Suchen

Mehr Sicherheit in Active Directory LDAP-Signierung und LDAP Channel Binding für Domänencontroller

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Mit verschiedenen Updates hat Microsoft neue Gruppenrichtlinien integriert, mit denen Domänencontroller wesentlich sicherer betrieben werden können. Zunächst wollte Microsoft die Einstellungen auch gleich automatisch aktivieren, überlässt diese Vorgehensweise aber zunächst (noch) den Admins. Wir zeigen, wie das geht.

Firma zum Thema

Die Signierung des LDAP-Verkehrs zwischen Clients und Domänencontrollern macht den Datenverkehr in Active Directory deutlich sicherer.
Die Signierung des LDAP-Verkehrs zwischen Clients und Domänencontrollern macht den Datenverkehr in Active Directory deutlich sicherer.
(Bild: © momius - stock.adobe.com)

Mit der Signierung des LDAP-Verkehrs (Lightweight Directory Access Protocol) zwischen Clients und Domänencontrollern kann der Datenverkehr in Active Directory deutlich sicherer gestaltet werden. Bei diesem Vorgang werden Zugriff und Client durch die Domänencontroller validiert und können nicht mehr durch Angriffe ausgelesen werden. Ohne die Aktivierung der LDAP-Signatur besteht die Gefahr, dass Domänencontroller von Angreifern kompromittiert werden, indem ein Angreifer über einen Man-in-the-Middle-Angriff Daten manipuliert.

LDAP-Signierung und LDAP Channel Binding dürfen jedoch nicht mit LDAPS verwechselt werden. Zwar kann die LDAD-Signierung auch mit LDAPS abgekürzt werden, zumeist handelt es sich bei LDAPS aber um die Verschlüsselung des Datenverkehrs zwischen Client und Server. LDAP-Signierung und LDAP Channel Binding funktionieren auch ohne Verschlüsselung zu LDAPS.

Bildergalerie

Microsoft hat in den letzten Updates für alle Windows-Versionen Optionen eingefügt, mit denen Domänencontroller wesentlich sicherer mit dem Netzwerk kommunizieren können. Denn Angriffe auf LDAP sind häufig und bringen das ganze Netzwerk in Gefahr, da die Angreifer über LDAP an Berechtigungen in Active Directory kommen können.

Microsoft will dem ungesicherten Zugang per LDAP einen Riegel vorschieben und hat daher verschiedene Gruppenrichtlinieneinstellungen in Windows-Server integriert, mit denen die Verbindungen abgesichert werden sollten. Um die Einstellungen zu verstehen, hilft auch der Beitrag „LDAP Channel Binding and LDAP Signing Requirements – March 2020 update final release“ aus der Microsoft Tech-Community.

Microsoft hat dazu in allen unterstützten Windows-Versionen die Möglichkeit geschaffen, sich mit LDAPS zu verbinden. Auch Windows 7 SP1 wird unterstützt. Allerdings lassen sich Netzwerke, die noch mit Windows XP arbeiten nicht mit der LDAP-Signatur absichern, da Windows XP diese Kommunikation nicht unterstützt.

Microsoft wollte die LDAP-Signatur automatisch aktivieren

Ursprünglich wollte Microsoft diese Einstellungen durch das kumulative Update des Patchday im März 2020 automatisch aktivieren. Da allerdings dadurch einige Probleme in Active Directory auftauchen könnten, wurden diese Optionen (noch) nicht automatisch durch Microsoft aktiviert. Derzeit überlässt Microsoft (noch) den Administratoren selbst die Aktivierung dieser Optionen, um den LDAP-Verkehr abzusichern.

Unabhängig davon, ob Microsoft die LDAP-Signatur automatisch aktiviert und LDAP ohne Signatur deaktiviert, sollten sich Administratoren mit dem Thema auseinandersetzen und die Optionen selbst aktivieren. Dabei sollte im Vorfeld getestet werden, ob LDAP-Abhängige Serverdienste die Kommunikation mit der LDAP-Signatur beherrschen. Ist das nicht der Fall, sollten diese Produkte möglichst aktualisiert werden, damit die LDAP-Signatur aktiviert werden kann.

Microsoft empfiehlt die Aktivierung der LDAP-Signatur dringend

Die Aktivierung der LDAP-Signatur erfolgt über Gruppenrichtlinien. Microsoft empfiehlt die Aktivierung dringend. Die Vorgehensweise wird auch ausführlich im Beitrag ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing erklärt.

Die Einstellungen sind in den Gruppenrichtlinien im Pfad „Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“ zu finden.

Zusätzlich wurden auch neue Überwachungsfunktionen integriert. Diese lassen sich auf den Domänencontrollern auch durch Einträge in der Registry aktivieren. Dies lässt sich ganz einfach über eine Eingabe in die Befehlszeile umsetzen:

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2 

Probleme nach Aktivierung der LDAP-Signatur erkennen

Sobald die LDAP-Signatur auf den Domänencontrollern per Richtlinie aktiviert wurde, werden normale LDAP-Abfragen nicht mehr akzeptiert. Vor und nach der Aktivierung sollte in den Ereignisanzeigen der Domänencontroller überprüft werden, ob es Einträge mit den IDs 2886, 2887, 2888 und 2889 gibt. Hierbei handelt sich um nicht signierte Anfragen.

IDs mit der Nummer 2889 werden erstellt, wenn ein Client keine Signierung nach der Authentifizierung am DC nutzt. Hier sind auch die IP-Adresse und der Name des Servers zu sehen. Mit der ID 2886 wird darüber informiert, dass DCs derzeit noch keine LDAP-Signatur nutzen, 2887 informiert über die Anzahl nicht gesicherter Verbindungen. Die ID 2888 zeigt die Anzahl blockierter Verbindungen an, wenn die LDAP-Signatur aktiviert wurde.

Auch die IDs 3039, 3040 und 3041 spielen hier eine wichtige Rolle. Hier ist zum Beispiel zu erkennen, welche Serverkonten sich mit LDAP verbinden, von welcher IP-Adresse die Anfrage gestellt und welches Konto dabei verwendet wurde. Die IDs 3039, 3040 und 3041 spielen auch nach der Aktivierung von der LDAP-Signatur eine Rolle. Hier werden Clients und Vorgänge aufgelistet, die sich mit einem Channel Binding Token (CBT) sicher per LDAP-Signatur mit Active Directory verbinden, oder Clients, die das nicht können und daher blockiert werden.

Vor allem Anwendungen die LDAP nutzen und nicht auf Windows setzen haben unter Umständen Probleme bei der Verbindung mit der LDAP-Signatur und LDAP Channel Binding. Das sollte im Vorfeld überprüft und nach der Aktivierung getestet werden. Auch Windows XP ist nicht in der Lage mit der LDAP-Signatur zu kommunizieren. Wer noch auf dieses Betriebssystem setzt, kann die Aktivierung also nicht durchführen.

Active Directory im Fokus
Bildergalerie mit 37 Bildern

(ID:46590151)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist