Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

AD Hardening LDAP Channel Binding

Active Directory – Hardening LDAP Channel Binding

Zielgruppe

Dauer

Das Onlineseminar dauert 105 Minuten

(2 x 45 Minuten und dazwischen 15 Minuten Pause)

Level

Hohe Komplexität

Zusätzliche Werkzeuge

Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.

Preis

250,- € exkl. MwSt.

Jetzt buchen

Januar 2021

11jan14:3016:30Hardening LDAP Channel Binding (Online)

Active Directory – Hardening LDAP Channel Binding

Dieses Onlineseminar zeigt Ihnen welche Auswirkungen das Update von Microsoft zum Thema hardening LDAP channel binding bei Ihnen im Active Directory hat. Neben der Vorbereitung zu diesem Update erhalten Sie eine Diagnostik an die Hand, wie man LDAP-Clients identifiziert, welche nicht mit einem channel binding token umgehen können.

Übersicht zum OnlineSeminar

Der Einstieg in dieses Seminar ist ein Grundverständnis für LDAP / X.509 un dessen Anlehnung von Microsoft.

Microsoft bietet unter gewissen Umständen LDAP-Kommunikation aber auch LDAPS-Kommunikation an. Hierzu benötigen wir einen Einblick in die Microsoft PKI, um zu verstehen welches Zertifikat ab Ende August 2020 für die Domain Controller verpflichtend wird.

Sobald ein passenden Zertifikat auf den Domain Controllern platziert wird, entsteht neben TCP 389 (LDAP) / TCP 3268 (global catalog) noch TCP 636 (LDAPS) / TCP 3269 (global catalog S). Eine Bindung auf TCP 636 und TCP 3269 ist nur noch unter Verwendung des Namens eines Domain Controllers möglich.

Problematisch wird die Angelegenheit, wenn es LDAP-Clients gibt, welche nicht per LDAPS kommunizieren können. Hier gilt es dann abzuwägen, ob man seitens der Domain Controller verwundbar bleiben möchte (!) oder Schritt für Schritt die LDAP-Clients identifiziert, welche dem Verfahren nicht gerecht werden.

Das langfristige Ziel sollte es jedoch sein, die Verwundbarkeit der Domain Controller seitens LDAP zu eliminieren.

Details zum Workshop

Block 1: LDAP bei Microsoft

Block 2: NTLM – KerberosV5 – LDAP-Bind – LDAPS-Bind

  • NTLM-Authentifizierung LDAP
  • Kerberos V5-Authentifizierung gegen LDAP und LDAPS
  • LDAP-Bind (Simple-Bind)
  • LDAPS-Bind (Simple-Bind)

Block 3: Vorbereitung zu hardening LDAP channel Binding

  • Policies für die Domain Member
  • Policies für die Domain Controller
  • Policies für hardening LDAP channel binding
  • Monitoren der Problem-Clients

Block 4: Enforcing LDAPS

  • Umstellen der Policies auf LDAPS
  • Überwachen der abgelehnten Authentifizierungen
  • Lösungsszenarien für Problem-Clients
X
X