Microsoft plant mit den Januar Updates wichtige Änderungen für Domain Controller, die Auswirkungen auf Programme, die LDAP-Zugriffe auf das Active Directory benötigen, haben werden.
https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
LDAP Verbindungen zu Domain Controllern erfolgen – sofern sie nicht über TLS/SSL erfolgen – mit der Übertragung der Anmeldeinformationen im Klartext. Damit sind diese Verbindungen unter anderem für Man-In-The-Middle Angriffe anfällig. Domain Controller können so konfiguriert werden, dass Verbindungen entweder signiert werden müssen oder über SSL/TLS erfolgen müssen, so dass diese Schwachstelle entfällt. Dies konnten Administratoren bisher durch Einstellungen in der Default Domain Controller Policy in den Computerrichtlinien konfigurieren:
Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien –> Sicherheitsoptionen
Richtlinie: Domänen Controller: Signaturanforderung für LDAP-Server
Einstellung: Signatur erforderlich
Microsoft beabsichtigt durch Updates im Januar 2020 LDAP, Channelbinding und LDAP Signing für Domain Controller zu aktivieren, um ungesicherte Verbindungen zu verhindern und gesicherte Verbindungen zu erzwingen. Dies bedeutet:
- Ungesicherte Verbindungen gegen die beiden Standard LDAP-Ports 389 und 3268 (Global Catalog) werden nach dem Update abgelehnt.
- Applikationen und Geräte (.z.B. eine Firewall, ein Mailgateway, Drucker) die Active Directory mittels LDAP abfragen, können die LDAP-Schnittstelle der Domain Controller nicht mehr kontaktieren, weil sie die Standard Ports 389 oder 3268 verwenden und damit keine gesicherte Anmeldung mehr durchführen können, weil die Domain Controller solche Verbindungen ablehnen.
- Möglicher Weise sind die Domain Controller selbst nicht in der Lage die benötigen Funktionen zu unterstützen, weil sie über keine SSL-Zertifikate verfügen, denen die LDAP-Clients vertrauen.
- Davon sind nicht betroffen alle Windows Computer aus dem Active Directory.
- Davon nicht betroffen sind Verbindungen über SSL/TLS (LDAP-Ports 636 und 3269 (Global Catalog)). Dazu muss der Domain Controller aber auch über ein aus Sicht der Clients vertrauenswürdiges Zertifikat verfügen.
Es kann also zu erheblichen Einschränkungen und Problemen kommen, wenn die Ankündigungen umgesetzt werden und die Updates im Januar 2020 auf Domain Controllern installiert werden. Alle Applikationen und Geräte sollten vorher ermittelt und umgestellt werden.
Wir empfehlen, zunächst einmal eine Bestandaufnahme zu machen: Welche Applikationen und Geräte stellen LDAP-Verbindungen zu Domain Controllern her? Welche müssen um konfiguriert werden?
Dazu muss auf allen Domain Controllern der folgende Registrierungswert erstellt werden:
HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics 16 LDAP Interface Events (DWORD) 2
Zusätzlich kann es sinnvoll sein, die maximale Größe der Directory Service Protokolls auf z.B. 40MB (40960KB) zu erhöhen.
Man kann dann – am besten 2-3 Arbeitstage später – im Ereignisprotokoll Directory Service Events mit der ID 2889 auswerten, die Auskunft darüber geben, von welchen IP-Adresse ungesicherte LDAP-Verbindungen aufgebaut werden.
Außerdem sollte überprüft werden, ob Domain Controller LDAPs-Verbindungen zu Port 636 ermöglichen. Die ungesicherten Verbindungen sollten dann darauf umgestellt werden.
Wir unterstützen Sie gerne mit unseren Skripts bei der Analyse.
