de | Deutsch
IT-Sicherheit 30.01.2020

Ab März: Forcierte LDAP-Änderung im Active Directory macht Anpassungen notwendig.

Mitte März 2020 wird mit einem Patch von Microsoft die Security der Domain-Controller erhöht, indem die LDAP-Kommunikation über Simple Bind (TCP Port 389 (LDAP)) unterbunden wird. Das hat Folgen für Sie. Welche? Das erfahren Sie in diesem Blog …

Artikel teilen

Zur Erläuterung: Simple Bind Authentication basiert auf Benutzername und Passwort und das Passwort wird dabei in Clear-Text übermittelt. Das Update betrifft alle Windows-Domänencontroller.

 

Was bedeutet das für Sie?

Alle modernen Windows-Betriebssysteme nutzen schon seit Jahren standardmäßig die Signierung von LDAP Anfragen. Probleme bereiten Drittanbieter-Applikationen, welche LDAP zur Authentifizierung oder Abfrage von Benutzerdaten nutzen. Beispiele sind Ticketsysteme, E-Mail-Gateways, Application Delivery Controller, Citrix ADCs und Gateways, Disclaimer Software, Multifunktionsdruckersysteme und viele mehr. Diese Systeme nutzen momentan höchstwahrscheinlich das LDAP-Protokoll.

 

Was passiert, wenn Sie nichts tun?

Wenn Sie nichts unternehmen, kann es passieren, dass sich die oben genannten Drittanbieter-Applikationen nach dem Microsoft-Update nicht mehr authentifizieren können und damit nicht mehr funktionieren.

 

Was muss getan werden?

Alle unsignierten Abfragen müssen analysiert und auf LDAPS umgestellt werden. Das S steht für Secure und damit für eine TLS verschlüsselte Verbindung. Damit aber LDAPS am Domain-Controller aktiv ist, muss ein entsprechendes TLS-Zertifikat auf den Domain-Controllern installiert sein. Wenn im Active Directory eine Zertifizierungsstelle korrekt installiert ist und die notwendigen Vorlagen aktiv sind, dann passiert dies automatisch. Alle Drittanbieter-Applikationen und Geräte müssen anschließend nach Möglichkeit umgestellt werden.

 

Tipp.

Verfügen Sie im internen LAN zum Beispiel über ein Citrix Netscaler-Load-Balancer-Pärchen, macht es Sinn, direkt einen LDAPs-Load-Balancing-vServer bereitzustellen, den Sie dann als LDAPs-Authentifizierungsserver nutzen können und hinter dem Ihre Domänen-Controller angebunden sind. Diesen vServer können Sie dann für alle weiteren Dienste, die eine LDAPs-Authentifizierung benötigen, nutzen. Sollten Sie Ihre Domänen-Controller einmal tauschen wollen, ist keine Anpassung der Appliances und Dienste mehr notwendig, sondern nur einmalig eine Anpassung im vServer.

 

Wichtig: Führen Sie die Umstellung auf jeden Fall vor dem forcierten Update von Microsoft durch.

 

Zum offiziellen Microsoft Artikel

jens-loecke.png
Jens Löcke
Teamleiter Modern Workplace