Was ist zu tun?
hier der offizielle Support Beitrag von Microsoft:
https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
Nun ist es bald soweit. Nach einem kleinen Rückzieher wird Microsoft (dem offiziellen Beitrag folgend, nach der Urlaubszeit 2020) mit einem Update das Standardverhalten der Einstellung „Nicht definiert“ im „Default Domain Controller Policy“ GPO auf „Signatur erforderlich“ umstellen.
Deutscher DC:
Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Domänencontroller: Signaturanforderungen für LDAP-Server
Englischer DC:
Computer Configuration/Policies/Windows Settings/Security Settings/Security Options/Domain Controller: LDAP server signing requirements
Wenn dies also nicht irgendwann geändert wurde, sieht das GPO so aus:
In der Erläuterung erkennt man, dass aktuell noch die Einstellung „Kein“ (also keine Signatur) verwendet wird.
Genau dieses Verhalten wird sich in „Signatur erforderlich“ ändern.
Die Hinweise im GPO beantworten hier auch die Frage nach dem Verhalten von Windows Servern- und Clients.
Also seit XP Professional und Windows Server 2003, „sprechen“ diese Systeme bereits standardmäßig LDAPS, wenn es von den DC’s gefordert wird.
Was ist zu tun?
- Alles auf LDAPS umstellen
Will man LDAPS verwenden und das GPO nicht anpassen, muss man sämtliche Systeme, die mit den DC’s via LDAP kommunizieren, auf LDAPS umstellen, was aus sicherheitstechnischer Sicht auch unumgänglich ist. Dies erfordert dann allerdings, dass gerade alte Systeme LDAPS beherrschen müssen! Ist dem so, muss- eine PKI integriert werden (sofern noch nicht vorhanden) und die Best Practice Empfehlung seitens Microsoft, spricht hier für eine zweistufige Enterprise PKI, bestehend aus einer Root- und einer SUB-CA.
- Anschließend gilt es alle Systeme und Clients zu isolieren, die LDAP verwenden.
- Und am Ende natürlich diese Systeme auf LDAPS umzustellen, also die Anfragen an die DC’s von Port 389 auf 636 zu ändern.
- Das GPO entsprechend so konfigurieren, dass die Domain Controller kein LDAPs erzwingen. (Das sollte aber die Ausnahme sein und ist NICHT empfohlen!) Dazu wäre die Einstellung des o.g. GPO auf „None“ bzw. „Kein“ umzustellen.
Woher weiß ich, welche Systeme noch LDAP (ohne S) erwarten?
- Windows Domain Controller Logging Level erhöhen, damit man die Sources von LDAP Abfragen sieht. Dazu auf allen DC’s die CMD als Administrator starten und folgenden Registry Key setzen
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
- Nach 24 Stunden (LDAP Events werden alle 24h generiert) sucht man also im EventLog
EventViewer –> Application and Services Logs –> Directory Service
aller DC’s nach der EventID 2889 und sieht in den Details dann die Source IP der Anfrage - Jetzt muss das entsprechende System geprüft werden, ob es LDAPS unterstützt. Sollte das System LDAPS (noch immer) nicht unterstützen, ist es primär zu tauschen. Sollte kein Tausch möglich sein, bleibt nur Option 2 (siehe oben).