Suchen

LDAP-Signierung und LDAP Channel Binding für mehr Sicherheit in Active Directory Netzwerkverkehr von Domänencontrollern absichern

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Microsoft empfiehlt in allen unterstützen Windows-Versionen die Aktivierung der LDAP-Signierung. Dadurch können Angreifer keine ungeschützten LDAP-Verbindungen mehr nutzen, um sich Rechte in Active Directory zu erschwindeln.

Firmen zum Thema

Das Lightweight Directory Access Protocol dient zum Abfragen von Informationen aus einem LDAP-Verzeichnis wie Active Directory und sollte abgesichert werden.
Das Lightweight Directory Access Protocol dient zum Abfragen von Informationen aus einem LDAP-Verzeichnis wie Active Directory und sollte abgesichert werden.
(Bild: © shane - stock.adobe.com)

LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, mit dem das Abfragen von Informationen in einem LDAP-Verzeichnis, wie zum Beispiel Active Directory, ermöglicht wird. Standardmäßig ist der Datenverkehr zwischen Clients und Domänencontrollern nicht validiert und abgesichert. Daher können Angreifer den LDAP-Datenverkehr abfangen, Rechte in Active Directory erhalten und sogar Domänencontroller kompromittieren. Das geschieht in vielen Fällen durch einen Man-in-the-Middle-Angriff. Dabei kann ein Angreifer zum Beispiel die Änderung einer Administrator-Gruppe abfangen und seinen Benutzer in die Administrator-Gruppe aufnehmen.

Angriffe können durch die Aktivierung der Signierung von LDAP und dem LDAP Channel Binding verhindert werden. Denn dadurch werden Clients und Server gegenseitig validiert und Man-in-the-Middle-Angriffe verhindert.

Bildergalerie

Bildergalerie mit 6 Bildern

Die LDAP-Signierung sollte jedoch nicht mit LDAPS verwechselt werden. Bei LDAPS werden LDAP-Verbindungen nicht nur signiert, sondern auch verschlüsselt. Dazu werden Zertifikate verwendet, und die Daten zum Beispiel mit TLS verschlüsselt. Die LDAP-Signierung arbeitet mit LDAP Channel Binding zusammen – beide Verfahren sollten daher auch gemeinsam konfiguriert werden.

Mindestsicherung mit Signierung, Maximalsicherung mit Verschlüsselung

Bei den aktuell empfohlenen Vorgängen werden LDAP-Verbindungen nicht verschlüsselt, aber Client und Server gegenseitig validiert. Das verhindert Man-in-the-Middle-Angriffe und ist relativ leicht einzurichten.

Noch zuverlässiger ist die Verschlüsselung von LDAP mit SSL (LDAPS). Allerdings ist hier die Vorgehensweise etwas komplizierter, da Zertifikate benötigt werden, und die Datenverbindungen mit TLS verschlüsselt werden. Das hat aber mit der Aktivierung der LDAP-Signierung prinzipiell nichts zu tun.

Unterstützung der LDAP-Signierung von Windows und Linux

Die LDAP-Signierung wird von allen Windows-Versionen ab Windows 7 SP1 unterstützt und kann auch entsprechend aktiviert werden. Wer noch Windows XP im Einsatz hat, kann LDAPS nicht aktivieren. Bei der Verwendung von Linux-Systemen sollten sich Administratoren gezielt für die eingesetzte Distribution über das Thema LDAPS informieren.

Beim Einsatz von RHEL ab Version 6 stellt LDAP-Signierung bspw. kein Problem dar. Red Hat geht im Beitrag „Impact of Microsoft Security Advisory ADV190023 | LDAP Channel Binding and LDAP Signing on RHEL and AD integration” genauer darauf ein.

Vier weitere, wichtige Beiträge zu diesem Thema, gibt es von Microsoft. Auch diese sollten vor der Aktivierung genau durchgelesen werden:

Ereignisanzeigen und Ports im Blick behalten

Nicht signierte LDAP-Verbindungen oder Probleme bei signierten Verbindungen werden auf den Domänencontrollern in der Ereignisanzeige protokolliert Hier sollte auf Einträge mit den IDs 2886, 2887, 2888 und 2889 geachtet werden. Hierzu wird vor allem das Protokoll „Anwendungs- und Dienstprotokolle\Directory Service“ genutzt.

Einrichtung der LDAP-Signierung in der Praxis

Vor der Aktivierung der LDAP-Signierung sollten alle Domänencontroller und möglichst auch alle Clients auf den aktuellen Stand gebracht werden. Generell ist es sinnvoll auf den Clients im Netzwerk die Unterstützung der LDAP-Signierung zu aktivieren und danach die gleiche Einstellung auf den Domänencontrollern vorzunehmen.

Vor allem die Installation der aktuellsten Windows-Updates ist hier wichtig. Die Unterstützung der LDAP-Signierung wurde durch das Schließen der Lücke „CVE-2017-8563 | Windows Elevation of Privilege Vulnerability“ in Windows integriert.

Für die Aktivierung der LDAP-Signierung werden Gruppenrichtlinieneinstellungen für die Domänencontroller und Clients angepasst. Die Einstellungen können also in der Richtlinie „Default Domain Controllers Policy“ und „Default Domain Policy“ in der Gruppenrichtlinienverwaltung aktiviert werden. Für die Aktivierung der LDAP-Signierung wird zunächst zum folgenden Pfad gewechselt:

„Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“

Auf den Domänencontrollern wird die Einstellung „Domänencontroller: Signaturanforderungen für LDAP-Server“ aktiviert und auf „Signatur erforderlich“ gesetzt. Allerding sollten hier erst die Clients konfiguriert werden. Die Umsetzung wird am besten in dieser Reihenfolge durchgeführt:

  • 1. Clients so konfigurieren, dass Sie eine LDAP-Signierung anfordern
  • 2. Die Richtlinie auf allen Clients anwenden
  • 3. Clients so konfigurieren, dass LDAP-Signierung erforderlich ist
  • 4. DCs so konfigurieren, dass LDAP-Signierung erforderlich ist
  • 5. Aktivierung der LDAP-Signierung für Clients

Auf den Clients wird die Einstellung „Netzwerksicherheit: Signaturanforderungen für LDAP-Clients“ im gleichen Pfad gesetzt. Hier sollte die Einstellung „Signatur aushandeln“ gesetzt werden. Auch diese Einstellungen können in der „Default Domain Policy“ gesetzt werden. Alternativ kann für Clients auch eine eigene Richtlinie für das Festlegen der LDAP-Signierung festgelegt werden. Von der Reihenfolge her ist es sinnvoll, erst die Einstellung für die Clients zu setzen und zu überprüfen, ob die Richtlinieneinstellung auch bei den Clients angekommen ist.

Wenn auch die Domänencontroller wie oben beschrieben entsprechend konfiguriert sind, kann auch hier die Einstellung „Signatur erforderlich“ bei „Netzwerksicherheit: Signaturanforderungen für LDAP-Clients“ gesetzt werden.

Channel-Binding aktivieren

Channel-Binding wird parallel zur LDAP-Signierung eingesetzt, und kann auch mit LDAPS genutzt werden. Die Einstellungen werden derzeit über Registry-Einstellungen vorgenommen. Mehr dazu ist im Beitrag „Use the LdapEnforceChannelBinding registry entry to make LDAP authentication over SSL/TLS more secure” zu finden.

Active Directory im Fokus

Bildergalerie mit 34 Bildern

(ID:46594832)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist