Zu Ihrer eigenen Sicherheit möchten wir Sie auf ein Microsoft Sicherheitsupdate im März 2020 aufmerksam machen. Bereits im August 2019 hatte Microsoft angekündigt, eine Änderung in der Kommunikation mit Active Directory Domaincontrollern durchzusetzen.
Microsoft ändert eine „Standard Richtlinie“ die auf Active Directory Domaincontrollern und Windows Clients wirkt. Diese Richtlinien-Einstellung hat zur Folge, dass jegliche unverschlüsselte / unsignierte Kommunikation (LDAP) mit Domain Controllern nicht mehr funktionieren wird.
Das ist auch gut so!!!
Heißt, es gibt heute noch Systeme und Anwendungen die Ihre Anmeldedaten im Klartext über das Netzwerk zum Active Directory Domaincontroller versenden. Dabei kann jeder die Daten im Netzwerk abfangen und mitlesen.
Plastisches Beispiel: Jeder kann beim Einsatz solcher Systeme und Anwendungen das Kennwort der Personalabteilung / Buchhaltung / Geschäftsleitung mitlesen und hat somit Zugriff auf vertrauliche Inhalte wie personenbezogene Daten, Lohn- & Gehaltsdaten etc.
Aufgrund dessen ist es an jeder IT Abteilung selbst, entsprechende Maßnahmen bis März 2020 zu ergreifen, die sogenannte LDAP Channelbindung und LDAP Signaturen auf Active Directory Domaincontrollern abzusichern, z.B. LDAPS (Secure Lightweight Directory Access Protocol). Es muss somit zunächst ermittelt werden, welche Systeme und Applikationen nicht kompatibel sind und welche Systeme unverschlüsselt / unsigniert kommunizieren. Dies können folgende Systeme sein:
- Firewall (VPN)
- ERP Applikation
- DMS Applikation
- CTI Software
- VMware vCenter
- Citrix Umgebungen
- OWA / Active Sync (Exchange)
- Storage Systeme
- NAC Systeme
- Log-Management Systeme
- und viele weitere Applikationen
Wir raten Ihnen daher dringend an, alle Systeme und Applikationen in und an Ihrem Netzwerk ausfindig zu machen und zu prüfen, ob diese kompatibel mit den Einstellungen sind, welche im März durch das Sicherheitsupdate ADV190023 in Kraft treten.
Damit ist es jedoch nicht getan. Damit Ihre Active Directory Domaincontroller verschlüsselt kommunizieren können, wird jeweils ein Computer-Zertifikat benötigt. Dieses Zertifikat bekommen Sie zum Beispiel aus einer internen Zertifikatstelle. Alternativ bietet Ihnen die Celos ein Zertifikat für Ihre Active Directory Domaincontroller an.
Sie haben dazu Fragen? Gerne stehen wir Ihnen jederzeit zur Verfügung. Melden Sie sich noch heute bei uns unter 0731 96884 0