[English]Noch ein kurzer Informationssplitter an Administratoren von Domain Controllern im Windows Server-Umfeld. Ab Januar 2020 fordert Microsoft das Verbindungen zu diesen Domain-Controllern über sichere Verbindungen erfolgen.
Blog-Leser Michael F. hat mich zum Wochenende auf diesen Sachverhalt hingewiesen (danke dafür). Eigentlich sollten betroffene Administratoren das wissen, Michael schreibt aber:
einige meiner Domain Admins haben auf folgende Artikel etwas überrascht reagiert und meinten: ja das wissen wir schon, aber auch erst seit kurzem.
Michael hat mir noch die folgenden Artikel verlinkt und gefragt, ob man das nicht in einen Blog-Beitrag fassen könne, um andere Domain Admins nochmals darauf hinzuweisen – was hiermit getan wurde. Microsoft hat in ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) auf diesen Sachverhalt hingewiesen – siehe meinen Blog-Beitrag Microsoft Security Advisories 17. Dez. 2019). Nachtrag: Scheint bis März 2020 verschoben worden zu sein.
Links:
Microsoft erzwingt ab Januar sichere Verbindungen zum Domain Controller
2020 LDAP channel binding and LDAP signing requirement for Windows
LDAP Security: LdapEnforceChannelBinding
Es kommt im März nicht Januar:
In the Recommended Actions section, updated the opening sentence to indicate that the Windows update will be available in March 2020.
Abgesehen davon: Richtig ist es ja und eigentlich schon lange notwendig. Trotzdem gibt es bestimmt genug Alt-Konfigurationen wo jemand ein System was nicht aus dem Hause MS kommt an einen DC gefrickelt hat. Ich erinnere mich an meine frühen Versionen von owncloud heute Nextcloud, die unverschlüsselt mit dem DC kommuniziert haben. War auch vollkommen ok.
Im Zuge von diversen Updates wurde das auf LDAPs umgestellt (was ein gefrickel) aber ich will nicht wissen wieviele das nicht getan haben.
Und so gibt es bestimmt diverse Anwendungen.
Naja egal, ich bin das Problem los.
Und Verbindungen zwischen dem DC sowie Domain Members sind eh schon lange verschlüsselt.
Der Titel suggeriert implizit, dass nur noch LDAP Verbindungen via SSL/TLS mögilch sind. Abfragen ohne SSL/TLS via TCP 389 sind weiterhin möglich.
https://social.technet.microsoft.com/Forums/en-US/43ee59fb-5937-4c7d-b5fe-d158bf7040ab/after-enable-ldapenforcechannelbinding-still-can-do-simple-bind-via-ldpexe
Betroffen sind nach meinem Verständnis somit Systeme/Software, welche via SSL/TLS LDAP Verbindung auf das AD zugreifen (z.B. via SSL TCP 636), und keine „Channel Binding“ Informationen unterstützen.
Gruss Marco