Zuerst die gute Nachricht: Microsoft hat den Zeitplan zur erzwungenen LDAP-Signatur mit der gestrigen Ankündigung des Updates vom 10. März 2020 nun auf unbestimmte Zeit verschoben. Das angekündigte Update forciert nicht, wie befürchtet die Nutzung von LDAP Signing und Channel Binding, sondern ergänzt zusätzliche Protokollierungs- und Konfigurationsoptionen zum Channel Binding.

Die zu Grunde liegenden Informationen von Microsoft zu dem Thema sind im Advisory ADV190023 von Microsoft beschrieben.

Auch wenn der externe Zwang und das Spätjahres-Update nun vorerst abgekündigt sind, raten wir dennoch weiterhin dringend zum Handeln. Microsoft möchte perspektivisch die Default Einstellung für die Kommunikation im Active Directory auf LDAP Channel Binding und LDAP Signing umstellen und hat hierzu bereits vor mehreren Jahren Updates für ältere Windows-Versionen ab Windows 7 bereitgestellt. Dies ist ein guter und vernünftiger Schritt, denn per Default findet die Kommunikation zum AD per LDAP über Port 389 ohne Signing unverschlüsselt statt. Da auch Änderungen von Passwörtern über LDAP stattfinden stellt diese Form der Kommunikation logischerweise ein hohes Sicherheitsrisiko dar. Durch die Änderung der Default Einstellung auf LDAP Channel Binding und LDAP Signing möchte Microsoft die Sicherheit erhöhen.

Welche Handlungen sind jetzt zu empfehlen?

1. Die Ereignisanzeige der Domain Controller auf Eventeinträge mit der ID 2887 überprüfen. Dieser Eventeintrag wird erstellt, wenn Systeme noch per LDAP ohne Signing Anfragen senden. Der Eintrag wird einmal täglich im Eventlog erstellt.

2. Mit der Event ID 2889 wird die Quelle der LDAP Abfragen im Eventlog eingetragen. Damit lässt sich dann die IP-Adresse der Systeme ermitteln. Hierzu muss vorab der Log-Level durch Änderung eines Registry Key angehoben werden.  Ein Neustart der DCs ist dabei nicht notwendig.

Reg Add HKLMSYSTEMCurrentControlSetServicesNTDSDiagnostics /v „16 LDAP Interface Events“ /t REG_DWORD /d 2

3. Sind die Systeme ermittelt, sollte überprüft werden, ob diese auf die Verwendung von LDAP Channel Binding und LDAP Signing umgestellt werden können.

4. Wurden alle Systeme identifiziert und angepasst, steht nichts mehr im Weg die von Microsoft Empfohlene Umstellung per GPO zu forcieren.Hierzu ist folgendes GPOs in der Default Domain Controller Policy und für die Clients in der Default Domain Policy zu aktivieren:

Default Domain Controller Policy:
Domain controller: LDAP server signing requirements

Default Domain Policy:
Network security: LDAP client signing requirements

Weiter Infos hierzu im Microsoft Support-Artikel KB935834.

5. Zum Schluss das Log-Level auf den Domaincontrollern zurücksetzen.

Abschließend muss klargestellt werden, dass es entgegen der Aussage einiger Internet-Blogs bei der Umstellung nicht um LDAPS mit Zertifikat sondern um LDAP Channel Binding und LDAP Signing geht.

 

Redakteur: Martin Krakau (Principal Technology Engineer)