Microsoft leitet mit einem Update, das in der zweiten Jahreshälfte 2020 für alle unterstützen Versionen von Windows Server erscheinen wird, langsam das Ende von unverschlüsselten LDAP-Verbindungen ein. Admins, die bestimmte Einstellungen dafür bisher nicht gesetzt haben und alte Soft- oder Hardware im Einsatz haben, können Probleme bekommen.

Wurde das Active Directory nicht weiter konfiguriert, wird damit erlaubt, dass Clients sich unverschlüsselt mit dem Server verbinden. Dieses Verhalten soll sich mit dem ursprünglich für März geplanten und jetzt auf die zweite Jahreshälfte verschobenen Update ändern. Es kann sich dann nicht mehr über LDAP verbunden werden, wenn eine bestimmte Richtlinie auf "Nicht konfiguriert" steht. Wird dann auch noch veraltete Soft- oder Hardware eingesetzt, die noch kein LDAPS gelernt hat, wird es problematisch. Von dem Update sind Umgebungen, in denen der Admin die Gruppenrichtlinie konfiguriert und LDAP bewusst aktiviert hat, nicht betroffen.

Administratoren sollten möglichst früh die Ereignisanzeige auf allen Domaincontrollern öffnen und einen Filter auf den "Verzeichnisdienst" und die Ereignis-IDs "2886-2888" für die letzten 24 Stunden einrichten, um unangenehme Überraschungen am Patchday zu vermeiden.

Die Richtlinie sollte nur in absoluten Ausnahmefällen so konfiguriert werden, dass LDAP in Zukunft erlaubt bleibt. Auch Microsoft verweist darauf, welches Sicherheitsrisiko mit unverschlüsseltem LDAP besteht.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE