Wie von Microsoft in einem kürzlich veröffentlichten Sicherheitshinweis (ADV190023) angekündigt, werden zwei Sicherheitsupdates veröffentlicht, die Änderungen an der LDAP-Kanalbindung (Lightweight Directory Access Protocol) und der LDAP-Signaturhärtung ermöglichen. Der erste Patch (März 2020) fügt neue Audit-Ereignisse und Remap-GPV hinzu, die diese Härtung ermöglichen.
Wichtiger ist jedoch der zweite Patch (H2 2020): Wenn dieses Update angewendet wird, lehnt Microsoft Active Directory einfache LDAP-Bindungen ab, wodurch Sie sich bei keinem Dienst anmelden können, der unverschlüsselten LDAP-Datenverkehr verwendet. Wenn Sie LDAP über SSL in Awingu nicht aktiviert haben, kann dieses Problem auch bei Ihnen auftreten.
Obwohl der Patch noch einige Monate auf sich warten lässt, ist es aus zahlreichen Gründen bereits heute ratsam, LDAP über SSL zu aktivieren, wie in diesem Blog-Beitrag erläutert wird - hier erfahren Sie, wie Sie dies tun können oder wie Sie etwaige Probleme mit diesem Patch mit nur wenigen Klicks beheben können.
LDAP vs. LDAPS
Was ist LDAP?
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll, über das Verzeichnisdienste miteinander kommunizieren, um u. a. Benutzernamen und Passwörter, E-Mail-Adressen, Anmeldeversuche usw. zu übermitteln. Das bedeutet also, dass LDAP Benutzernamen und Passwörter speichert, und auf diese Weise können Anwendungen und Dienste Benutzer anhand dieser Daten überprüfen, um ihnen Zugang zu gewähren.
LDAP und aktives Verzeichnis: Was ist der Unterschied?
Er ist nicht zu verwechseln mit Active Directory, dem Verzeichnisdienst auf Windows-Servern, die das LDAP-Protokoll unterstützen. Um zu funktionieren, benötigt er einen Microsoft Domain Controller und ist in verschiedenen Windows Operating Systemen enthalten.
Obwohl Microsoft Active Directory der branchenübliche Verzeichnisdienst ist, hört man oft, dass stattdessen LDAP verwendet wird - was eigentlich bedeutet, dass ein anderes Verzeichnis verwendet wird, das ebenfalls das LDAP-Protokoll verwendet.
Unsicherer LDAP-Verkehr
LDAP selbst sendet seine Daten "im Klartext" an den Verzeichnisdienst. Daher kann man mit Sicherheit sagen, dass Microsoft diese Änderungen mit gutem Grund eingeführt hat: Ungesicherter LDAP-Verkehr enthält hochsensible Daten, die unverschlüsselt sind und somit ein gefundenes Fressen für Angreifer und Hacker darstellen. Oder, wie Extrahop es ausdrückt: "LDAP-Authentifizierung ist nicht von sich aus sicher. Ein passiver Lauscher könnte Ihr LDAP-Passwort herausfinden, indem er den laufenden Datenverkehr abhört."
Was sind LDAPs?
Es gibt eine Version des Lightweight Directory Access Protocol namens Secure LDAP, bei der die Datenübertragung verschlüsselt wird. Es ist häufiger als "LDAPS" oder "LDAP über SSL" bekannt, so wie HTTP über SSL auch HTTPS genannt wird. "LDAPS verwendet einen eigenen Netzwerkport für die Verbindung zwischen Clients und Servern", sagt ExtraHop, und "der Standardport für LDAP ist Port 389, aber LDAPS verwendet Port 636 und stellt TLS/SSL bei der Verbindung mit einem Client her." Auf diese Weise ist die Verbindung sicherer und gegen Datendiebstahl geschützt.
Microsoft-Anleitung und Änderungen
In ADV190023, "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", hat Microsoft kürzlich angekündigt, dass die Änderungen in 2 Schritten erfolgen werden:
Die Windows-Updates im März 2020 fügen neue Audit-Ereignisse, zusätzliche Protokollierung und eine Neuzuordnung von Gruppenrichtlinienwerten hinzu, die die Härtung von LDAP-Kanalbindung und LDAP-Signierung ermöglichen. Die Updates vom März 2020 nehmen keine Änderungen an LDAP-Signierungs- oder Kanalbindungsrichtlinien oder deren Registrierungsäquivalent auf neuen oder vorhandenen Domänencontrollern vor.
Ein weiteres zukünftiges monatliches Update, das voraussichtlich in der zweiten Hälfte des Kalenderjahres 2020 erscheinen wird, wird die LDAP-Signierung und Kanalbindung auf Domänencontrollern ermöglichen, die mit Standardwerten für diese Einstellungen konfiguriert sind.
Microsoft verschiebt seine Fristen. Dennoch lohnt es sich, diese Maßnahme so bald wie möglich zu ergreifen.
Welche Auswirkungen hat die LDAP-Änderung auf Awingu?
Was ist Awingu?
