[Driftstörning] [ActiveDirectory] LDAP channel binding and LDAP signing requirement

[Mirza Mujagic]

The modification is done
/Mirza

> -----Original Message-----
> From: driftstorning <driftstorning-bounces at lists.chalmers.se> On Behalf Of
> Mirza Mujagic
> Sent: den 23 april 2020 12:47
> To: driftstorning at lists.chalmers.se
> Subject: [Driftstörning] [ActiveDirectory] LDAP channel binding and LDAP
> signing requirement
> 
> [SV]
> Vi planerar att aktivera LDAP kanal- bindning och LDAP signering på
> domänkontrollanterna i driftmiljön den 5:e maj 2020.
> LDAP-kanalbindning och LDAP-signering är sätt att öka säkerheten för
> nätverkskommunikationen mellan Active Directory och dess klienter. Det
> finns säkerhetsrisker i nuvarande konfiguration som kan exponera Active
> Directory-domänkontrollanter för behörighetsökning.
> Framförallt icke- Windows klienter och servrar som kommunicerar med
> domänkontrollanter via LDAP, bör verifieras att LDAP bindning- och signering
> stöds. I testmiljön (NETTST) är dessa inställningar implementerade på
> domänkontrollanter för just detta test- ändamål.
> 
> 
> [EN]
> On 5:th of May 2020, we are planning to enforce LDAP channel binding and
> LDAP signing on domain controllers to increase the security of network
> communications between the AD and its clients. There is a weakness in
> present configuration which may expose AD domain controllers to elevation
> of privilege vulnerabilities.
> All, but primarily non- Windows clients using (AD)LDAP, should be verified
> that systems are capable and in fact negotiate LDAP binding and signing. Our
> test environment (domain: NETTST) is already hardened and can be used to
> test your configuration.
> 
> https://portal.msrc.microsoft.com/en-us/security-
> guidance/advisory/ADV190023
> 
> /Mirza
> IT-avdelningen
> 
> _______________________________________________
> driftstorning mailing list
> driftstorning at lists.chalmers.se
> https://lists.chalmers.se/mailman/listinfo/driftstorning