Sicher, aber ausgesperrt?
Was Microsofts Sicherheitsempfehlungen fürs Active Directory für Admins bedeuten
Mit dem Security Advisory ADV190023 hat Microsoft viele Administratoren verunsichert. Dabei sollen die darin enthaltenen Empfehlungen eigentlich nur für mehr Sicherheit in der Kommunikation mit Active-Directory-Domain-Controllern sorgen und ungesicherte Verbindungen verhindern. Wir haben zusammengefasst, was Admins jetzt wissen müssen, wenn sie mit einem AD und LDAP arbeiten.
Mitte August 2019 hat Microsoft das Advisory ADV190023 herausgebracht. Darin empfehlen die Redmonder, die beiden Einstellungen „LDAP-Channel-Bindung“ und „LDAP-Signaturen“ auf Active-Directory-Domain-Controllern zu aktivieren. Diese sollen eine „sicherere Kommunikation zwischen LDAP-Clients und Active Directory-Domain-Controllern“ garantieren. Weiter kündigt Microsoft an, dass diese Einstellungen in einem späteren Update (zwischenzeitlich war mal vom März 2020 die Rede) automatisch aktiviert werden könnten. Und genau hier fängt das Problem an: Da Microsoft bewusst oder unbewusst sehr schwammig formuliert hat und nicht genau auflistet, welche Verbindungen genau „sicher“ sind, entstand viel Aufregung. Fälschlicherweise nahmen viele Admins an, dass hiermit der Einsatz von SSL/TLS für Verbindungen zum Domain-Controller zwingend vorgeschrieben werde – wer eine Hard- oder Software nutze, die das nicht beherrscht, so die Angst, werde ausgesperrt. Doch ganz so drastisch sind die Änderungen gar nicht. Administratoren sollten sich aber schon jetzt mit den Optionen sicherer LDAP-Verbindungen beschäftigen, auch wenn es aktuell keinen konkreten Termin für Änderungen durch ein Update mehr gibt. Nicht alle Details in diesem Artikel sind in jeder Umgebung von Interesse. Admins reiner Windows-Umgebungen zum Beispiel müssen sich nicht mit allen Feinheiten von TLS-Verbindungen auseinandersetzen.
Begriffsklärung
Mit den Empfehlungen und den für die ferne Zukunft angekündigten Änderungen der Standardeinstellungen will Microsoft das Herzstück von Windows-basierten Firmenumgebungen besser schützen. Die beiden Sicherheitseinstellungen „LDAP-Signierung“ und „LDAP-Channel-Bindung“ beschreibt Microsoft recht dürftig in zwei Dokumenten (alle Texte finden Sie über ct.de/yqb2). Die eigentliche Idee dieser Einstellungen ist, Replay- und Man-in-the-Middle-Angriffe zu verhindern. Bei dieser Art von Attacken versuchen Angreifer, Daten durch Abhören der Netzwerkkommunikation abzufangen und in veränderter Form an das eigentliche Ziel weiterzuleiten. Mithilfe von LDAP-Signaturen wird sichergestellt, dass Daten auf dem Weg vom Absender zum Empfänger nicht verändert wurden – der Absender signiert sie kryptografisch, der Empfänger kann die Signatur verifizieren. Ein Angreifer kann die Inhalte unterwegs nicht verändern und eine gültige Signatur erzeugen.