Vom Advisory zum Patch: LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows (ADV190023)

Das Channel Binding und LDAP Signing ist eine seit August 2019 empfohlene Härtung des Windows Domain Controllers. Nun kommt im März 2020 die "Zwangsaktivierung" per Patch - mit Auswirkungen!

Ab März 2020 wird Microsoft die LDAP-Kanalbindung und LDAP-Signaturanforderung (LDAPS) standardmäßig durch einen Patch auf Active-Directory-Servern aktivieren.

Spätestens jetzt sollte man sich mit den damit verbundenen Auswirkungen beschäftigen, um später den Verlust von Services zu vermeiden.

Der Ursprung: Das Microsoft Security Advisory ADV190023

Im August 2019 veröffentlichte Microsoft das Security Advisory ADV190023 „Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing“. Diese Empfehlung  beinhaltete eben genau diese zwei Einstellungen um die Sicherheit zwischen LDAP-Clients und Active Directory (AD) Domain Controller (DC) zu erhöhen.

Microsoft gibt dazu in einer Erklärung die folgenden Informationen an Kunden:

Die LDAP-Kanalbindung und die LDAP-Signatur bieten Möglichkeiten, die Sicherheit der Netzwerkkommunikation zwischen Active Directory Domain Services (AD DS) oder Active Directory Lightweight Directory Services (AD LDS) und den zugehörigen Clients zu erhöhen.

Bei der Standardkonfiguration für LDAP-Kanalbindung und LDAP-Signatur (Lightweight Directory Access-Protokoll) besteht eine Sicherheitsanfälligkeit, durch die Active Directory-Domänencontroller Sicherheitsrisiken bezüglich Rechteerweiterungen ausgesetzt sind.  Die Microsoft-Sicherheitsempfehlung ADV190023 behebt das Problem, indem Administratoren empfohlen wird, die LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern zu aktivieren.

Diese Sicherheitsoptimierung muss manuell erfolgen, bis das Sicherheitsupdate veröffentlicht wird, mit dem diese Einstellungen standardmäßig aktiviert werden. Microsoft beabsichtigt, ein Sicherheitsupdate per Windows Update zu veröffentlichen, um Änderungen an der Sicherheitsoptimierung von LDAP-Kanalbindung und LDAP-Signatur zu ermöglichen, und geht davon aus, dass dieses Update im März 2020 verfügbar sein wird.

Die folgenden Systeme werden das Update erhalten:

  • Windows Server 2008 SP2,
  • Windows 7 SP1,
  • Windows Server 2008 R2 SP1,
  • Windows Server 2012,
  • Windows 8.1,
  • Windows Server 2012 R2,
  • Windows 10 1507,
  • Windows Server 2016,
  • Windows 10 1607,
  • Windows 10 1703,
  • Windows 10 1709,
  • Windows 10 1803,
  • Windows 10 1809,
  • Windows Server 2019,
  • Windows 10 1903,
  • Windows 10 1909

Nach dem einspielen des Patches, wird es dann nicht mehr möglich sein über Simple Bind Port TCP 389 mit dem Active Directory zu kommunizieren, da hierbei Kennwörter im Klartext übertragen werden. Es wird nur noch Kommunikation über Port TCP 636 verschlüsselt stattfinden.

Empfehlung

Microsoft empfiehlt hierzu folgende Maßnahmen:

Wir empfehlen Administratoren dringend, die LDAP-Kanalbindung und LDAP-Signatur bis März 2020 zu aktivieren, um Betriebssysteme, Anwendungen oder Kompatibilitätsprobleme mit Geräten in ihrer Umgebung zu finden und zu beheben.  Wenn ein Kompatibilitätsproblem gefunden wird, sollten sich Administratoren wegen Unterstützung an den Hersteller des jeweiligen Betriebssystems, der jeweiligen Anwendung oder des jeweiligen Geräts wenden.

Wichtig:

Alle Betriebssystemversionen, Anwendungen und Zwischengeräte, die eine Man-in-the-Middle-Überprüfung des LDAP-Datenverkehrs durchführen, sind am wahrscheinlichsten von dieser Sicherheitsoptimierungsänderung betroffen.

Was gibt es zu beachten?

Die Änderungen betrifft einen großen Teil der restlichen Infrastruktur. Nämlich alle Systeme, welche die AD-Authentifizierung nutzen bzw. eingebunden sind. Dadurch kommt es hier zu einer beträchtlichen Abhängigkeit zur Aktivierung der LDAP-Kanalbindung und LDAP-Signatur.

Allein beim Blick auf unser Portfolio und den bei unseren Kunden eingesetzten Systemen, müssen die folgenden Punkte zwangsweise beachtet werden:

  • Prüfung der Konfiguration auf den Firewalls (Check Point, Sophos)
  • Prüfung der Konfiguration auf den Email Security Appliances (Cisco ESA)
  • Prüfung der Konfiguration eingesetzter Multifaktor-Lösungen (Safenet/Gemalto)
  • Prüfung der Konfiguration auf Secure File Transfer Appliances (Qiata)
  • ggf. Prüfung der Konfiguration des IAM (Airlock)
  • ggf. Prüfung der Konfiguration des SIEM (Log Point, Log Rhythm)

Findet keine Prüfung der Konfiguration statt und es wird Simple Bind verwendet, wird dies ab Implementierung des Patches zu Verlusten von Services führen.

Quellen und Grundlagen

Grundlage dieser Informationen ist der Microsoft-Artikel „LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows

Weitere Artikel und Quellen:

Die TO unterstützt Sie bei der Umsetzung der notwendigen Maßnahmen. Melden Sie sich bei Ihrem bekannten Ansprechpartner oder telefonisch unter der +49 711 88770-410.
Wir beraten Sie gerne zu den nächsten Schritten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *