Die Wartungsversion von Awingu 5.2.4 ist jetzt verfügbar!

Microsoft-Sicherheitsupdate deaktiviert unsichere LDP-Anmeldungen - wie man das Problem behebt und warum

Wie von Microsoft in einem kürzlich veröffentlichten Sicherheitshinweis (ADV190023) angekündigt, werden zwei Sicherheitsupdates veröffentlicht, die Änderungen an der LDAP-Kanalbindung und der LDAP-Signaturhärtung ermöglichen. Der erste Patch (März 2020) fügt neue Audit-Ereignisse und Remap-GPV hinzu, die diese Härtung ermöglichen. Wichtiger ist jedoch der zweite Patch (H2 2020): Wenn dieses Update angewendet wird, lehnt Microsoft AD einfache LDAP-Bindungen ab, wodurch Sie sich bei keinem Dienst anmelden können, der unverschlüsselten LDAP-Datenverkehr verwendet. Wenn Sie LDAP über SSL in Awingu nicht aktiviert haben, könnte dieses Problem auch bei Ihnen auftreten. Obwohl der Patch noch ein paar Monate auf sich warten lässt, ist es aus zahlreichen Gründen bereits heute eine gute Idee, LDAP over SSL zu aktivieren, wie in diesem Blogbeitrag erläutert - hier erfahren Sie, wie Sie das tun können oder wie Sie alle Probleme, die Sie mit diesem Patch haben, mit wenigen Klicks beheben können.

LDAP gegenüber LDAPS

LDAP (Lightweight Directory Access Protocol) ist ein Protokoll, über das Verzeichnisdienste miteinander kommunizieren, um u. a. Benutzernamen, Kennwörter, Anmeldeversuche usw. zu übermitteln. Es ist nicht zu verwechseln mit Active Directory, dem Verzeichnisserver, der das LDAP-Protokoll verwendet. Obwohl Microsoft Active Directory der branchenübliche Verzeichnisdienst ist, kann es vorkommen, dass jemand sagt, er verwende stattdessen "LDAP".

LDAP selbst sendet seine Daten "im Klartext" an den Verzeichnisdienst. Daher kann man mit Sicherheit sagen, dass Microsoft diese Änderungen mit gutem Grund eingeführt hat: Ungesicherter LDAP-Verkehr enthält hochsensible Daten, die unverschlüsselt sind und somit ein gefundenes Fressen für Angreifer und Hacker darstellen. Oder, wie Extrahop es ausdrückt: "LDAP-Authentifizierung ist nicht von sich aus sicher. Ein passiver Lauscher könnte Ihr LDAP-Passwort herausfinden, indem er den laufenden Datenverkehr abhört."

Es gibt eine Version von LDAP namens Secure LDAP, die die Datenübertragung verschlüsselt. Sie ist häufiger als "LDAPS" oder "LDAP über SSL" bekannt, so wie HTTP über SSL auch HTTPS genannt wird. "LDAPS verwendet einen eigenen Netzwerkport für die Verbindung zwischen Clients und Servern", sagt ExtraHop, und "der Standardport für LDAP ist Port 389, aber LDAPS verwendet Port 636 und stellt TLS/SSL bei der Verbindung mit einem Client her."

Microsoft-Anleitung und Änderungen

Unter ADV190023Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", kündigte Microsoft kürzlich an, dass die Änderungen in 2 Schritten erfolgen werden:

      1. Die Windows-Updates im März 2020 fügen neue Audit-Ereignisse, zusätzliche Protokollierung und eine Neuzuordnung von Gruppenrichtlinienwerten hinzu, die die Härtung von LDAP-Kanalbindung und LDAP-Signierung ermöglichen. Die Updates vom März 2020 nehmen keine Änderungen an LDAP-Signierungs- oder Kanalbindungsrichtlinien oder deren Registrierungsäquivalent auf neuen oder vorhandenen Domänencontrollern vor.
      2. Ein weiteres zukünftiges monatliches Update, das voraussichtlich in der zweiten Hälfte des Kalenderjahres 2020 erscheinen wird, wird die LDAP-Signierung und Kanalbindung auf Domänencontrollern ermöglichen, die mit Standardwerten für diese Einstellungen konfiguriert sind.

Microsoft verschiebt seine Fristen. Dennoch lohnt es sich, diese Maßnahme so bald wie möglich zu ergreifen.

Auswirkungen auf Awingu

Wenn Ihre Awingu-Domäne so konfiguriert ist, dass sie über LDAP läuft, können sich Ihre Benutzer nach dem Patch vom März 2020 nicht mehr direkt anmelden. Die folgende Fehlermeldung wird angezeigt, wenn Benutzer versuchen, sich in ihrem Arbeitsbereich anzumelden:

Es wird dringend empfohlen, Ihr Active Directory so vorzubereiten, dass eine LDAPS-Verbindung von Awingu aus möglich ist, nicht nur, um die Anmeldemöglichkeit für Ihre Benutzer zu gewährleisten, sondern auch, um eine (wenig aufwändige, aber sehr lohnende) Sicherheitsebene über Ihre Umgebung zu legen. Glücklicherweise ist dies in Ihrem AD mit nur wenigen Klicks erledigt:

      • Vergewissern Sie sich, dass der Port 636 zwischen Awingu und dem Active Directory offen ist.
      • Installieren Sie die folgende Rolle in Ihrem Active Directory: Server-Manager -> Verwalten -> Rollen und Funktionen hinzufügen -> Rollenbasierte oder funktionsbasierte Installation -> Active Directory-Zertifikatsdienste. Es muss nur die Zertifizierungsstelle installiert werden (kein Neustart erforderlich).
      • Nach der Installation erhalten Sie ein Popup-Fenster zur Konfiguration der Zertifikatsdienste:
      • Wählen Sie die Rolle Zertifizierungsstelle:
      • Unternehmens-CA auswählen
      • Root CA auswählen
      • Wählen Sie "Neuen privaten Schlüssel erstellen" und lassen Sie alles beim Alten
      • Klicken Sie schließlich auf "Konfigurieren".
      • Starten Sie den Active Directory-Server neu

Nach dem Neustart Ihres Active Directory-Servers werden Sie erfreut feststellen, dass die Aktivierung von LDAP über SSL eine sofort einsatzbereite Option in Awingu ist, die über einen einfachen Ein/Aus-Schalter verfügt:

Aktivieren von SSL über HTTP in Awingu

Die obige Methode wird verwendet, um LDAP über SSL mit Awingu zu aktivieren. Unser Unified Workspace bietet jedoch auch die Möglichkeit, HTTP über SSL zu aktivieren, um alle Datenübertragungen vom Gerät zu Ihrer Awingu-Appliance und App-/Dateiservern zu verschlüsseln. Dies wird am besten durch das folgende Diagramm veranschaulicht:

Um sicherzustellen, dass der Datenverkehr zwischen dem Benutzer und Awingu verschlüsselt ist, können Sie HTTPS aktivieren, indem Sie die folgenden Schritte befolgen, wie von unserem COO Steven Dewinter beschrieben:

Erfahren Sie mehr über Awingu!

Über den Autor
karel
Karel Van Ooteghem
Marketingleiter
Inhaltsübersicht
Möchten Sie mehr über Awingu erfahren?
Diese Website verwendet Cookies. Lesen Sie unser transparentes Cookie-Richtlinie!