Beschreibung
diese Kurzbeschreibung soll die Schritte darstellen, wie Sie nach erfolgreicher CS Installation eine AD Umgebung zur Nutzung des LDAPS (Port 636) anpassen können.
Diese Schritte wurden in einer Testumgebung getestet und angewendet.
Schritte:
- Prüfen Sie anhand des MS Links, ob die Client/Server System die SSL TLS Anforderung erfüllen: Siehe Anhang - CVE-2017-8563
- Dieses Update stellt lediglich einen Schalter für die Nutzung bereit!
- Bsp.: Prüfen Sie ob folgendes Update an einem Win 10 1703 Client installiert ist:
wmic qfe | findstr KB4025342 ODER wmic qfe | findstr KB4025338 - Erstellen Sie eine neue GPO mit einem eindeutigen Namen: Domain-Adjust-LDAPs
- Navigieren Sie in das folgende Verzeichnis:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen
- Domänencontroller: Signaturanfoderungen für LDAP-Server > Signatur erforderlich
- Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) > Aktiviert
- Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) > Aktiviert
- Speichern Sie die oben genannten Schritte ab.
Wenn Sie die oben genannten Schritte durchgeführt haben, wurde LDAPs für die AD Umgebung für Clients und Server bereitgestellt.
Quelle 1: Secure LDAP is Mandatory for Active Directory - Pleasant Solutions
Quelle 2: https://www.der-windows-papst.de/2017/08/13/ldap-ssl-tls-cve-2017-8563
Info 1: https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2017-8563
Info 2: https://www.acontech.de/ldap-channel-binding-and-ldap-signing-requirements
Info 3: https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm