Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing
Hallo zusammen,
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...
Gruß,
Dani
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...
Gruß,
Dani
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 526176
Url: https://administrator.de/contentid/526176
Ausgedruckt am: 18.12.2024 um 14:12 Uhr
9 Kommentare
Neuester Kommentar
Grundsätzlich Dienste welche halt LDAP Abfragen machen. Bspw. vCenter, VPN Boxen, WLANs, Apache Server etc. Wir haben einige Anwendungen bereits seit August auf dem Radar und es ist nicht immer ganz einfach das umzustellen.
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Schon klar das es um die unsicheren LDAP anfragen geht, wollte wissen welche Dienste (eins hab ich gefunden: OTRS in einer uralt version ) das bespielhaft nutzen
Der vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
Der vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
Hallo @Dani,
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.
Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.
Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.
Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.
Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.
Danke und viele Grüße.
Festus94
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.
Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.
Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.
Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.
Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.
Danke und viele Grüße.
Festus94
Hi @Dani,
es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben.
Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.
Grüße
Festus94
es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben.
Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.
Grüße
Festus94