|
Bereits letzten Monat habe ich eine Seitenempfehlung zu Passwörtern und zum Absichern des Active Directories gehabt. Auch in diesem Monat ist dies wieder Thema.
Die bösen Buben da draußen werden immer kreativer und wenn euch etwas an eurer Domain liegt, solltet ihr ebenfalls die Stellschrauben kennen, die euch zur Verfügung stehen. Zwei Themen sind
dabei von extremer Wichtigkeit:
1. Schützt die übertragenen Anmeldeinformationen.
Standardmäßig erlaubt auch ein aktuell aufgesetztes AD immer noch alte Sicherheitsmechanismen bei Anmeldungen. Eigentlich muss man sagen, dass dies de facto heute keine
Sicherheitsmechanismen mehr sind. Die Authentifizierung von Objekten im AD sollte eigentlich heute längst über
→
Kerberos
erfolgen. Die Technologie ist bereits alt - sie wurde mit Active Directory Version 2003 eingeführt -, sie ist jedoch um längen besser als die davor gebräuchliche NT Lanmanager-
Authentifizierung, kurz NTLM (egal in welcher Version). Wenn eure Domain aber nicht gerade brandneu aufgesetzt ist, müsst ihr zunächst jedoch sicher sein, dass kein Aufruf das alte
Prozedere mehr nutzt und bei einer sofortigen Abschaltung nicht mehr funktionieren würde. Microsoft erklärt die nötigen Schritte zum Audit und zur Umschaltung hier:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865674(v=ws.10)
2. Sichert die LDAP-Abfragen an euer Active Directory
Microsoft wird noch im Jahr 2020 die Nutzung unverschlüsselter LDAP-Abfragen per Update deaktivieren und die Nutzung von LDAPS forcieren. Ihr könnt zwar den Zahn der Zeit zurückdrehen und
per Gruppenrichtlinie festlegen, dass ihr bei LDAP verbleiben wollt, setzt damit aber eure Domain einem erhöhten Risiko aus, dass einfache Abfragen einem Mitlauscher im Netz z.B. schon
Benutzernamen und Benutzergruppen bekannt werden. Ursprünglich war die Forcierung bereits für das März 2020 Update vorgesehen, wurde jedoch nun verschoben. Allerdings sagt Microsoft, dass
sie den Schritt definitiv noch 2020 gehen werden. Alle Infos gibt es hier:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536#
Und nun noch einmal viel Spaß beim Absichern des Active Directories!
|
Februar 2020
