bohnen-logo

Support: +49 (202) 24755 – 28 | support@bohnen.it

Microsoft stellt Domaincontroller auf LDAPs um

Bis heute gibt es noch Systeme und Anwendungen, die Ihre Anmeldedaten im Klartext per LDAP Verfahren über das Netzwerk zum Active Directory des Domaincontrollers versenden. Dabei kann jeder die Daten im Netzwerk abfangen und mitlesen. Ein Domain Controller ist die Instanz in Ihrem Netzwerk welche zur zentralen Authentifizierung von Computern und Benutzern in Ihrem Netzwerk eingesetzt wird. Im Active Directory werden u.a. Ihre Computer und Benutzer verwaltet.

Jeder IT-affine Mitmensch kann beim Einsatz solcher Systeme und Anwendungen das Kennwort der Personalabteilung, Buchhaltung oder Geschäftsleitung in einem Netzwerk mitlesen und hat somit Zugriff auf vertrauliche Inhalte wie personenbezogene Daten, Lohn- & Gehaltsdaten etc.

Microsoft hat diese Sicherheitslücke erkannt und ändert eine „Standard Richtlinie“ die auf Active Directory Domaincontrollern, Windows Clients sowie diversen anderen Anwendungen und Endgeräten wirkt. Diese Richtlinien-Einstellung hat zur Folge, dass jegliche unverschlüsselte / unsignierte Kommunikation (LDAP) mit Domain Controllern nicht mehr funktionieren wird. Der Hersteller hat angekündigt mit einem im 2. Halbjahr 2020 zu erwartenden Sicherheitsupdate die o.a. Änderung in der Dienste-Kommunikation mit Active Directory Domaincontrollern durchzusetzen. Kommunikation in Netzwerken findet immer auf zwei Seiten statt und auch hier gilt: „der Empfänger bestimmt die Botschaft“.

Sind zum Zeitpunkt der Umstellung durch Microsoft alle anderen Komponenten in Ihrem Netzwerk welche mit dem Active Directory kommunizieren noch nicht umgestellt wird es zu massiven Störungen und Ausfällen kommen.

Seit einiger Zeit bietet Microsoft nun die manuelle Möglichkeit auf verschlüsselte Kommunikation mit dem Active Directory per „LDAP signing and channel binding“ umzustellen. Aufgrund dessen hat nun jeder IT-Verantwortliche selbst die Möglichkeit entsprechende Maßnahmen zu ergreifen, die sogenannte LDAP-Kanalbindung und LDAP-Signaturanforderung auf Active Directory Domaincontrollern jetzt schon manuell abzusichern um im Falle des Security Updates durch Microsoft keine böse Überraschung zu erleben Microsoft empfiehlt, vor der Umstellung potentielle Kompatibilitätsprobleme von Anwendungen und / oder Kommunikationspartnern zu identifizieren und zu beseitigen. Zunächst muss ermittelt werden, welche Systeme und Applikationen nicht kompatibel sind und welche Systeme unverschlüsselt / unsigniert kommunizieren

Dies können folgende Systeme sein:

  • Windows Server & Clients
  • Firewall / E-Mail Gateway (z.B. VPN)
  • ERP Applikation
  • DMS Applikation
  • CTI Software
  • VMware vCenter
  • Citrix Umgebungen
  • Outlook Web Access / Outlook Online (Microsoft Exchange Server)
  • Storage Systeme
  • NAC Systeme
  • Drucker und Multifunktionsgeräte
  • Proxy Lösungen wie McAfee Web Gateway
  • Log-Management Systeme
  • und viele weitere Applikationen

 

Wir raten daher dringend, alle Systeme und Applikationen in und an Ihrem Netzwerk ausfindig zu machen und zu prüfen, ob diese kompatibel mit den Einstellungen sind, welche mit der Umstellung oder der Installation des Sicherheitspatches in Kraft treten. Damit ist es jedoch nicht getan. Damit Ihr Active Directory Domaincontroller verschlüsselt kommunizieren kann, wird jeweils ein Zertifikat benötigt. Dieses Zertifikat hat eine begrenzte Laufzeit und kann von einer internen Zertifikatstelle oder über die Bohnen IT bereitgestellt werden. Gerne stehen wir Ihnen beratend oder helfend zur Seite. Bitte sprechen Sie uns an.

Wer schreibt hier?

Als IT-Dienstleister und Systemhaus realisieren wir Netzwerk-, Hardware-, Software- und Cloud-Lösungen für kleine und mittlere Unternehmen. Sie wollen mehr erfahren? Dann lassen Sie sich unverbindlich beraten. Übrigens: Die Inanspruchnahme unserer Beratungsdienstleistungen im Bereich IT-Sicherheit kann im Rahmen des Förderprogramms „go-digital“ subventioniert werden.

Schlagwörter

Kategorien

Hier gehts direkt zum Support:

Oder Kontaktieren Sie uns hier: