2020 LDAP-Kanalbindung und LDAP-Signaturanforderung für Windows

Gilt für: Windows 10, version 1909Windows 10, version 1903Windows 10, version 1809

Zusammenfassung


Die LDAP-Kanalbindung und die LDAP-Signatur bieten Möglichkeiten, die Sicherheit der Netzwerkkommunikation zwischen Active Directory Domain Services (AD DS) oder Active Directory Lightweight Directory Services (AD LDS) und den zugehörigen Clients zu erhöhen. Bei der Standardkonfiguration für LDAP-Kanalbindung und LDAP-Signatur (Lightweight Directory Access-Protokoll) besteht eine Sicherheitsanfälligkeit, durch die Active Directory-Domänencontroller Sicherheitsrisiken bezüglich Rechteerweiterungen ausgesetzt sind.  Die Microsoft-Sicherheitsempfehlung ADV190023 behebt das Problem, indem Administratoren empfohlen wird, die LDAP-Kanalbindung und LDAP-Signatur auf Active Directory-Domänencontrollern zu aktivieren. Diese Sicherheitsoptimierung muss manuell erfolgen, bis das Sicherheitsupdate veröffentlicht wird, mit dem diese Einstellungen standardmäßig aktiviert werden. 

Microsoft beabsichtigt, ein Sicherheitsupdate per Windows Update zu veröffentlichen, um Änderungen an der Sicherheitsoptimierung von LDAP-Kanalbindung und LDAP-Signatur zu ermöglichen, und geht davon, dass dieses Update im März 2020 verfügbar sein wird.

Warum diese Änderung notwendig ist


Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Sicherheitsoptimierungen vorzunehmen, da bei Verwendung der Standardeinstellungen eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen in Microsoft Windows besteht. Mittels dieser Sicherheitsanfälligkeite könnte ein Man-in-the-Middle-Angreifer eine Authentifizierungsanforderung erfolgreich an einen Windows LDAP-Server weiterzuleiten, z. B. ein System, auf dem AD DS oder AD LDS ausgeführt wird und das nicht dafür konfiguriert wurde, das Signieren oder Versiegeln eingehender Verbindungen vorauszusetzen.  Sie können die Sicherheit eines Verzeichnisservers erheblich verbessern, indem Sie den Server so konfigurieren, dass SASL-LDAP-Bindungen (Simple Authentication and Security Layer), die keine Signaturen anfordern (Integritätsüberprüfung), oder einfache LDAP-Bindungen, die über eine Klartextverbindung (ohne SSL/TLS-Verschlüsselung) vorgenommen werden, abgelehnt werden. SASL kann Protokolle wie zum Beispiel Negotiate, Kerberos, NTLM und Digest einschließen. Nicht signierter Netzwerkverkehr ist anfällig für Replay-Angriffe, bei denen ein Angreifer den Authentifizierungsversuch und die Ausstellung eines Tickets abfängt. Der Angreifer kann das Ticket wiederverwenden, um die Identität des legitimen Benutzers anzunehmen. Darüber hinaus ist nicht signierter Netzwerkverkehr anfällig für „Man-in-the-Middle“-Angriffe, bei denen ein Angreifer Pakete zwischen Client und Server abfängt, die Pakete ändert und sie anschließend an den Server weiterleitet. Wenn dies auf einem LDAP-Server geschieht, kann ein Angreifer den Server zu Entscheidungen veranlassen, die auf gefälschten Abfragen vom LDAP-Client basieren.

Empfohlene Maßnahmen


Wir empfehlen Administratoren dringend, die LDAP-Kanalbindung und LDAP-Signatur bis März 2020 zu aktivieren, um Betriebssysteme, Anwendungen oder Kompatibilitätsprobleme mit Geräten in ihrer Umgebung zu finden und zu beheben.  Wenn ein Kompatibilitätsproblem gefunden wird, sollten sich Administratoren wegen Unterstützung an den Hersteller des jeweiligen Betriebssystems, der jeweiligen Anwendung oder des jeweiligen Geräts wenden.

Wichtig Alle Betriebssystemversionen, Anwendungen und Zwischengeräte, die eine Man-in-the-Middle-Überprüfung des LDAP-Datenverkehrs durchführen, sind am wahrscheinlichsten von dieser Sicherheitsoptimierungsänderung betroffen.

Zeitplan für Sicherheitsupdates


Microsoft verfolgt für die Einführung der Unterstützung von LDAP-Kanalbindung und LDAP-Signaturen den folgenden Zeitplan. Beachten Sie, dass sich der Zeitplan ändern kann. Wir werden diese Seite zu Beginn des Prozesses und bei Bedarf aktualisieren.

Zieltermin

Ereignis

Gültigkeitsbereich

Dienstag, 13. August 2019

Ergreifen Sie Maßnahmen: Microsoft-Sicherheitsempfehlung ADV190023 wurde veröffentlicht, um die Unterstützung von LDAP-Kanalbindung und LDAP-Signaturen einzuführen. Administratoren müssen diese Einstellungen in ihrer Umgebung testen, nachdem sie diese manuell auf ihren Servern angepasst haben.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1, 
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909

März 2020

Erforderlich: Sicherheitsupdate verfügbar unter Windows Update für alle unterstützten Windows-Plattformen, die LDAP-Kanalbindung und LDAP-Signaturen auf Active Directory-Servern standardmäßig aktivieren.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1,
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909