LDAP-Signierung und LDAP Channel Binding für Domänencontroller

Mehr Sicherheit in Active Directory LDAP-Signierung und LDAP Channel Binding für Domänencontroller

05.06.2020 Von Thomas Joos

Anbieter zum Thema

Paessler AG

Cradlepoint GmbH

Southern Tech GmbH

Microsoft Deutschland GmbH

Mit verschiedenen Updates hat Microsoft neue Gruppenrichtlinien integriert, mit denen Domänencontroller wesentlich sicherer betrieben werden können. Zunächst wollte Microsoft die Einstellungen auch gleich automatisch aktivieren, überlässt diese Vorgehensweise aber zunächst (noch) den Admins. Wir zeigen, wie das geht.

Die Signierung des LDAP-Verkehrs zwischen Clients und Domänencontrollern macht den Datenverkehr in Active Directory deutlich sicherer.
(Bild: © momius - stock.adobe.com)

Mit der Signierung des LDAP-Verkehrs (Lightweight Directory Access Protocol) zwischen Clients und Domänencontrollern kann der Datenverkehr in Active Directory deutlich sicherer gestaltet werden. Bei diesem Vorgang werden Zugriff und Client durch die Domänencontroller validiert und können nicht mehr durch Angriffe ausgelesen werden. Ohne die Aktivierung der LDAP-Signatur besteht die Gefahr, dass Domänencontroller von Angreifern kompromittiert werden, indem ein Angreifer über einen Man-in-the-Middle-Angriff Daten manipuliert.

LDAP-Signierung und LDAP Channel Binding dürfen jedoch nicht mit LDAPS verwechselt werden. Zwar kann die LDAD-Signierung auch mit LDAPS abgekürzt werden, zumeist handelt es sich bei LDAPS aber um die Verschlüsselung des Datenverkehrs zwischen Client und Server. LDAP-Signierung und LDAP Channel Binding funktionieren auch ohne Verschlüsselung zu LDAPS.

Mit LDAPS (LDAP over SSL) können Datenverkehre in Active Directory zusätzlich geschützt werden. (© NicoElNino - stock.adobe.com)

Bildergalerie

LDAP-Signierung und LDAP Channel Binding werden durch eine Gruppenrichtlinie aktiviert. Danach erfolgt die sichere Kommunikation im Netzwerk.

In der Ereignisanzeige kann überprüft werden, ob die LDAP-Signatur- und Channel-Binding-Einstellungen funktionieren, oder ob es Probleme im Netzwerk gibt.

Microsoft hat in den letzten Updates für alle Windows-Versionen Optionen eingefügt, mit denen Domänencontroller wesentlich sicherer mit dem Netzwerk kommunizieren können. Denn Angriffe auf LDAP sind häufig und bringen das ganze Netzwerk in Gefahr, da die Angreifer über LDAP an Berechtigungen in Active Directory kommen können.

Microsoft will dem ungesicherten Zugang per LDAP einen Riegel vorschieben und hat daher verschiedene Gruppenrichtlinieneinstellungen in Windows-Server integriert, mit denen die Verbindungen abgesichert werden sollten. Um die Einstellungen zu verstehen, hilft auch der Beitrag „LDAP Channel Binding and LDAP Signing Requirements – March 2020 update final release“ aus der Microsoft Tech-Community.

Microsoft hat dazu in allen unterstützten Windows-Versionen die Möglichkeit geschaffen, sich mit LDAPS zu verbinden. Auch Windows 7 SP1 wird unterstützt. Allerdings lassen sich Netzwerke, die noch mit Windows XP arbeiten nicht mit der LDAP-Signatur absichern, da Windows XP diese Kommunikation nicht unterstützt.

Microsoft wollte die LDAP-Signatur automatisch aktivieren

Ursprünglich wollte Microsoft diese Einstellungen durch das kumulative Update des Patchday im März 2020 automatisch aktivieren. Da allerdings dadurch einige Probleme in Active Directory auftauchen könnten, wurden diese Optionen (noch) nicht automatisch durch Microsoft aktiviert. Derzeit überlässt Microsoft (noch) den Administratoren selbst die Aktivierung dieser Optionen, um den LDAP-Verkehr abzusichern.

Unabhängig davon, ob Microsoft die LDAP-Signatur automatisch aktiviert und LDAP ohne Signatur deaktiviert, sollten sich Administratoren mit dem Thema auseinandersetzen und die Optionen selbst aktivieren. Dabei sollte im Vorfeld getestet werden, ob LDAP-Abhängige Serverdienste die Kommunikation mit der LDAP-Signatur beherrschen. Ist das nicht der Fall, sollten diese Produkte möglichst aktualisiert werden, damit die LDAP-Signatur aktiviert werden kann.

Microsoft empfiehlt die Aktivierung der LDAP-Signatur dringend

Die Aktivierung der LDAP-Signatur erfolgt über Gruppenrichtlinien. Microsoft empfiehlt die Aktivierung dringend. Die Vorgehensweise wird auch ausführlich im Beitrag ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing erklärt.

Die Einstellungen sind in den Gruppenrichtlinien im Pfad „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“ zu finden.

Zusätzlich wurden auch neue Überwachungsfunktionen integriert. Diese lassen sich auf den Domänencontrollern auch durch Einträge in der Registry aktivieren. Dies lässt sich ganz einfach über eine Eingabe in die Befehlszeile umsetzen:

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2 

Probleme nach Aktivierung der LDAP-Signatur erkennen

Sobald die LDAP-Signatur auf den Domänencontrollern per Richtlinie aktiviert wurde, werden normale LDAP-Abfragen nicht mehr akzeptiert. Vor und nach der Aktivierung sollte in den Ereignisanzeigen der Domänencontroller überprüft werden, ob es Einträge mit den IDs 2886, 2887, 2888 und 2889 gibt. Hierbei handelt sich um nicht signierte Anfragen.

IDs mit der Nummer 2889 werden erstellt, wenn ein Client keine Signierung nach der Authentifizierung am DC nutzt. Hier sind auch die IP-Adresse und der Name des Servers zu sehen. Mit der ID 2886 wird darüber informiert, dass DCs derzeit noch keine LDAP-Signatur nutzen, 2887 informiert über die Anzahl nicht gesicherter Verbindungen. Die ID 2888 zeigt die Anzahl blockierter Verbindungen an, wenn die LDAP-Signatur aktiviert wurde.

Auch die IDs 3039, 3040 und 3041 spielen hier eine wichtige Rolle. Hier ist zum Beispiel zu erkennen, welche Serverkonten sich mit LDAP verbinden, von welcher IP-Adresse die Anfrage gestellt und welches Konto dabei verwendet wurde. Die IDs 3039, 3040 und 3041 spielen auch nach der Aktivierung von der LDAP-Signatur eine Rolle. Hier werden Clients und Vorgänge aufgelistet, die sich mit einem Channel Binding Token (CBT) sicher per LDAP-Signatur mit Active Directory verbinden, oder Clients, die das nicht können und daher blockiert werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Vor allem Anwendungen die LDAP nutzen und nicht auf Windows setzen haben unter Umständen Probleme bei der Verbindung mit der LDAP-Signatur und LDAP Channel Binding. Das sollte im Vorfeld überprüft und nach der Aktivierung getestet werden. Auch Windows XP ist nicht in der Lage mit der LDAP-Signatur zu kommunizieren. Wer noch auf dieses Betriebssystem setzt, kann die Aktivierung also nicht durchführen.