Vor Update: Microsoft rudert zurück

Update vom 05.03.2020:

Geplante Änderung am LDAP-Zugriff auf Active Directory Infrastrukturen wird (vorerst) ausgesetzt.

Nachdem die für den 10. März angekündigte Zwangsumstellung zunächst auf das zweite Halbjahr 2020 verschoben wurde, mehr dazu >> hier, rückt Microsoft jetzt offenbar auch hiervon ab. Laut eigenen Angaben ist immer noch ein Update für März geplant, allerdings keines im ursprünglich angenommenen Ausmaß: Das Sicherheitsupdate soll demnach erweitere Steuerungs- und Kontrollfunktionen für LDAP-Zugriffe auf Domain Controller bereitstellen, jedoch keine Anpassungen vornehmen oder erzwingen. Mehr dazu finden Sie >> hier.
Über das künftige Vorgehen liegen uns aktuell keine Informationen vor.

Unabhängig von Microsofts Plänen empfehlen wir Ihnen weiterhin die Umstellung auf verschlüsselte LDAP-Anfragen. Denn nur so stellen Sie die Vertraulichkeit und Integrität in der Datenübertragung sicher.

++++++++++++++++++++++++++++++++++++

Handlungsbedarf durch Windows Update: Änderungen am LDAP-Zugriff auf Active Directory Infrastrukturen

Kleines Sicherheitsupdate – große Auswirkungen

Das Lightweight Directory Access Protocol (LDAP) wird von einer Vielzahl von Produkten und Komponenten genutzt, um Informationen über Benutzer, Gruppen, Geräte und Strukturen aus dem Active Directory auszulesen. Jede Änderung an diesem Verzeichniszugriff wirkt sich unmittelbar auf die Funktionalität aus.

Warum ist es wichtig jetzt darüber zu sprechen?
Im August 2019 kündigte Microsoft in einem relativ unscheinbaren Advisory an, aus Sicherheitsgründen unverschlüsselte LDAP-Kommunikation zu Active Directory Domain Controllern zu unterbinden. Mehr dazu >> hier
Ursprünglich für bereits Mitte Januar vorgesehen, ist infolge zahlreicher besorgter Rückmeldungen die Verteilung per Windows-Update nun für den 10. März 2020 geplant.

Aber, wie heißt es so schön? Aufgeschoben ist nicht aufgehoben!
Nach wie vor besteht dringender Handlungsbedarf, denn: Nach dem Einspielen des Updates wird das unverschlüsselte Abrufen der Verzeichnisinformationen voraussichtlich nicht mehr möglich sein. Weitere Informationen von Microsoft >> hier

Betroffen sind hiervon auch Produkte aus unserem lmbit-Portfolio.
Der nachfolgenden Liste können Sie entnehmen, bei welchen Produkten die Konfiguration zumindest geprüft und ggf. angepasst werden müssen:

  • Cisco Email Security
  • Citrix ADC (NetScaler)
  • CONTECHNET-Suite
  • LMview/check_mk Server
  • LogPoint SIEM
  • macmon NAC
  • Matrix42 Empirum (nur mit LDAPSync-Dienst)
  • Matrix42 Silverback
  • NetApp FAS/AFF Storage Systeme und dazugehörige Applikationen
  • nextcloud
  • Qiata FTA
  • SEPPmail Secure E-Mail Gateway
  • Server Management Adapter (iLO, iRMC, iDRAC, etc.)
  • Sophos Mobile Control
  • Sophos SafeGuard Enterprise
  • Sophos UTM
  • Sophos XG
  • Sophos Secure Email Gateway
  • Sophos Secure Web Appliance
  • VMware vCenter
  • WatchGuard Firebox

Achtung: Darüber hinaus können weitere Produkte und Komponenten betroffen sein.
Auch hier empfehlen wir eine Prüfung vor dem anstehenden Windows Sicherheitsupdate. Dabei sowie evtl. anfallenden Anpassungen unterstützen wir Sie sehr gern – sprechen Sie uns einfach an!

Für weitere Informationen und Rückfragen steht Ihnen, wie gewohnt, unser Helpdesk unter helpdesk@lmbit.de oder Tel.: 0431 6703 111 zur Verfügung.