Mit dem kommenden März Update ändert Microsoft das Verhalten für LDAP Abfragen. Zukünftig werden Abfragen an AD Domänen Controller nur noch verschlüsselt verarbeitet. Das hat zur Folge, dass alle Services wie z. B. NetScaler, SMTP Gateways, Telefonanlagen, etc., welche LDAP Abfragen an die AD DC’s stellen, auf Secure LDAP (LDAPS Port:636) umgestellt werden müssen. Zudem wird der Einsatz eines internen Zertifikats Authorisierung Services damit zwingend notwendig.

Weiterführende Informationen

• https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
• https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
• https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-update-now/ba-p/921536

Wie kann ich das Ausmass dieser Anpassung erfassen?

Das Ausmass kann mittels Event ID 2887 (AD DC’s im Eventlog «Directory Service») visualisiert werden. Der Event 2887 zeigt eine Statistik der vergangenen 24 Stunden für unsignierte und unverschlüsselte LDAP Anfragen an den jeweiligen AD DC.

Für ein detailliertes Log muss der Registry Key:

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\16 LDAP Interface Events

 von 0 auf 2 erhöht werden. Es ist kein Reboot notwendig. Es wird sofort eine neue EventID 2889 geloggt. In den Events 2889 finden sich dann Client-IP und/oder Service Account Namen, welche unverschlüsselte LDAP Anfragen an den AD DC gesendet haben.

Achtung: Vorgängig sollten jedoch alle bereits bekannten Systeme umgestellt, wie auch die maximale Log Grösse von «Directory Service» deutlich erhöht werden (Standard = 1 MB –> 64+ MB). Ansonsten werden auch die 2887 Events der letzten Monate überschrieben (evtl. vorgängig exportieren). Der Registry Key sollte ausserdem nicht dauerhaft auf dem Wert 2 verbleiben, sondern nach kurzer Zeit wieder auf 0 gesetzt werden, da ansonsten dauerhaft extensiv geloggt wird.

Lösungsansatz

Wir empfehlen folgendes, zeitnahes Vorgehen:

1. Sicherstellen dass das Update (noch) NICHT installiert wird (z.B. Domain Controller)
2. Sicherstellen dass LDAPS auf allen AD DC’s funktioniert
3. Bekannte Applikationen prüfen & umstellen
4. Unbekannte Applikationen prüfen & umstellen
5. Auf den AD DC’s advanced LDAP Eventlogging einsetzen um die restlichen LDAP-Clients zu Identifizieren und jeweils umzustellen
6. Update kontrolliert verteilen