9
Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing
Hallo zusammen,
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...
Gruß,
Dani
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...
Gruß,
Dani
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 526176
Url: https://administrator.de/contentid/526176
Ausgedruckt am: 17.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Grundsätzlich gibt es den Artikel bereits länger. Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!
Gruss
pocketflo
Gruss
pocketflo
Servus,
hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
Weil ich halte Ausschau nach Event 2887 - finde aber nix. Das ist zwar sicherlich gut, aber würde gerne wissen was sowas ggf. nutzen könnte
hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
Weil ich halte Ausschau nach Event 2887 - finde aber nix. Das ist zwar sicherlich gut, aber würde gerne wissen was sowas ggf. nutzen könnte
Grundsätzlich Dienste welche halt LDAP Abfragen machen. Bspw. vCenter, VPN Boxen, WLANs, Apache Server etc. Wir haben einige Anwendungen bereits seit August auf dem Radar und es ist nicht immer ganz einfach das umzustellen.
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Moin @pocketflo
Gruß,
Dani
Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!
es hat sich herausgestellt, dass die Kunden eine größere Vorlaufzeit, um die Systeme/Anwendungen anzupassen. Gerade solch ein elementares Update vor Weihnachten auszuliefern, wird in größeren Umgebungnen wahrscheinlich größere Störungen verursachen.Gruß,
Dani
Moin,
Es geht um die (zukünftige) Kommunikation ziwschen Server/Anwendungen und dem Domain Controller via LDAP bzw. LDAPs (SSL/TLS/SASL).
Gruß,
Dani
hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
hast du die drei Links in dem Artikel gelesen? Da ist das Verhalten und die dazugehörige Basics festgehalten.Es geht um die (zukünftige) Kommunikation ziwschen Server/Anwendungen und dem Domain Controller via LDAP bzw. LDAPs (SSL/TLS/SASL).
Gruß,
Dani
Schon klar das es um die unsicheren LDAP anfragen geht, wollte wissen welche Dienste (eins hab ich gefunden: OTRS in einer uralt version ) das bespielhaft nutzen
Der vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
) das bespielhaft nutzenDer vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
Hallo @Dani,
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.
Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.
Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.
Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.
Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.
Danke und viele Grüße.
Festus94
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.
Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.
Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.
Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.
Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.
Danke und viele Grüße.
Festus94
Hallo @Festus94
Gruß,
Dani
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten.
Falls es der MSDN/Basic/Standard Support war, würde ich keine Hand auf die Antwort und deren Verlässlichkeit verwetten.Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ja und Nein. Hier eine Zusammenfassung von einem Premier Field Engnieer, was wann wie (nicht mehr) funktioniert.Gruß,
Dani
Hi @Dani,
es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben.
Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.
Grüße
Festus94
es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben.
Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.
Grüße
Festus94
