Sicherheit im Active Directory: Was Microsofts Sicherheitsempfehlungen bedeuten

Mit dem Security Advisory ADV190023 hat Microsoft viele Administratoren verunsichert. Wir haben zusammengefasst, was Admins diesbezüglich wissen müssen.

Artikel verschenken

6

(Bild: Albert Hulm)

13.10.2020, 07:00 Uhr

Lesezeit: 18 Min.

c't Magazin

Von

Thorsten Scherf

Sicherheit im Active Directory: Was Microsofts Sicherheitsempfehlungen bedeuten
- Begriffsklärung
Was ist schon sicher?
Sicherheit aktivieren
Gemischte Umgebungen
Fazit

Artikel in c't 22/2020 lesen

Mitte August 2019 hat Microsoft das Advisory ADV190023 herausgebracht. Darin empfehlen die Redmonder, die beiden Einstellungen "LDAP-Channel-Bindung" und "LDAP-Signaturen" auf Active-Directory-Domain-Controllern zu aktivieren. Diese sollen eine "sicherere Kommunikation zwischen LDAP-Clients und Active Directory-Domain-Controllern" garantieren. Weiter kündigte Microsoft an, dass diese Einstellungen in einem späteren Update (zwischenzeitlich war mal vom März 2020 die Rede) automatisch aktiviert werden könnten.

Und genau hier fängt das Problem an: Da Microsoft bewusst oder unbewusst sehr schwammig formuliert hat und nicht genau auflistet, welche Verbindungen genau "sicher" sind, entstand viel Aufregung. Fälschlicherweise nahmen viele Admins an, dass hiermit der Einsatz von SSL/TLS für Verbindungen zum Domain-Controller zwingend vorgeschrieben werde – wer eine Hard- oder Software nutze, die das nicht beherrscht, so die Angst, werde ausgesperrt. Doch ganz so drastisch sind die Änderungen gar nicht. Administratoren sollten sich aber schon jetzt mit den Optionen sicherer LDAP-Verbindungen beschäftigen, auch wenn es aktuell keinen konkreten Termin für Änderungen durch ein Update mehr gibt.

Nicht alle Details in diesem Artikel sind in jeder Umgebung von Interesse. Admins reiner Windows-Umgebungen zum Beispiel müssen sich nicht mit allen Feinheiten von TLS-Verbindungen auseinandersetzen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Eine unkomplizierte Heranführung an Wärmepumpen-Nutzung: Was brauchen Sie? Was ist wichtig? Und wie können Sie das einigermaßen simpel halten?

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Mit der Open-Source-Anwendung paperless-ngx auf einem Server, Raspi oder NAS sowie einem Einzugscanner gehört Dokumentenchaos der Vergangenheit an.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Mit der Software Caddy lassen sich mit verschiedenen Domains unterschiedliche Server im gleichen Netzwerk aufrufen. Wir zeigen, wie es geht.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheit im Active Directory: Was Microsofts Sicherheitsempfehlungen bedeuten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Das Musikprogramm Ableton Live 12 im Test

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.

Papierloses Büro: Wie man mit paperless-ngx die Dokumentenverwaltung optimiert

Das Musikprogramm Ableton Live 12 im Test

Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.