Im März 2020 wird ein Update von Microsoft veröffentlicht, welches die standardmässige Verwendung von LDAP (Lightweight Directory Access Protocol) deaktiviert. Sämtliche Dienste über LDAP auf Port 389 werden deaktiviert und LDAPS auf Port 636 wird erzwungen. Handeln Sie frühzeitig!
Welche Systeme sind betroffen und welche Risiken bestehen?
Betroffen sind Systeme und Services, welche sich über LDAP an die Domain-Controller wenden.
Beispiele:
- AntiSpam-Produkte: Spamfilter zwischen Internet und Mailserver lesen Mailadressen oftmals über LDAP Anfragen gegen die Domain-Controller aus.
- VoIP Infrastrukturen: Infrastrukturen und/oder Umsysteme verwenden LDAP oftmals um Rufnummern oder Kontaktinformationen der Nutzer im Active Directory abzufragen.
- Scan2Mail: Drucker bei denen man Dokumente einscannen und per Mail als PDF weiterleiten kann lesen das Firmenadressbuch oftmals über ein Dienstkonto per LDAP ab. Ohne Verschlüsselung oder Signierung wird auch das nicht mehr funktionieren.
- Reverse Proxy PreAuth/WebApp Auth: Teilweise werden noch Zugangsdaten im Klartext erfragt mit einem «LDAP-Login» gegen den Domain Controller. Die Anwendungen prüft die Gültigkeit und gewährt auf Grund dessen den Zugriff.
- Produkte von Drittanbietern: LDAP ist ein einfaches und universell eingesetztes Protokoll, prüfen Sie auch andere Dienste in ihrem Netzwerk auf die verwendung von LDAP.
Wie muss ich vorgehen?
- Prüfen Sie, welche Clients per LDAP mit den Domain Controllern kommunizieren: Eine Detaillierte Anleitung zur Auswertung, Aktivierung und Umsetzung finden Sie hier: Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing
- Prüfen Sie ihre Firewall/Switch/Router Logs auf Port «389»: Schnell wird ersichtlich, welche Systeme und Services über diesen Port kommunizieren und worauf sie achten müssen.
Brauchen Sie Unterstützung?
Wir sind für Sie da und helfen Ihnen die Thematik anzugehen, damit nächsten Monat keine Probleme auftreten werden!