Plakat: 38. MusikcaféFebruar 2020

Aktuelle Webseitenempfehlunghttps://www.heise.de/newsticker/meldung/Microsoft-stellt-Domaincontroller-langsam-auf-LDAPS-um-4666079.html

Bereits letzten Monat habe ich eine Seitenempfehlung zu Passwörtern und zum Absichern des Active Directories gehabt. Auch in diesem Monat ist dies wieder Thema.

Die bösen Buben da draußen werden immer kreativer und wenn euch etwas an eurer Domain liegt, solltet ihr ebenfalls die Stellschrauben kennen, die euch zur Verfügung stehen. Zwei Themen sind dabei von extremer Wichtigkeit:

1. Schützt die übertragenen Anmeldeinformationen.
Standardmäßig erlaubt auch ein aktuell aufgesetztes AD immer noch alte Sicherheitsmechanismen bei Anmeldungen. Eigentlich muss man sagen, dass dies de facto heute keine Sicherheitsmechanismen mehr sind. Die Authentifizierung von Objekten im AD sollte eigentlich heute längst über → Kerberos erfolgen. Die Technologie ist bereits alt - sie wurde mit Active Directory Version 2003 eingeführt -, sie ist jedoch um längen besser als die davor gebräuchliche NT Lanmanager-Authentifizierung, kurz NTLM (egal in welcher Version). Wenn eure Domain aber nicht gerade brandneu aufgesetzt ist, müsst ihr zunächst jedoch sicher sein, dass kein Aufruf das alte Prozedere mehr nutzt und bei einer sofortigen Abschaltung nicht mehr funktionieren würde. Microsoft erklärt die nötigen Schritte zum Audit und zur Umschaltung hier:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865674(v=ws.10)

2. Sichert die LDAP-Abfragen an euer Active Directory
Microsoft wird noch im Jahr 2020 die Nutzung unverschlüsselter LDAP-Abfragen per Update deaktivieren und die Nutzung von LDAPS forcieren. Ihr könnt zwar den Zahn der Zeit zurückdrehen und per Gruppenrichtlinie festlegen, dass ihr bei LDAP verbleiben wollt, setzt damit aber eure Domain einem erhöhten Risiko aus, dass einfache Abfragen einem Mitlauscher im Netz z.B. schon Benutzernamen und Benutzergruppen bekannt werden. Ursprünglich war die Forcierung bereits für das März 2020 Update vorgesehen, wurde jedoch nun verschoben. Allerdingssagt Microsoft, dass sie den Schritt definitiv noch 2020 gehen werden. Alle Infos gibt es hier:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-update/ba-p/921536#

Und nun noch einmal viel Spaß beim Absichern des Active Directories!
Aktuelle Buchempfehlung 

 

02.02.2020  [Termin] 15.00 Uhr: 38. Musikcafé
Orgelimprovisationen zu Liedern aus dem Gesangbuch auf Zuruf
Georgskirche, Ruinenstraße 37, 44287 Dortmund