Awingu ist ein einheitlicher Arbeitsbereich, der den Benutzern einen hochsicheren, kontrollierten und geprüften Zugriff auf alle Unternehmensdateien und legacy-, Web- und SaaS-Anwendungen in einem browserbasierten Arbeitsbereich bietet, der von jedem Gerät aus zugänglich ist. Systemadministratoren müssen nichts auf dem Endgerät des Anwenders installieren, da Awingu vollständig im Browser läuft.
Architektur von Awingu
Awingu nutzt die aktuelle Architektur Ihres Unternehmens und wird als virtuelle Appliance auf den meisten Hypervisoren bereitgestellt. Dies kann ein privater oder öffentlicher cloud sein. Von dort aus wird Awingu in eine klassische Backend-Umgebung eingebunden. Es wird mit einem Verzeichnisdienst (Active Directory), LDAP oder einem externen IdP für die Benutzerverwaltung verknüpft.
Es stellt eine Verbindung zu Anwendungsservern her, auf denen Microsoft RDP für legacy-Anwendungen oder -Desktops läuft. Webanwendungen (z. B. Intranet) können über den "Awingu Reverse Proxy" verbunden werden. Schließlich kann es sich mit klassischen Dateisystemen über WebDAV und CIFS und mit cloud-Speicherumgebungen wie OneDrive von Microsoft verbinden.
Integrierte Fähigkeiten von Awingu
Awingu verfügt über interessante integrierte (Sicherheits-)Funktionen. Werfen wir einen Blick auf einige von ihnen
MFA inklusive: Ermöglicht eine einfache Authentifizierung und Sicherheit, wenn Benutzer zugreifen möchten.
Granulare Nutzungskontrolle: Zusätzliche Sicherheitsebene, da Systemadministratoren die Rechte von Benutzern oder Benutzergruppen sehr detailliert steuern können.
Kontextabhängigkeit: Definieren Sie geografische Standorte und/oder IP-Adressen als sichere Zonen pro Benutzerkonto oder Benutzergruppe. Innerhalb dieser Sicherheitszonen können die Benutzer auf alle Anwendungen und Dateifreigaben zugreifen.
Nutzen Sie (externe) Identitätsanbieter (IdP): Sie verwenden bereits einen externen Identitätsanbieter (z. B. Azure AD, Okta, Google Identity)? Sie können eine SAML- oder OpenID Connect-Verbindung zu diesem Dienst einrichten (vollständige SSO- oder Vorauthentifizierungsmodelle werden beide unterstützt), um alle vom externen Dienst angebotenen Sicherheitsdienste zu nutzen.
Awingu und LDAP
Wenn Ihre Awingu-Domäne so konfiguriert ist, dass sie über LDAP läuft, können Ihre Benutzer nach dem Patch vom März 2020 nicht mehr direkt auf Awingu zugreifen. Die folgende Fehlermeldung wird angezeigt, wenn Benutzer versuchen, sich bei ihrem Arbeitsbereich anzumelden:
Es wird dringend empfohlen, Ihr Active Directory so vorzubereiten, dass eine LDAPS-Verbindung von Awingu aus möglich ist, nicht nur, um die Anmeldemöglichkeit für Ihre Benutzer zu gewährleisten, sondern auch, um eine (wenig aufwändige, aber sehr lohnende) Sicherheitsebene über Ihre Umgebung zu legen. Glücklicherweise ist dies in Ihrem Active Directory mit nur wenigen Klicks erledigt:
Vergewissern Sie sich, dass der Port 636 zwischen Awingu und dem Active Directory offen ist.
Installieren Sie die folgende Rolle in Ihrem Active Directory: Server-Manager -> Verwalten -> Rollen und Funktionen hinzufügen -> Rollenbasierte oder funktionsbasierte Installation -> Active Directory-Zertifikatsdienste. Es muss nur die Zertifizierungsstelle installiert werden (kein Neustart erforderlich).
Nach der Installation erhalten Sie ein Popup-Fenster zur Konfiguration der Zertifikatsdienste:
- Wählen Sie die Rolle Zertifizierungsstelle:
Unternehmens-CA auswählen
Root CA auswählen
Wählen Sie "Neuen privaten Schlüssel erstellen" und lassen Sie alles beim Alten
Klicken Sie schließlich auf "Konfigurieren".
Starten Sie den Active Directory-Server neu
Nach dem Neustart Ihres Active Directory-Servers werden Sie erfreut feststellen, dass die Aktivierung von LDAP über SSL eine sofort einsatzbereite Option in Awingu ist, die über einen einfachen Ein/Aus-Schalter verfügt:
Aktivieren von SSL über HTTP in Awingu
Die obige Methode wird verwendet, um LDAP über SSL mit Awingu zu aktivieren. Unser Unified Workspace bietet jedoch auch die Möglichkeit, HTTP über SSL zu aktivieren, um alle Datenübertragungen vom Gerät zu Ihrer Awingu-Appliance und App-/Dateiservern zu verschlüsseln. Dies wird am besten durch das folgende Diagramm veranschaulicht:
Um sicherzustellen, dass der Datenverkehr zwischen dem Benutzer und Awingu verschlüsselt ist, können Sie HTTPS aktivieren, indem Sie die folgenden Schritte befolgen, die von unserem COO Steven Dewinter im Video unten beschrieben werden:
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
English 
Italian 
German 
Spanish 
French