Hinweis zum Microsoft-Sicherheitsupdate ADV 190023 der Active-Directory-Dienste
Sicherheitsupdate schließt Schwachstelle im AD durch Verschlüsselung
Fakt ist, dass unverschlüsselte Active-Directory-Dienste (AD) dazu genutzt werden könnten, Computer auszuspähen und die in einem unverschlüsselten AD-Service entdeckten Schwachstellen für Angriffe auf Unternehmensnetzwerke auszunutzen. Dieser Umstand kann dazu führen, dass die Kommunikation zwischen Computern und ihren Benutzern belauscht und abgefangen werden kann, was wiederum einen eminent kritischen Angriff auf die Ressourcen eines Unternehmens bedeuten würde.
Um dieses Problem zu beheben und um Angreifern die Chance zu nehmen, auf dem genannten Weg unbefugten Zugang zu Unternehmensdaten zu erlangen, wird Microsoft durch ein Sicherheit-supdate mit der Kennung ADV 190023 die Sicherheit von Windows AD deutlich verbessern. Durch das Update wird die Kommunikation zwischen dem Unternehmens-AD und externen Webanwen-dungen nur noch in verschlüsselter Form via Transport Layer Security (TLS) möglich sein, wodurch zukünftige erfolgreiche Angriffe vermieden werden und das AD geschützt wird.
Aktuell gilt: manuelle Einstellungen beseitigen Sicherheitslücke
Die zurzeit existierende Sicherheitslücke im Active Directory Domain Controller LDAP-Protokoll, die Microsoft durch das Sicherheitsupdate beheben wird, kann auf manuellem Wege umgangen werden. Microsoft empfiehlt dazu die Änderung einiger Einstellungen, die unter den folgenden Links zu den Microsoft Supportseiten beschrieben sind:
Der geplante Microsoft-Fahrplan zum ADV 190023
Laut Beschreibung des ADV190023 wird es im März 2020 ein erstes Update von Microsoft geben, das neue Audit-Events, zusätzliches Logging und Änderungen in den Gruppenrichtlinien vornimmt. In einem zukünftigen Update, geplant für das zweite Halbjahr 2020, sollen die neuen Einstellungen dann aktiviert werden. Die Aktivierung erfolgt also erst zu diesem Zeitpunkt und noch nicht mit dem März-Update, in dem zunächst lediglich die Einstellungen vorgenommen werden.
Auswirkungen auf das windream ECM-System und weitere Vorgehensweise
Diese durch das Update hervorgerufenen Änderungen können nach der Aktivierung Auswirkungen auf Anwendungen haben, die das LDAP-Protokoll nutzen, um auf Active Directory Domain Con-troller zuzugreifen. In unserem ECM-System windream betrifft dies insbesondere den Abgleich der Benutzer und Gruppen über das windream System Center (WSC) bzw. über die windream Ma-nagement Console (WMC, die ehemalige Bezeichnung für die windream Administrationsanwendung).
Aufgrund der zu erwartenden Auswirkungen hat unsere Entwicklungsabteilung die empfohlenen Einstellungen getestet. Dabei konnten keinerlei Probleme mit dem Zugriff auf Active Directory Do-main Controller festgestellt werden. Sobald der für März 2020 angekündigte Sicherheitspatch ver-fügbar ist, werden wir die absolvierten Tests erneut durchführen, um sicherzustellen, dass es keine negativen Auswirkungen auf den Betrieb des windream ECM-Systems gibt. Genauso werden wir auch verfahren, sobald das zweite Update veröffentlicht wird, das von Microsoft für das zweite Halbjahr 2020 angekündigt ist.
Abschließend noch der Hinweis, dass die Module, die für den Zugriff auf Active Directory Domain Controller über LDAP verantwortlich sind, bereits Einstellungsmöglichkeiten für Authentifizierung, SASL-Binding sowie SSL, falls diese benötigt werden sollten, enthalten.
p.plenz@windream.com