none
Security Advisory ADV190023 RRS feed

  • Frage

  • In diesem Advisory wird beschrieben, dass die Parameter ab Januar 2020 gesetzt werden.

    Hier https://support.microsoft.com/de-ch/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

    Gibt es 3 Möglichkeiten. Welcher Wert wird im Update gesetzt, 1 oder 2? Weiss das jemand?

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Dienstag, 8. Oktober 2019 09:06

Alle Antworten

  • In dem Advisory wird beschrieben, das neue Registrierungsschlüssel  verfügbar werden, nicht das sie gesetzt sind.

    Ich habe es noch nicht ausprobiert, aber ich gehe davon aus, das die Schlüssel manuell anzulegen sind.

    Gruß

    Dienstag, 8. Oktober 2019 09:24
  • Hallo Marc,

    ich zitiere aus dem Advisory:

    https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

    In an upcoming release in early 2020, Microsoft will provide a Windows update that by default will change the LDAP channel binding and LDAP signing to more secure configurations.

    https://support.microsoft.com/de-ch/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

    This hardening must be done manually until the release of the security update that will enable these settings by default. 

    Von daher gehe ich davon aus, das ab dem Q1/2020 diese Settings auf den DC's und den anderen Windows-Produkten eingeschaltet werden. 

    LDAP-Signing kennt 0 oder 1:

    https://support.microsoft.com/de-ch/help/935834

    LDAP Enforce Channel Binding kennt 0, 1 oder 2:

    https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

    Ich denke, LDAP Signing wird 1 und Enforce Channel Binding 1 (indicates enabled, when supported) oder 2 ( indicates enabled, always).

    1 würde mich weniger stören, aber 2 müsste gründlich getestet werden, da wir auch noch Linux und weitere Applikationen haben, die LDAP verwenden....

    Edit: habe mal eine Supportanfrage bei MS eröffnet... schauen wir mal..

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...


    Dienstag, 8. Oktober 2019 10:38
  • Hallo zusammen

    Wir stehen da vor der gleichen Frage. Falls der Wert wirklich so gesetzt wird, könnte man diesen nicht einfach per Policy wieder umbiegen? Sollte doch gehen.

    Oder einfach die Policies auf den Member Servern und Client entsprechend anpassen... wird aber aufwändig..

    @Florian, bin gespannt auf das Feedback von MS.

    Gruss,
    Daha

    Dienstag, 8. Oktober 2019 12:32
  • Hallo Daha,

    habe noch kein Feedback. Ein möglicher Workaround wäre tatsächlich die Registry-GPP, dort beide Keys eintragen, mit 0 befüllen und gut ist.

    Hier : https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-controller-ldap-server-signing-requirements

    ist im letzten Abschnitt noch Folgendes vermerkt: Client device that do not support LDAP signing cannot run LDAP queries against the domain controllers.

    Das schmerzt irgendwie. Ich werde auf jeden Fall ein Alerting auf unseren DC's konfigurieren, gemäss der Anleitung im LDAP-Signing (Monitor Event 2889 und 2888, Diagnoseeinstellung LDAP-Schnittstellenereignisse auf 2 (Basic) (Einfach)).

    Eventuell male ich einfach zu schwarz ;-)

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Dienstag, 8. Oktober 2019 12:57
  • Hallo zusammen,

    hatte soeben Kontakt mit dem Microsoft Support, sehr nett. Ich habe ihnen den Thread gesendet und sie werden bei Gelegenheit die offizielle Information hier auch posten. Wann genau weiss ich nicht, es sollte aber nicht mehr allzulange dauern.

    Habt ein bisschen Geduld.

    Hab noch etwas gegrübelt:

    https://msdn.microsoft.com/de-de/windows/desktop/ee483317?f=255&MSPPError=-2147217396

    Ich gehe davon aus, dass das für LDAPServerIntegrity auch so gilt... wir hätten hier als mit der GPP eine meiner Meinung nach sichere Möglichkeit, das alles weiterlaufen kann (alle Werte auf 1 setzen)

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...


    • Bearbeitet Florian Reck Dienstag, 8. Oktober 2019 14:40 Nachtrag
    Dienstag, 8. Oktober 2019 14:33
  • Hallo zusammen,

    das offizielle Statement ist da:

    https://techcommunity.microsoft.com/t5/Core-Infrastructure-and-Security/LDAP-Channel-Binding-and-LDAP-Signing-Requirements-JANUARY-2020/ba-p/921536

    Somit ist AD-Seitig meiner Meinung nach alles noch im grünen Bereich, da das Signing ab Januar nur für kompatible Systeme erzwungen wird, nicht-kompatible Systeme dürfen nach wie vor unsigned kommunizieren...

    Seht ihr das auch so?

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    • Als Antwort vorgeschlagen dahawei Freitag, 8. November 2019 07:16
    Mittwoch, 6. November 2019 08:49
  • Hallo Florian

    Ja, das sehe ich auch so. Wir werden die Setting nun auf den Domain Controllern entsprechend setzten resp. testen.

    Danke Dir für die Abklärungen!

    Gruss,
    Daha

    Freitag, 8. November 2019 07:16
  • Hier noch die Setting die ich testen werde:


    • Path for Active Directory Domain Services (AD DS) domain controllers: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    • Path for Active Directory Lightweight Directory Services (AD LDS) servers: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
    • DWORD: LdapEnforceChannelBinding
    • DWORD value: 0 indicates disabled. No channel binding validation is performed. This is the behavior of all servers that have not been updated.
    • DWORD value: 1 indicates enabled, when supported. All clients that are running on a version of Windows that has been updated to support channel binding tokens (CBT) must provide channel binding information to the server. Clients that are running a version of Windows that has not been updated to support CBT do not have to do so. This is an intermediate option that allows for application compatibility.
    • DWORD value: indicates enabled, always. All clients must provide channel binding information. The server rejects authentication requests from clients that do not do so.

    Gem. Microsoft wird der Patch dem Wert 1 setzen. Werde diesen RegKey auf einem DC in einer separaten Site einrichten und danach testen.

    Mittwoch, 13. November 2019 07:32