Gravierende Änderungen an DC´s und LDAP

Gravierende Änderungen für März 2020

Microsoft hat vor kurzem eine Änderung für März 2020 angekündigt, die einen signifikanten Einfluss auf Verbindungen im Verzeichnisdienst hat.

Mit dem Advisory “ADV190023 | LDAP channel binding and LDAP signing requirement for Windows” hat MS eine recht unspektakulär klingende Ankündigung gemacht, welche mit einem Security-Update im März nur mehr signierte oder verschlüsselte Verbindungen auf den Verzeichnis-Dienst LDAP zulassen wird. Diese Erweiterung ist grundsätzlich zu begrüßen, da es die Sicherheit im Netzwerk entsprechend erhöht (Quelle: Support Microsoft)

Sehr viele Geräte, Dienste und Applikationen greifen derzeit unverschlüsselt auf die LDAP Schnittstelle des Active Directory zu. Durch das Einspielen dieses Security Updates wird diesen Applikationen der Zugriff auf den zentralen Verzeichnis-Dienst verwehrt und Benutzer können unter Umständen nicht mehr authentisiert werden.

Nachfolgend finden Sie einige Beispiele, wie sie häufig in der Praxis vorkommen:

• Telefone, die auf das interne Adressbuch zugreifen
• Firewalls, die VPN Benutzer authentisieren
• Drucker/Scanner, für Adressbuchaufgaben
• Web- oder Legacy Applikationen, die den Benutzerstamm aus dem Active Directory verwenden