Die LDAP-Signatur kommt im März - Sind Sie vorbereitet?

Microsoft veröffentlicht im März ein Sicherheitsupdate, welches eingehende Verbindungen mit nicht signiertem LDAP ablehnt. Auf das Update wurde bereits im August 2018 hingewiesen. Dennoch ist - laut aktueller Umfrage - die Mehrzahl der Kunden nicht über die anstehenden Änderungen informiert. Es ist daher wichtig, dass Sie Ihre Infrastruktur jetzt auf die Anforderung einer LDAP-Signatur vorbereiten, da ansonsten alte Clients und bisher eingesetzte Software nicht mehr reibungslos arbeiten werden. Um Ausfällen vorzubeugen sollten Sie jetzt Ihre Netzwerke fit machen für die LDAP-Signatur.

Was ist eine LDAP-Signatur?

Mit der LDAP-Signatur (LDAP = Lightweight Directory Access Protocol) kann die Sicherheit von Verzeichnisservern erheblich verbessert werden. Verzeichnisserver machen im Netzwerk eine zentrale Sammlung von Daten bestimmter Art verfügbar. Die Daten sind dabei hierarchisch angelegt und können nach dem Client-Server-Prinzip verglichen, gesucht, erstellt, modifiziert und gelöscht werden. Verzeichnis steht dabei sinngemäss für eine Art Telefonbuch und nicht für Dateiordner im Computersystem. Vorrangig werden solche Verzeichnisse für die zentrale Sammlung und Verwaltung von Benutzerdaten zur Bereitstellung von Apps eingesetzt. Mit dem neuen Sicherheitsupdate werden ab März 2020 neue Auditevents, zusätzliche Protokollierung und ein Remapping von Group Policy Werten aktiviert, damit LDAP Channel Binding und LDAP Signing besser gesichert wird. Mit einem weiteren geplanten Update in der zweiten Jahreshälfte werden dann alle nicht signierten LDAP-Kommunikationen blockiert. Die LDAP-Signatur benötigen Sie daher dringend um die Kommunikation mit Domänencontrollern weiter zu ermöglichen.

Vorteile:

• Authentifizierung der Benutzer mittels vorhandener Unternehmensanmeldedaten
• Keine Änderungen an der Firewall nötig
• Verschlüsselte und sichere Übertragung der Anmeldedaten
• Sichere Konfiguration für andere Infrastrukturkomponenten - Verwendbar für Workspace ONE

Bereiten Sie jetzt Ihr Netzwerk auf die LDAP-Signatur vor

Wenn Sie Ihre bisherige Standardbetriebssystemkonfiguration für Microsoft-Clients und -Server nach dem Sicherheitsupdate weiter nutzen wird die Kommunikation mit Domänencontrollern fehlschlagen. Daher sollten Sie Ihr Netzwerk jetzt unbedingt auf die Anforderung einer LDAP-Signatur vorbereiten. Ansonsten kann keine Kommunikation mit nicht signierten Nachrichten mehr erfolgen. Wir empfehlen daher dringend die zeitnahe ordnungsgemässe Konfiguration von Clients und Domänencontrollern für die Verwendung der LDAP-Signatur, da ansonsten Dienstausfälle drohen. Detaillierte Informationen zur LDAP-Signatur und dem Sicherheitsupdate finden Sie auf dieser Seite und in diesem Artikel von Heise.de.

Kompatibilitätsprobleme vermeiden durch Aktivierung der LDAP-Signatur

Um Kompatibilitätsprobleme zwischen Anwendungen und Betriebssystemen aufzuspüren und zu beheben empfehlen wir dringend, die LDAP-Kanalbindung und die LDAP-Signatur bis spätestens zum März 2020 zu aktivieren.  Nur so können grössere Ausfälle verhindert werden.

Wir stehen Ihnen bei der Umsetzung dieser komplexen Anforderungen bezüglich des Sicherheitsupdates für die LDAP-Signatur zur Seite und bitten Sie, sich zur weiteren Vorgehensweise mit uns in Verbindung zu setzen.