Fernwartungsmodul herunterladen

LDAP-Sicherheit im Active Directory: Infos zu kommendem Microsoft-Update

LDAP und Active Directory - Microsoft Update

Sind Sie vorbereitet?

Für das 2. Halbjahr 2020 hat Microsoft ein Update angekündigt, nachdem unverschlüsselte LDAP-Verbindungen stark eingeschränkt werden. Wer sein Active Directory bzw. seine Domäne (und vor allem daran angeschlossene Dienste) nicht entsprechend vorbereitet hat, kann sich nach dem Update nicht mehr mit diesen verbinden.

Alles was Sie darüber wissen müssen, erfahren Sie hier.

 

Wie funktioniert LDAP?

Bei einer LDAP-Authentifizierung erfolgt der Zugriff auf Verzeichnisse über das „Lightweight Directory Access Protocol“ (LDAP) - ein allgemein akzeptiertes und offenes Client-/Server-Protokoll.

Eine der verbreitetsten LDAP-Implementierungen ist das Microsoft Active Directory. LDAP ist eine wichtige Hauptkomponente des Active Directory und stellt in Form eines Verzeichnisses Informationen über Benutzer, Computer und deren Zertifikate und Gruppenzugehörigkeit bereit. Hierüber können Administratoren u.a. Benutzer anlegen, verwalten, Kennworte zurücksetzen oder Gruppen konfigurieren.

In der Grundeinstellung erlaubt das Active Directory, dass sich Clients bzw. Dienste unverschlüsselt mit dem Server verbinden. Insofern das Active Directory nicht weitergehend konfiguriert wurde, entsteht ein Sicherheitsrisiko, denn unverschlüsselte LDAP-Verbindungen können von einem „Man-in-the-Middle-Angreifer“ mitgelesen oder sogar verändert werden.

Das soll nach dem Update nicht mehr möglich sein.

 

Welche IT-Komponenten sind betroffen?

Prüfen Sie, wo Schnittstellen zu Ihrem Microsoft Active Directory bestehen. Ein paar Beispiele sind:

  • Anti-Virus-Suites bzw. Appliances
  • Firewalls (VPN-Zugänge für Homeoffice!)
  • E-Mail Archivierungslösungen (wie z.B. MailStore)
  • 3rd-Party Filesharingdienste (wie z.B. Seafile)
  • Collaborationsplattformen wie OwnCloud & Co.
  • Scan2Mail, MFP-Drucklösungen oder VoIP-Gateways

Gerne überprüfen wir auch für Sie, wo Sie diesbezüglich tätig werden sollten.

 

Was passiert nach dem Microsoft-Update?

  • Ein unverschlüsselter (bzw. unsignierter) Zugriff auf das Active Directory ist nach dem Microsoft-Update nicht mehr möglich.
  • D.h. insofern man das Active Directory nicht entsprechend konfiguriert oder veraltete Soft- oder Hardware im Einsatz hat, die noch nicht sicheres LDAP (LDAPS) beherrscht, kann man sich nach dem Microsoft Update nicht mehr über LDAP verbinden.

Ursprünglich war der Termin des Updates bereits der 10. März 2020, wurde aber von Microsoft auf Mitte des Jahres verschoben.

 

Was muss man vor dem Update tun?

Beugen Sie rechtzeitig vor: Schaffen Sie die notwendigen Voraussetzungen in Ihrer Umgebung, um LDAP/AD-Anbindungen weiterhin, und sicher nutzen zu können.

  • Auswerten: Protokollierung der AD-Nutzung über das Eventlog über einen repräsentativen Zeitraum (Welche Dienste, Anwendungen, Geräte nutzen das AD?)
  • Umsetzen der individuell notwendigen technischen Maßnahmen
  • Verifikation: Vergewissern Sie sich über Tests, dass Ihre Anwendungen nach der Anpassung weiterhin reibungslos funktionieren.
  • Insofern Sie über eine IT-Umgebung verfügen, in denen die Richtlinie bereits konfiguriert und LDAPS bewusst aktiviert wurde (auf allen Seiten), sind Sie von vornherein auf der sicheren Seite und brauchen nichts weiter zu tun.

 

Wir unterstützen Sie und Ihre IT

Sie sind sich unsicher ob Ihre Umgebung für das Update gewappnet ist? Melden Sie sich bei uns – wir überprüfen Ihre Umgebung gerne und stellen sicher, dass Sie vorbereitet sind.

Wenn Sie einen (oder mehrere) diesbezüglich relevante Managed Services bei uns gebucht haben, gehen wir initiativ auf Sie zu.

 

Weitere Informationen zum Thema erhalten Sie auch hier:

https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm
(Eine Umsetzungshandreichung in Deutsch)

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
(Eine Microsoft-Primärquelle für das Thema)

https://www.heise.de/newsticker/meldung/Microsoft-stellt-Domaincontroller-langsam-auf-LDAPS-um-4666079.html
(Der Heise-Newsticker zum Thema)