Das Channel Binding und LDAP Signing ist eine seit August 2019 von Microsoft empfohlene Härtung des Windows Domain Controllers.
Nun kommt im März 2020 die "Zwangsaktivierung" dieser Maßnahme per Patch.
Ab März 2020 wird Microsoft die LDAP-Kanalbindung und LDAP-Signaturanforderung (LDAPS) standardmäßig durch einen Patch auf Active-Directory-Servern aktivieren. Spätestens jetzt sollte man sich mit den damit verbundenen Auswirkungen beschäftigen, um später den Verlust von Services zu vermeiden.
Siehe hierzu https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
Nach dem Einspielen des Patches, wird es nicht mehr möglich sein, über Simple Bind Port TCP 389 mit dem Active Directory zu kommunizieren, um zu verhindern, dass Kennwörter im Klartext übertragen werden. Es wird nur noch Kommunikation über Ports TCP 389 (StartTLS) oder TCP 636 SSL verschlüsselt stattfinden.
Allein beim Blick auf unser Portfolio und die bei unseren Kunden eingesetzte Infrastruktur müssen die folgenden Systeme zwangsläufig beachtet werden:
- Prüfung der Konfiguration auf den Firewalls
- Prüfung der Konfiguration auf den Citrix NetScalern
- Prüfung der Konfiguration eingesetzter Multifaktor-Lösungen
- etc.
Findet keine Prüfung der Konfiguration und gegebenfalls eine Konfigurationsanpassung statt und es wird weiterhin Simple Bind verwendet, wird dies ab Implementierung des Patches durch Microsoft zum Verlust von Services führen.
Was kann passieren?
Wenn z. B. der Citrix ADC / Citrix NetScaler beim Login Benutzer und Passwort gegen LDAP verifiziert, dann wird ein Login nach dem Einspielen des Patches nicht mehr funktionieren.
Auch Zweifaktor-Lösungen wie SecureEnvoy verwenden LDAP, um die Benutzer zu verifizieren. Von dort wird z.B. die Telefonnummer für ein SMS extrahiert, daher wird ohne Änderungen nach dem Einspielen des Patches u.a. keine One Time Token SMS mehr versendet.
Bitte kontaktieren Sie als Wartungsvertragskunde bei Fragen unser Support-Team unter support.acx@acp.at, wir unterstützen Sie gerne. Nicht-Managed-Service-Kunden können dies auch gerne kostenpflichtig in Anspruch nehmen.