1
LDAP Channel Binding
Hallo,
ich erhalte auf meinen DCs (Windows Server 2016, aktuellster Patchstand) in regelmäßigen Abständen die folgenden beiden Meldungen:
---
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---
In den letzten 24 Stunden wurden 12 ungeschützte LDAPS-Bindungen durchgeführt.
Dieser Verzeichnisserver ist derzeit nicht konfiguriert, um die Validierung von Kanalbindungstoken durchzusetzen. Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---
Wir haben im Hinblick auf LDAP nichts besonderes konfiguriert, so dass die Standardeinstellung der folgenden GPO gelten sollte:
Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken -> Nicht definiert (Standard: Wenn unterstützt)
Ich verstehe den jeweils letzten Satz aus den beiden EA-Meldungen nun so, dass die Option "Wenn unterstützt" konfiguriert werden sollte, wenn schon nicht erzwungen. Dies aber ja bereits im Standard so konfiguriert, oder übersehe ich hier etwas?
Vielleicht kann ja jemand Licht ins Dunkle bringen!?
ich erhalte auf meinen DCs (Windows Server 2016, aktuellster Patchstand) in regelmäßigen Abständen die folgenden beiden Meldungen:
---
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---
In den letzten 24 Stunden wurden 12 ungeschützte LDAPS-Bindungen durchgeführt.
Dieser Verzeichnisserver ist derzeit nicht konfiguriert, um die Validierung von Kanalbindungstoken durchzusetzen. Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---
Wir haben im Hinblick auf LDAP nichts besonderes konfiguriert, so dass die Standardeinstellung der folgenden GPO gelten sollte:
Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken -> Nicht definiert (Standard: Wenn unterstützt)
Ich verstehe den jeweils letzten Satz aus den beiden EA-Meldungen nun so, dass die Option "Wenn unterstützt" konfiguriert werden sollte, wenn schon nicht erzwungen. Dies aber ja bereits im Standard so konfiguriert, oder übersehe ich hier etwas?
Vielleicht kann ja jemand Licht ins Dunkle bringen!?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3009900577
Url: https://administrator.de/contentid/3009900577
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
1 Kommentar
Hmm, vielleicht mal losgelöst von meiner Frage… wie habt ihr die Richtlinien für LDAP auf euren DCs konfiguriert?
