[Driftstörning] [ActiveDirectory] LDAP channel binding and LDAP signing requirement
Mirza Mujagic
mirza at chalmers.se
Tors Apr 23 12:46:30 CEST 2020
[SV]
Vi planerar att aktivera LDAP kanal- bindning och LDAP signering på domänkontrollanterna i driftmiljön den 5:e maj 2020.
LDAP-kanalbindning och LDAP-signering är sätt att öka säkerheten för nätverkskommunikationen mellan Active Directory och dess klienter. Det finns säkerhetsrisker i nuvarande konfiguration som kan exponera Active Directory-domänkontrollanter för behörighetsökning.
Framförallt icke- Windows klienter och servrar som kommunicerar med domänkontrollanter via LDAP, bör verifieras att LDAP bindning- och signering stöds. I testmiljön (NETTST) är dessa inställningar implementerade på domänkontrollanter för just detta test- ändamål.
[EN]
On 5:th of May 2020, we are planning to enforce LDAP channel binding and LDAP signing on domain controllers to increase the security of network communications between the AD and its clients. There is a weakness in present configuration which may expose AD domain controllers to elevation of privilege vulnerabilities.
All, but primarily non- Windows clients using (AD)LDAP, should be verified that systems are capable and in fact negotiate LDAP binding and signing. Our test environment (domain: NETTST) is already hardened and can be used to test your configuration.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
/Mirza
IT-avdelningen
More information about the driftstorning
mailing list