Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

ADV190023

Ab März 2020 wird Microsoft das LDAP Channel Binding & LDAP Signing erzwingen.

Diese beiden Methoden sollen zur Erhöhung der Sicherheit in der Netzwerkkommunikation zwischen Clients und Domain Controllern dienen.

Betroffen sind folgende Dienste:

  • AD DS (Active Directory-Domänendienste)
  • AD LDS (Active Directory-Lightweight Directory-Dienste)

Im März wird Microsoft ein Sicherheitsupdate veröffentlichen, mit dem im Nachgang, das LDAP Channel Bindung und das LDAP Signing weiter gehärtet werden kann und forciert wird!

Auslöser des Sicherheitsupdate und das Forcieren des Bindings & Signings sind:

Wer die LDAP Standard-Einstellungen auf einem Domain Controller belässt (ohne Bindung und Signierung), der geht das Risiko ein, das ein Angreifer durch Erschleichung erhöhter Rechte weiterhin in der Lage wäre, eine Authentifizierungsanforderung erfolgreich an einen LDAP Server (AD DS oder AD LDS) weiterzuleiten.

Am 13. August wurde die ADV190023 bereits veröffentlicht, siehe hier:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

Domain Controller – Secure Connection Binding

https://www.der-windows-papst.de/2019/12/25/ldap-unsichere-verbindungen/