Handlungsempfehlung zur Microsoft Security Advisory ADV190023 – LDAP Security
Was wird seitens Microsoft geändert?
Microsoft hat angekündigt, mit einem Patch im 2. Halbjahr 2020 die Signierung / Verschlüsselung von LDAP-Anfragen zu erzwingen. Dieser Patch wird ausgerollt, um mögliche Angriffe mittels Auslesen oder Umleiten dieser unverschlüsselten Daten zu verhindern. Eine Absicherung des Protokolls ist unbedingt notwendig, da über LDAP beispielsweise Benutzer-Kennwörter zurückgesetzt oder gar Domänen-Administratoren berechtigt werden.
Zusätzlich wurden bereits am 10.03.2020 Windows-Updates veröffentlicht, welche einer vereinfachten Überwachung der LDAP-Anfragen dienen.
Welche Auswirkungen kann das auf Ihre Infrastruktur haben?
Mit dieser Änderung würden alle nicht signierten und unverschlüsselten LDAP-Anfragen abgelehnt. Dies kann nicht nur ein Multifunktionsgerät sein, welches das Adressbuch per LDAP ausliest, sondern sehr häufig auch diverse unternehmenskritische Anwendungen (wie z.B. ERP-Systeme, Krankenhaus-Informationssysteme, VoIP-Telefonanlagen, Webproxies, etc.).
Was sollte nun unternommen werden?
Unsere Active Directory- sowie Security-Experten empfehlen zunächst eine detaillierte Analyse Ihrer Infrastruktur mit anschließender Erstellung eines Aktionsplans, um bereits im Voraus alle Systeme auf signierte / verschlüsselte LDAP-Anfragen umzustellen. Dies würde folgendermaßen ablaufen:
- Prüfung der aktuellen LDAP-Konfiguration
- Installation der Windows-Updates (März) auf den Domänen-Controllern
- Aktivierung der Überwachung auf den Domänen-Controllern
- Detaillierte Analyse der nicht-signierten / unverschlüsselten LDAP-Anfragen
- Erstellung eines Aktionsplans zur Umstellung auf LDAP-Signing / -Encryption
- Individuelle Besprechung und Umsetzung des Aktionsplans
Bitte kontaktieren Sie zur Umsetzung unseren Support per Mail (support@systemhaus-vorort.de) oder telefonisch unter +49 271 3388460-1 und vereinbaren einen zeitnahen Termin. Der Aufwand ist immer individuell abhängig von Ihrer Infrastruktur und den auflaufenden LDAP-Anfragen.