Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Nacharbeiten nach Patch für Domänencontroller erforderlich

Mitglied: DerWoWusste
Falls es jemand noch nicht mitbekommen haben sollte: seit etwa 2 Wochen gilt mal wieder "Alarmstufe rot" für Windows AD.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2 ... beschreibt ein Problem, das die komplette Übernahme eines Domänencontrollers ermöglicht.
http://thehackernews.com/2017/07/windows-ntlm-security-flaw.html?m=1 beschreibt die Gefahr eindringlich inklusive Videonachweis.

Nun gibt es ja einen Patch, aber falls jemand das Kleingedruckte übersehen haben sollte:
In addition to installing the updates for CVE-2017-8563 are there any further steps I need to carry out to be protected from this CVE?
Yes. To make LDAP authentication over SSL/TLS more secure, administrators need to create a LdapEnforceChannelBinding registry setting on machine running AD DS or AD LDS. For more information about setting this registry key, see Microsoft Knowledge Base article 4034879.
Und auch in letzterem Link steht dann wieder einiges im Kleingedruckten, das fatale Auswirkungen haben kann, wenn man es nicht Ernst nimmt:
Notes
Before you enable this setting on a Domain Controller, clients must install the security update that is described in CVE-2017-8563. Otherwise, compatibility issues may arise, and LDAP authentication requests over SSL/TLS that previously worked may no longer work. By default, this setting is disabled.
The LdapEnforceChannelBindings registry entry must be explicitly created.
LDAP server responds dynamically to changes to this registry entry. Therefore, you do not have to restart the computer after you apply the registry change.
To maximize compatibility with older operating system versions (Windows Server 2008 and earlier versions), we recommend that you enable this setting with a value of 1. See Microsoft Security Advisory 973811 for more details.

Ergo: Augen auf beim Eierkauf, wer diesen Registryeintrag setzt, bevor er sichergestellt hat, dass alle seine Clients das zugehörige Update schon installiert haben und neu gebootet wurden, wird Probleme bekommen!

Edit
Hier noch ein Skript zum Checken, ob das Update installiert ist. Lässt man dieses Skript als immediateTask auf die Domäne los, hat man sehr schnell einen Überblick gewonnen

[nicht wundern: ich habe nicht überall mit wmic gearbeitet, weil seltsamerweise Patches teilweise so nicht auffindbar waren, während sie über die Registryabfrage sehr wohl als installiert galten]

Content-Key: 344647

Url: https://administrator.de/contentid/344647

Ausgedruckt am: 18.09.2021 um 12:09 Uhr

Mitglied: emeriks
emeriks 27.07.2017 um 11:15:04 Uhr
Goto Top
Herzlichen Dank für diesen Hinweis!
Mitglied: DerWoWusste
DerWoWusste 27.07.2017 um 14:17:57 Uhr
Goto Top
Edit: Skript beigefügt, welches auf allen Systemen nachschaut, ob der Patch drauf ist und neugestartet wurde.
Mitglied: DerWoWusste
DerWoWusste 03.08.2017 um 17:14:16 Uhr
Goto Top
Edit2: Skript angepasst, so dass es den letzten Patch von dieser Woche auch erkennt.
Mitglied: DerWoWusste
DerWoWusste 09.08.2017 um 10:02:12 Uhr
Goto Top
Und nochmal das Skript angepasst, um auch das gestrige CU zu erkennen.
Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke39 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS24 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server14 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server19 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...

question
2 Netzwerkkarten für 2 verschieden Netze auf einem Windows-ServerglasscolaVor 18 StundenFrageWindows Server6 Kommentare

Hallo zusammen, im Rahmen meiner Bachelorthesis baue ich ein Labor auf, das folgend aussieht. Ich habe einen Server und auf ihm laufen 2 VMs (1 ...

info
Phishingwelle Volksbanklcer00Vor 1 TagInformationSicherheit10 Kommentare

Hallo zusammen, bei uns häufen sich gerade Phishing-Emails mit Ziel Volks-Raiffeisen-Bank. Geködert wird zum Teil auch mit der Erwähnung der SecureGo Smartphone-App. Grüße lcer ...