LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows: Das müssen Sie jetzt tun.
von Henrik Knoblauch
Sie haben es sicher mitbekommen: Am 13. August 2019 veröffentlichte Microsoft ein relativ unscheinbares Security Advisory, wonach Kunden dringend empfohlen wird, zum Schutz ihrer Domänencontroller zwei Einstellungen im Active Directory anzupassen. Dabei ging es um die Signatur von LDAP-Verbindungen. Die Veränderung kann massive Auswirkungen auf ihre IT-Infrastruktur haben. Sie müssen aktiv werden …
Verfasst von
LDAP wurde 1993 an der Universität von Michigan entwickelt. Seither ermöglicht die Technologie eine einheitliche und einfache Abfrage von Objektdaten. An sich also eine praktische Sache, die über die Jahre gut funktioniert hat. Leider zu gut. Denn in der Vergangenheit wurde diese Schnittstelle immer häufiger missbraucht, um in Vorbereitung eines Cyberangriffs sensible Daten aus dem Verzeichnisdienst zu beschaffen.
Aus diesem Grund hat Microsoft dem klassischen LDAP nun den Stecker gezogen. Ab März 2020 wird Microsoft die LDAP-Kanalbindung und LDAP-Signaturanforderung (LDAPS) standardmäßig durch einen Patch auf Active-Directory-Servern aktivieren. Damit wird sichergestellt, dass nur noch durch ein Zertifikat signierte Abfragen beantwortet werden.
Der knappe Zeitvorlauf stellt viele Kunden jedoch vor Herausforderungen, alternative Lösungen zu etablieren. Microsoft hat nun auf vielfachen Wunsch entschieden, die Abschaltung bis in das zweite Halbjahr auszusetzen. Damit billigt Microsoft seinen Kunden einen einmaligen Aufschub zu, um gerade die in vielen Legacy Anwendungen noch genutzte LDAP Schnittstelle auszutauschen. Dennoch gilt es an dieser Stelle keine Zeit zu verlieren. Ein weiterer Aufschub ist aus Sicherheitsgründen nicht zu erwarten.
Was bedeutet das?
Die Änderung betrifft einen großen Teil der IT-Infrastruktur in Unternehmen. Nämlich alle Systeme, die die AD-Authentifizierung nutzen beziehungsweise in diese eingebunden sind. Dadurch kommt es hier zu einer beträchtlichen Abhängigkeit von der Aktivierung der LDAP-Kanalbindung und LDAP-Signatur. Nach dem 20. März werden alle Systeme die über LDAP arbeiten und über kein Zertifikat verfügen, ihren Dienst einstellen.
Welche Systeme betrifft das?
Das ist keine einfach zu beantwortende Frage. Denn durch die lange Historie von LDAP wird dieses Protokoll in einer Vielzahl von Systemen verwendet. Ob es Ihre Telefonanlage ist, oder der Multifunktionsdrucker. Ob es die Produktionsstraße ist, oder die WLAN-Infrastruktur. Vielleicht ist es auch nur eine virtuelle Appliance, die auf Daten aus dem Active Directory zugreifen möchte. Tatsächlich dürfte es kaum Komponenten der IT-Infrastruktur geben, die vom Update im März nicht betroffen sind.
Was können Sie tun?
Den Sicherheitspatch am 20. März auszulassen, ist die schlechteste aller Ideen. Denn es darf davon ausgegangen werden, dass gerade die im Patch adressierten Lücken massive Zuwendung zwielichtiger Gestalten erfahren dürften. Was gemacht werden muss, ist die Umstellung auf eine signierte LDAP-Verbindung. Das ist an sich nicht schwierig. Nur, welche Systeme verwenden denn überhaupt LDAP?
Damit Sie nicht Ihre Glaskugel bemühen müssen, bietet Bechtle ein duales Assessment an. Dabei wird analysiert, zwischen welchen Systemen (nicht signierte) LDAP-Anfragen ausgetauscht werden.
- LDAP-Standard: Das Standard-Assessment beruht auf der Installation einer Analysesoftware auf ihren Domänencontrollern. Die dort mitgeschnittenen Pakete werden auf LDAP-Anfragen untersucht und protokolliert. Mit diesem Assessment werden alle LDAP-Anfragen gegenüber dem Active-Directory-Verzeichnisdienst erfasst.
- LDAP-Advanced: Das Advanced-Assessment analysiert über einen Netzwerk-Sniffer den LDAP-Datenverkehr, der über Ihre Core-Switche fließt. Dabei wird auch LDAP-Verkehr erfasst, der zwischen Drittsystemen, beispielsweise Appliances, ausgetauscht wird.
Bitte beachten Sie, dass in beiden Assessments nur die Systeme erkannt werden können, die innerhalb des Analysezeitraumes auch aktiv kommunizieren. Wir empfehlen daher, die Assessments so früh wie möglich zu beginnen.
