Das Channel Binding und LDAP Signing ist eine seit August 2019 von Microsoft empfohlene Härtung des Windows Domain Controllers.
Nun kommt im März 2020 die "Zwangsaktivierung" dieser Maßnahme per Patch.
Ab März 2020 wird Microsoft die LDAP-Kanalbindung und LDAP-Signaturanforderung (LDAPS) standardmäßig durch einen Patch auf Active-Directory-Servern aktivieren. Spätestens jetzt sollte man sich mit den damit verbundenen Auswirkungen beschäftigen, um später den Verlust von Services zu vermeiden.
Siehe hierzu https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
Nach dem Einspielen des Patches, wird es nicht mehr möglich sein, über Simple Bind Port TCP 389 mit dem Active Directory zu kommunizieren, um zu verhindern, dass Kennwörter im Klartext übertragen werden. Es wird nur noch Kommunikation über Ports TCP 389 (StartTLS) oder TCP 636 SSL verschlüsselt stattfinden.
Allein beim Blick auf unser Portfolio und die bei unseren Kunden eingesetzte Infrastruktur müssen die folgenden Systeme zwangsläufig beachtet werden:
- Prüfung der Konfiguration auf den Firewalls
- Prüfung der Konfiguration auf den Citrix NetScalern
- Prüfung der Konfiguration eingesetzter Multifaktor-Lösungen
- etc.
Findet keine Prüfung der Konfiguration und gegebenenfalls eine Konfigurationsanpassung statt und es wird weiterhin Simple Bind verwendet, wird dies ab Implementierung des Patches durch Microsoft zum Verlust von Services führen.
Was kann passieren?
Wenn z. B. der Citrix ADC / Citrix NetScaler beim Login Benutzer und Passwort gegen LDAP verifiziert, dann wird ein Login nach dem Einspielen des Patches nicht mehr funktionieren.
Auch Zweifaktor-Lösungen wie SecureEnvoy verwenden LDAP, um die Benutzer zu verifizieren. Von dort wird z.B. die Telefonnummer für ein SMS extrahiert, daher wird ohne Änderungen nach dem Einspielen des Patches u.a. keine One Time Token SMS mehr versendet.
Update vom 12.02.2020:
Die letzten Infos von Microsoft (aktualisiert am 4.02.2020) in diesem Artikel https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023 geben scheinbar etwas mehr Zeit zur Umsetzung dieser Maßnahmen.
The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.
A further future monthly update, anticipated for release the second half of calendar year 2020, will enable LDAP signing and channel binding on domain controllers configured with default values for those settings.
Leider gibt es auf den Microsoft Seiten immer noch widersprüchliche Informationen, dieser Artikel wurde am 27.12.2019 zuletzt aktualisiert: https://support.microsoft.com/de-at/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows, wo noch der wahrscheinliche Termin März 2020 angesprochen wird.
Wir raten alleine schon aus Sicherheitsgründen, die Zeit (wie lange auch immer noch bleibt) jetzt zu nutzen und LDAP Zugriffe auf LDAPs umzustellen.
Hier eine Hilfestellung dazu:
LDAP / LDAPs: So finden Sie Zugriffe auf die LDAP/LDAPs Services in ihrer Umgebung
Wenn Sie bereits durchgängig die verschlüsselte Variante von LDAP einsetzen, gibt es keine Notwendigkeit Anpassungen vorzunehmen. Sind Sie allerdings im Unklaren darüber, welche Services noch unverschlüsselt mit Ihrem AD kommunizieren, ist ein erweitertes Logging zu aktivieren, das Ihnen die notwendigen Informationen liefert. Dazu müssen Sie die Diagnose-Funktion auf den Domain Controllern anpassen. Ein Wert in der Windows Registry, die ohne Neustart aktiv wird, muss hier gesetzt werden. Nähere Informationen enthält dieser Microsoft Support Artikel: (https://support.microsoft.com/de-de/help/314980/how-to-configure-active-directory-and-lds-diagnostic-event-logging)
Der zu setzende Registry Value lautet:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"16 LDAP Interface Events"=dword:00000002
Im Anschluss analysieren Sie die Events mit der Nummer 2888 und 2889. Diese Events liefern Ihnen die IP-Adressen der Clients, die auf LDAP zugreifen. Bitte beachten Sie, dass dieses Logging die Domain Controller mehr beanspruchen wird, weshalb Sie die Informationen möglichst schnell auswerten sollten.
Vergessen Sie nicht, nach der Analyse das Debugging wieder zu deaktivieren, indem Sie den Registry Value auf "0" setzen.
Zusätzlich können Sie auch auf Scripts zur Unterstützung zurückgreifen, beispielsweise https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs/
Bei Fragen kontaktieren Sie bitte als Wartungsvertragskunde unser Support-Team unter support.acx@acp.at, wir unterstützen Sie gerne. Nicht-Managed-Service-Kunden können dies auch gerne kostenpflichtig in Anspruch nehmen.