dani
Goto Top

Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

Hallo zusammen,
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt. face-smile
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...


Gruß,
Dani

Content-ID: 526176

Url: https://administrator.de/contentid/526176

Ausgedruckt am: 18.12.2024 um 14:12 Uhr

pocketflo
pocketflo 18.12.2019 um 07:20:41 Uhr
Goto Top
Grundsätzlich gibt es den Artikel bereits länger. Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!

Gruss
pocketflo
NetzwerkDude
NetzwerkDude 18.12.2019 um 12:33:45 Uhr
Goto Top
Servus,

hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
Weil ich halte Ausschau nach Event 2887 - finde aber nix. Das ist zwar sicherlich gut, aber würde gerne wissen was sowas ggf. nutzen könnte
pocketflo
pocketflo 18.12.2019 um 17:26:28 Uhr
Goto Top
Grundsätzlich Dienste welche halt LDAP Abfragen machen. Bspw. vCenter, VPN Boxen, WLANs, Apache Server etc. Wir haben einige Anwendungen bereits seit August auf dem Radar und es ist nicht immer ganz einfach das umzustellen.
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Dani
Dani 18.12.2019 um 22:07:17 Uhr
Goto Top
Moin @pocketflo
Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!
es hat sich herausgestellt, dass die Kunden eine größere Vorlaufzeit, um die Systeme/Anwendungen anzupassen. Gerade solch ein elementares Update vor Weihnachten auszuliefern, wird in größeren Umgebungnen wahrscheinlich größere Störungen verursachen.


Gruß,
Dani
Dani
Dani 18.12.2019 um 22:09:33 Uhr
Goto Top
Moin,
hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
hast du die drei Links in dem Artikel gelesen? Da ist das Verhalten und die dazugehörige Basics festgehalten.
Es geht um die (zukünftige) Kommunikation ziwschen Server/Anwendungen und dem Domain Controller via LDAP bzw. LDAPs (SSL/TLS/SASL).


Gruß,
Dani
NetzwerkDude
NetzwerkDude 19.12.2019 um 15:50:39 Uhr
Goto Top
Schon klar das es um die unsicheren LDAP anfragen geht, wollte wissen welche Dienste (eins hab ich gefunden: OTRS in einer uralt version face-smile ) das bespielhaft nutzen

Der vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
Festus94
Festus94 20.02.2020 um 19:41:12 Uhr
Goto Top
Hallo @Dani,

da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.

Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?

Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.

Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.

Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.

Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.

Danke und viele Grüße. face-smile

Festus94
Dani
Dani 22.02.2020 aktualisiert um 13:04:52 Uhr
Goto Top
Hallo @Festus94
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten.
Falls es der MSDN/Basic/Standard Support war, würde ich keine Hand auf die Antwort und deren Verlässlichkeit verwetten.

Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ja und Nein. Hier eine Zusammenfassung von einem Premier Field Engnieer, was wann wie (nicht mehr) funktioniert.


Gruß,
Dani
Festus94
Festus94 22.02.2020 um 12:50:26 Uhr
Goto Top
Hi @Dani,

es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben. face-wink

Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.

Grüße
Festus94