LDAP: Wichtiges Sicherheitsupdate

Microsoft hat für die zweite Jahreshälfte 2020 Sicherheitsupdates angekündigt. Dadurch soll die Sicherheit der Netzwerkkommunikation zwischen Clients und Domain Controllern erhöht werden.

Es besteht Handlungsbedarf

Mit dem Windows Update ergeben sich Änderungen am LDAP-Zugriff auf Active Directory Infrastrukturen. Damit die Funktionsfähigkeit erhalten bleibt, müssen alle Anwendungen, die über LDAP angebunden sind, auf LDAP-S umgestellt werden. Kurz gesagt sind die Änderungen notwendig, damit Sie u. a. weiterhin mobil arbeiten können.

Wen die Umstellung von LDAP auf LDAP-S betrifft

Sie sind von der Umstellung betroffen, wenn Sie nicht nur im Unternehmen, sondern auch im Homeoffice und unterwegs arbeiten. Oder wenn Sie die Leistungen externer Dienstleister, wie beispielsweise Firewall und Spamschutz, nutzen. Ein weiteres Beispiel: Sie haben einen Exchange Server, weil Sie Ihre E-Mails oder Ihre E-Mail-Archivierung lokal haben möchten. Genauer gesagt geht es um alle Produkte, die auf die Microsoft Domain zugreifen, aber nicht aus dem Hause Microsoft stammen. Hier ist zu prüfen ob LDAP-S aktiviert ist und genutzt wird. Wenn Sie und Ihre Mitarbeitenden ausschließlich im Büro arbeiten und keine externen Dienstleistungen nutzen, hat das Update keine Auswirkungen auf Ihre Arbeitsfähigkeit.

Was jetzt zu tun ist

Falls Sie CSM-Kunde mit Betreuungsvertrag sind, brauchen Sie selbst nichts zu tun. In diesem Fall prüfen wir rechtzeitig alle Einstellungen und Logs, um Ausfälle zu vermeiden. Die notwendigen Änderungen nehmen wir natürlich im Rahmen des regulären Wartungs- und Betreuungskontingents vor. Wir kümmern uns aber selbstverständlich um unsere Kunden ohne Betreuungsvertrag. Wenn wir wissen, dass Ihr Unternehmen betroffen ist, melden wir uns bei Ihnen.

Hintergrund von LDAP

Das LDAP (Lightweight Directory Protocol) ist ein Netzwerkprotokoll zur Abfrage und Änderung von Informationen verteilter Verzeichnisdienste. Sie merken, es handelt sich um ein sehr technischen Thema. Denn es betrifft die Kommunikation zu einer Schnittstelle, mit der die meisten niemals Berührungspunkte haben. Konkret beschreibt es die Kommunikation zwischen dem LDAP-Client und dem Verzeichnis-(Directory)Server. Aus einem solchen Verzeichnis können objektbezogene Daten wie beispielsweise Personendaten oder Rechnerkonfigurationen ausgelesen werden. Einfacher ausgedrückt, geht es um die Windows- oder Active Directory-Domain, mit der sich Benutzer morgens anmelden. Es ist die Sicherheitsinfrastruktur, in der die Kennwörter gespeichert und zur Verfügung gestellt werden. Ebenso kann man es auch benennen als die Anmeldeinformationsverwaltung für die interne Windows-Struktur.

Microsoft löst mit LDAP-S das bisherige unverschlüsselte LDAP ab. Damit ist die Domain-Sicherheitsstruktur in der Kommunikation zukünftig über SSL abgesichert.

Ziel des Updates

Das Sicherheitsupdate ist notwendig, weil Cyber-Kriminelle immer wieder versuchen, die Schwächen einfacher, unverschlüsselter Active Directory Dienste auszunutzen. Sie spähen dann die Kommunikation zwischen Benutzern und Computern aus, um Zugriff auf Unternehmensdaten zu erhalten. Mit dem Update verbessert Microsoft die Sicherheit von Windows Active Directory.