{"id":230093,"date":"2020-03-29T00:13:00","date_gmt":"2020-03-28T23:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230093"},"modified":"2021-09-25T23:51:24","modified_gmt":"2021-09-25T21:51:24","slug":"windows-server-ldap-bindungen-auf-dcs-finden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/29\/windows-server-ldap-bindungen-auf-dcs-finden\/","title":{"rendered":"Windows Server: LDAP-Bindungen auf DCs finden"},"content":{"rendered":"

[English<\/a>]Noch ein kleiner Infosplitter zum Thema LDAP-Kanalbindung und LDAP-Signaturanforderung f\u00fcr Windows. Wie kann man auf einem Windows Server Domain Controller LDAP-Bindungen finden?<\/p>\n

<\/p>\n

Worum geht es beim LDAP Channel Binding<\/h2>\n

\"\"Ich hatte das an Weihnachten 2019 hier im Blog im Beitrag Microsoft erzwingt ab Januar 2020 sichere Verbindungen zum Domain Controller<\/a> bereits angesprochen. Bereits im August 2019 wurde von Microsoft ADV190023<\/a> (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) ver\u00f6ffentlicht. <\/p>\n

\n

LDAP-Kanalbindung und LDAP-Signierung bieten M\u00f6glichkeiten, die Sicherheit der Kommunikation zwischen LDAP-Clients und Active Directory-Dom\u00e4nencontrollern zu erh\u00f6hen. Auf Active Directory-Dom\u00e4nencontrollern gibt es eine Reihe unsicherer Standardkonfigurationen f\u00fcr LDAP-Kanalbindung und LDAP-Signatur, die es LDAP-Clients erm\u00f6glichen, mit ihnen zu kommunizieren, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch k\u00f6nnen Active Directory-Dom\u00e4nencontroller zur Erh\u00f6hung von Berechtigungsschwachstellen ge\u00f6ffnet werden.<\/p>\n<\/blockquote>\n

Daher wollte Microsoft dieses Problem l\u00f6sen und  einen neuen Satz sicherer Standardkonfigurationen f\u00fcr LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Dom\u00e4nencontrollern vorgeben, der die urspr\u00fcngliche unsichere Konfiguration ersetzt. Angedacht war erst Januar 2020, dann M\u00e4rz 2020 und aktuell gilt nebul\u00f6s '2. H\u00e4lfte 2020' (siehe LDAP Channel Binding: \u00c4nderung auf die 2. H\u00e4lfte 2020<\/a>) \u2013 wobei ich mir nicht sicher bin, wie die Coronavirus-Krise das noch beeinflusst. <\/p>\n

Unsichere LDAP-Bindungen finden<\/h2>\n<\/p>\n

Administratoren k\u00f6nnen sich aber im Vorfeld damit befassen und unsichere LDAP-Bindungen in ihrem Netzwerk ermitteln. Ich hatte bereits von einiger Zeit im Unsichere LDAP-Bindungen vor M\u00e4rz 2020 ermitteln<\/a> Hinweise auf Artikel gegeben, die zeigen, wie man vorgehen k\u00f6nnte. <\/p>\n

\n

LDAPs:
Windows Server DomainController find LDAP binds – it-koehler-blog https:\/\/t.co\/OiFDg4s1ed<\/a><\/p>\n

\u2014 Thorsten E. (@endi24) March 27, 2020<\/a><\/p><\/blockquote>\n