Logo faq-o-matic.net
Logo faq-o-matic.net

LDAP Signing auf Domänencontrollern erzwingen

von veröffentlicht am16. Juli 2018, 05:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Anmeldedaten im Klartext zu übermitteln ist eine schlechte Idee. Das trifft sowohl für externe wie auch für interne Netzwerke zu. Niemand sollte heutzutage davon ausgehen, dass ein Lokales Netzwerk sicher ist, nur weil es lokal ist. Die meisten Emailprovider haben inzwischen die Übermittlung der Anmeldedaten über ungeschützte Protokolle wie POP3, IMAP4 und SMTP unterbunden und auf die jeweils gesicherte Protokollversion umgestellt. Interne Ressourcen wie Webserver verwenden oftmals auch schon https statt http und wer sich im Eventlog seiner Domänencontroller (Verzeichnisdienst-Protokoll) mit folgenden Event IDs konfrontiert sieht, sollte wissen, dass dies die Übermittlung von Anmeldedaten im Klartext bedeutet.

clip_image002

clip_image004

Diese können selbstverständlich mit Hilfe von Netzwerktraces mitgeschnitten und verwendet werden.

Eventid 2286

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941829(v=ws.10)

Eventid 2287

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941856(v=ws.10)

Im worst case sind es privilegierte Kontodaten, die dort leichtfertig übertragen werden. Mitarbeiter werden aber auch die Übertragung ihrer persönlichen Kennworte in ungesicherter Form nur schwerlich akzeptieren, nachdem der Administrator ihnen vorab eine entsprechend komplizierte Kennwortrichtlinie auferlegt hat.

Per Gruppenrichtlinie kann dieser Zustand behoben werden. Allerdings sollten dazu erst einmal die Systeme identifiziert werden, welche dort per Klartext Anmeldungen durchführen, damit kein Ausfall wichtiger Systeme erfolgt.

Als erstes muss das Logging der LDAP Schnittstelle auf jedem DC erhöht werden.

Logging erhöhen

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v „16 LDAP Interface Events“ /t REG_DWORD /d 2

Wer das lieber per Regedit erledigen möchte, kann das natürlich tun.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

16 LDAP Interface Events auf 2 setzen

clip_image006

Ab jetzt werden weitere Ereignis-IDs im Verzeichnisdienst-Log erzeugt, wenn wieder eine Anmeldung stattfindet. Ein Reboot ist nicht notwendig. In diesem Event 2889 steht dann die IP Adresse des sich anmeldenden Systems sowie die Nutzeridentität, welche sich gerade anmeldet.

clip_image008

Das Logging kann je nach Umgebung sehr viele Ereignisprotokolleinträge erzeugen. Es sollte also darauf geachtet werden, dass die sehr häufig auftretenden Systeme schnell identifiziert und entsprechend konfiguriert werden. Damit das Eventlog etwas einfacher zu überblicken ist, kann ein Filter verwendet werden oder gleich eine „Benutzerdefinierte Ansicht“ erstellt werden. Gefiltert wird das Verzeichnisdienstprotokoll auf die folgenden IDs:

2886, 2887, 2888, 2889 (alternativ 2886-2889)

clip_image010

Danach sieht das Ereignisprotokoll etwas aufgeräumter aus.

clip_image012

Sind die Systeme identifiziert, kann das Logging vorerst deaktiviert werden und die Problemlösung begonnen werden.

Logging deaktivieren

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v „16 LDAP Interface Events“ /t REG_DWORD /d 0

Alternativ kann natürlich der Wert per regedit wieder auf 0 gesetzt werden (siehe oben).

Je nach Applikation kann das Problem mit der Umstellung auf eine sicherere Authentifizierung statt „Simple Bind“ oder die Verwendung von ldaps (Port TCP 636) erfolgen. Letzteres setzt die Verwendung entsprechender Zertifikate auf den Domaincontrollern voraus.

Sind die Applikationen neu konfiguriert, kann das Logging wieder erhöht werden, um gegebenenfalls weitere Systeme zu identifizieren. Diese Vorgänge werden solange wiederholt, bis sichergestellt ist, dass alle relevanten Systeme erkannt und deren Konfigurationen geändert wurden.

Gründe warum solche Systeme im eigenen Netzwerk vorhanden sind gibt es viele. Die Active Directory Dienste mit Hilfe einer ungesicherten LDAP Bind Authentifizierung zu monitoren, sollte also keine Option darstellen. Andere Dienste wurden in der Vergangenheit möglicherweise zu einem Zeitpunkt implementiert, als noch keine Zertifikate auf den Domänencontrollern zur Verfügung standen, oder die Zertifikatskonfiguration wurde als zu komplex empfunden. Eventuell finden sich auch Systeme, welche keine ldaps- oder sichere Bindungsmöglichkeiten bieten. Diese Systeme sollten nicht mehr zum Einsatz kommen, sondern gegen modernere Versionen oder Lösungen ersetzt werden.

Damit zukünftig keine erneute Implementierung dieser Bindungsform oder Systemen ohne ldaps Möglichkeit stattfinden kann, wird die ldap Signierung auf den Domänencontrollern erzwungen. Die entsprechende Konfiguration kann mit Hilfe von Gruppenrichtlinien auf die OU der Domänencontroller durchgeführt werden.

clip_image014

Nach dieser Konfiguration sind Simple Bind Anforderungen über ldap nicht mehr möglich. Über ldaps funktionieren Simple Binds weiterhin.

Weiterführende Lektüre:

http://setspn.blogspot.de/2016/09/domain-controller-ldap-server-signing.html

https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs/

http://www.msxfaq.de/windows/event2887.htm

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!