Das Security Advisory "ADV190023" [1] wurde von Microsoft bereits im August 2019 veröffentlicht. Hierin kündigte der Hersteller an, dass die Default-Einstellungen für das Channel Binding und das LDAP Signing zukünftig geändert werden, um somit eine sichere Kommunikation zwischen LDAP-Clients und einem Domänencontroller zu gewährleisten. Die Ankündigung hat einiges an Aufsehen erregt und die angekündigten Änderungen wurden seitdem auch mehrmals verschoben. Die letzte Information von Microsoft besagt, dass die Änderungen nun mit einem Update Mitte bis Ende des Jahres 2020 erfolgen sollen.
Aber worum geht es nun überhaupt in dem Microsoft-Advisory? Kurz zusammengefasst lässt sich sagen, dass Microsoft in Zukunft nur noch Verbindungen zu einem Active Directory (AD) zulässt, die signiert sind. Des Weiteren muss für einen erfolgreichen Verbindungsaufbau zu der LDAP-Instanz eines Domänencontroller der anfragende Client ein Channel Binding Token (CBT) präsentieren können, solange die Verbindung über einen sicheren SSL/TLS-Kanal läuft. Schauen wir uns die beiden Punkte im Folgenden nun etwas näher an.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.