V zadnjih mesecih je bilo veliko govora o nešifrirani LDAP komunikaciji in varnostnem popravku marec 2020 za Windows naprave, ki bi lahko vplivala na delovanje različnih aplikacij in storitev. Mesec marec je tukaj in kaj sedaj?
LDAP komunikacija in marčevski varnostni popravek za Windows naprave
Pomembno dejstvo je, da omenjeni varnostni popravek v tem trenutku ne bo onemogočil LDAP preprostega preverjanja prisotnosti in ravni zaščite, ampak bo skrbnikom omogočil, da zaščitijo krmilnike domene imenika Active Directory pred nešifrirano komunikacijo. Microsoft priporoča, da skrbniki opravijo potrebne spremembe in omogočijo povezovanje kanalov protokola LDAP (LDAP Channel Binding) in podpisovanje protokola LDAP (LDAP Singing) preko šifriranega protokola SSL ali TLS. Omenjena sprememba je pomembna, saj se na takšen način zaščitimo pred tako imenovanim »man-in-the-middle« napadom, ki napadalcu omogoča krajo identitete.
Kaj še prinaša varnostni popravek?
Varnostni popravek nam bo dodal možnost spremljanja dogodkov povzetka (Event ID) 3039, 3040, 3041 s katerimi bomo lahko preverjali povezovanje kanalov protokola LDAP (LDAP Channel Binding) in kliente, ki ne uporabljajo veljavnega žetona (Channel Binding Token). Popravek pa nam bo dodal tudi dodatno GPO politiko »Domain controller: LDAP server channel binding token requirements« s katero bomo lahko omogočili potrebo po povezovanju kanalov protokola LDAP.
Na vseh podprtih platformah sistema Windows pa lahko že nekaj časa spremljamo in omogočimo podpisovanje protokola LDAP (LDAP Singing) z dogodki 2886, 2887, 2888, 2889 in GPO politiko »Domain controller: LDAP server signing requirements«.
Da boste pripravljeni, smo pripravili nekaj priporočil
- S pomočjo dogodkov 2889 in 3039 (privzeto se ne beležijo) poiščite aplikacije in storitve, ki uporabljajo nešifrirano povezavo; pri tem vam lahko pomaga tudi produkt Microsoft Advanced Threat Analytics (ATA),
- Preverite ali aplikacije oziroma storitve omogočajo povezovanje kanalov protokola LDAP (LDAP Channel Binding) in podpisovanje protokola LDAP (LDAP Singing),
- Klienti in strežniki morajo imeti nameščen varnostni popravek CVE-2017-8563,
- Za potrebe šifrirane komunikacije LDAP preko SSL/TLS potrebujemo certifikat, ki ga namestimo na krmilnik domene imenika Active Directory in s tem omogočimo varno povezavo preko porta 636.
- Omogočite šifrirano LDAP komunikacijo
Letošnje leto lahko prinese obvezno šifrirano LDAP komunikacijo
Neuradna informacija pa ostaja, da bo eden izmed varnostnih popravkov v letošnjem letu samodejno omogočil in zahteval šifrirano LDAP komunikacijo, kar bi lahko povzročilo nekaj nevšečnosti v primeru, da ne bomo tega uredili pravočasno.
