ITSDONE-Blog_LDAP wird der Stecker gezogen

LDAP wird bald der Stecker gezogen…

February 24, 2020 3:37 pm | Published by

ITSDONE Analyse statt Glaskugel

Am 13. August 2019 veröffentlichte Microsoft ein (zunächst) unscheinbares Security Advisory.
(nachzulesen auf support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows)

Kunden wurde empfohlen zwei AD-Einstellungen zum Schutz der Domain Controller anzupassen.

Allerdings sind dies zwei Änderungen, die massive Auswirkungen auf den Betrieb haben können…

 

LDAP – Lightweight Directory Access Protocol

LDAP wurde in den neunziger Jahren entwickelt, um einfache und einheitliche Objektdaten abfragen zu können. Lightweight Directory Access Protocol wird nun im meist verbreiteten Directory Service (MS AD) als eines der wichtigsten Zugriffsprotokolle verwendet. Da sich die Angriffsvektoren seit der Entwicklung von LDAP verbessert haben, kam es immer häufiger dazu, dass dieses Protokoll missbräuchlich verwendet wurde, um sensible Daten im Zuge eines Cyberangriffes zu beschaffen.

 

Was bedeutet das?

Ab März 2020 wird Microsoft das LDAP Channel Binding und die LDAP Signaturanforderung (LDAPS) standardmäßig aktivieren. Das bedeutet, dass zukünftig alle Systeme welche KEIN LDAP Channel Binding oder LDAPS verwenden, nicht mehr funktionieren.

 

Welche Systeme und Applikationen sind betroffen?

In gewachsenen Systemen kann dies hunderte von Applikationen betreffen. Denken Sie an Ihre Drucker, Ticketsysteme, Telefonsysteme, WLAN Infrastruktur oder zusammengefasst alle Systeme, welche Daten aus dem Active Directory lesen.

 

Was können Sie tun?

Den Patch vom 20. März auslassen? Schlechte Idee! Grundsätzlich gilt, dass Security Patches nicht grundlos zur Verfügung gestellt werden. Allerdings ist hier auch zu beachten, dass ein ungeplantes Patchfenster ab dem 20. März große Produktionsstillstände verursachen kann.

Somit müssen Sie sich die Frage stellen, welche Systeme LDAP verwenden. Statt der „Glaskugel“-Methode empfehlen unsere ITSDONE Experten ein zweistufiges Analyse-Verfahren:

  • Standard Analyse: Hier wird mit speziellen Mitteln auf Ihren Domaincontrollern überprüft, welche Applikationen bzw. Systeme auf LDAP zugreifen. Im Anschluss daran erstellen wir gemeinsam einen Plan zur Umstellung aller benötigten Applikationen.
  • Erweiterte Analyse: Hier werden wir mit speziellen Appliances den Traffic auf Ihren Core-Switches monitoren. Je größer Ihre Umgebung ist, umso mehr empfehlen wir diese Vorgehensweise. Hier entsteht gemeinsam mit Ihnen im Anschluss ein Plan zur Umstellung der benötigten Applikationen.

 

Gabriel Wernbacher (gabriel.wernbacher@itsdone.at) ist Head of Cloud Services bei ITSDONE.

 

Tags: , , ,

This post was written by Gabriel Wernbacher