Microsoft stellt Domaincontroller auf LDAPS um
Seit August letzten Jahres existiert ein Security Advisory von Microsoft (https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023).
Microsoft beabsichtigt, ein Sicherheitsupdate über Windows Update zu veröffentlichen, um Änderungen bei der LDAP-Kanalbindung und der LDAP-Signaturhärtung zu ermöglichen. Dieses Update wird voraussichtlich in der 2. Jahreshälfte verfügbar sein. Die LDAP-Kommunikation über Simple Bind wird unterbunden, welche sonst sogenannte Man-in-the-Middle-Angriffe ermöglichen.
Zur Erläuterung: Simple Bind Authentication basiert auf Benutzername und Passwort, letzteres wird im Klartext übermittelt.
Welche Systeme sind betroffen?
Es sind alle Systeme betroffen, die LDAP-Anfragen an die Domäne stellen können, unter anderem:
- Business Applikationen wie ERP, CRM, SharePoint
- CTI, Call Center Software
- Web-Services
- VMware LDAP Anbindung
- Firewalls / Proxy Server
- Citrix NetScaler
- iLO Anbindungen an die Domain
- Storage Management Login
Diese Systeme und Applikationen müssen in Ihrer Umgebung identifiziert und auf LDAPS umgestellt werden.
Warum gibt es eine Verzögerung zwischen der Veröffentlichung der Sicherheitshinweise und der Veröffentlichung des Sicherheitsupdates?
Basierend auf dem Feedback, das Microsoft erhalten hat, bevorzugten Kunden, dass Microsoft das Update nach den Feiertagen 2019 veröffentlichen soll. Viele Administratoren beschränken ihre Konfigurationsänderungen am liebsten auf die Ferienzeit also während der Weihnachtsferien. Administratoren benötigen auch Zeit, um diese Konfigurationsänderungen zu testen und ihre Umgebung bei Bedarf anzupassen, um sie zu unterstützen. Dieser Release-Plan soll eine Vorlaufzeit bieten, um sich auf diese Änderung vorzubereiten.
Unsere Empfehlung:
Bitte stellen Sie bei all Ihren Applikationen, Systemen & Geräten, die eine LDAP Anbindung verwenden, LDAPS ein. Planen Sie dabei ggfs. notwendige Updates Ihrer Applikationsstruktur ein.
Sie benötigen Unterstützung?
Unsere Consultants haben ein standardisiertes Vorgehen zur Bewertung des Risikos und der Aufwände entwickelt.
Nachfolgend die Inhalte:
+ Informationen zum Thema LDAP / LDAPS
+ Aufnahme der über LDAP kommunizierenden Subsysteme
+ Darstellung einer Handlungsempfehlung
Sprechen Sie uns jetzt an.
Autor: Klaus Magell, Lead Sales, Information Communication Services