebe und Microsoft zu diesem Datum nicht wirklich was \u00e4ndere. Die betreffende Textstelle in ADV190023<\/a> liest sich so:<\/p>\n

Windows Updates in March 2020 add new audit events, additional logging, and a remapping of Group Policy values that will enable hardening LDAP Channel Binding and LDAP Signing. The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.<\/p><\/blockquote>\n

Updates werden im M\u00e4rz 2020 neue Audit-Events und Logging-M\u00f6glichkeiten bereitstellen, um LDAP Channel Binding und LDAP Signing zu h\u00e4rten. Aber mit den Updates im M\u00e4rz 2020 \u00e4ndert sich nichts an den Channel Binding-Richtlinien.<\/p>\n

Ab 2. H\u00e4lfte 2020 kommt aber die \u00c4nderung<\/h2>\n

Die Nacht habe ich den nachfolgenden Tweet von Woody Leonhard gesehen, in dem dieser auf eine 'weitere Verschiebung' der LDAP Channel Binding- und LDAP Signing-Geschichte hinweist.<\/p>\n

\n

Once again, Microsoft delays changes in LDAP channel binding – from January to March, and now \"the second half of calendar year 2020.\" Admins take note. https:\/\/t.co\/qUcQT5kfan<\/a><\/p>\n

\u2014 Woody Leonhard (@AskWoody) February 4, 2020<\/a><\/p><\/blockquote>\n