Sicherheit im Active Directory: Was Microsofts Sicherheits­empfehlungen bedeuten

Mit dem Security Advisory ADV190023 hat Microsoft viele Administratoren verunsichert. Wir haben zusammengefasst, was Admins diesbezüglich wissen ­müssen.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge

(Bild: Albert Hulm)

Von
  • Thorsten Scherf
Inhaltsverzeichnis

Mitte August 2019 hat Microsoft das Advisory ADV190023 herausgebracht. Darin empfehlen die Redmonder, die beiden Einstellungen "LDAP-Channel-Bindung" und "LDAP-Signaturen" auf Active-Directory-Domain-Controllern zu aktivieren. Diese sollen eine "sicherere Kommunikation zwischen LDAP-Clients und Active Directory-Domain-Controllern" garantieren. Weiter kündigte Microsoft an, dass diese Einstellungen in einem späteren Update (zwischenzeitlich war mal vom März 2020 die Rede) automatisch aktiviert werden könnten.

Und genau hier fängt das Problem an: Da Microsoft bewusst oder unbewusst sehr schwammig formuliert hat und nicht genau auflistet, welche Verbindungen genau "sicher" sind, entstand viel Aufregung. Fälschlicherweise nahmen viele Admins an, dass hiermit der Einsatz von SSL/TLS für Verbindungen zum Domain-Controller zwingend vorgeschrieben werde – wer eine Hard- oder Software nutze, die das nicht beherrscht, so die Angst, werde ausgesperrt. Doch ganz so drastisch sind die Änderungen gar nicht. Administratoren sollten sich aber schon jetzt mit den Optionen sicherer LDAP-Verbindungen beschäftigen, auch wenn es aktuell keinen konkreten Termin für Änderungen durch ein Update mehr gibt.

Nicht alle Details in diesem Artikel sind in jeder Umgebung von Interesse. Admins reiner Windows-Umgebungen zum Beispiel müssen sich nicht mit allen Feinheiten von TLS-Verbindungen auseinandersetzen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+