Active Directory – Hardening LDAP Channel Binding
Zielgruppe
- erfahrene Administratoren von Active Directory
- Ergänzung durch On-Premise Authentication
Dauer
Das Onlineseminar dauert 105 Minuten
(2 x 45 Minuten und dazwischen 15 Minuten Pause)
Level
Hohe Komplexität
Zusätzliche Werkzeuge
Die Schulungsteilnehmer erhalten eine Tasche, Kugelschreiber und einen Block nach Eingang der Kursgebühr per Post.
Preis
250,00€ exkl. MwSt.
Termine
Auf Anfrage:
Telefon: +49 731 1848699-0 oder
E-Mail: info@iqunit.com
Mehr Infos
Active Directory – Hardening LDAP Channel Binding
Dieses Onlineseminar zeigt Ihnen welche Auswirkungen das Update von Microsoft zum Thema hardening LDAP channel binding bei Ihnen im Active Directory hat. Neben der Vorbereitung zu diesem Update erhalten Sie eine Diagnostik an die Hand, wie man LDAP-Clients identifiziert, welche nicht mit einem channel binding token umgehen können.
Übersicht zum OnlineSeminar
Der Einstieg in dieses Seminar ist ein Grundverständnis für LDAP / X.509 un dessen Anlehnung von Microsoft.
Microsoft bietet unter gewissen Umständen LDAP-Kommunikation aber auch LDAPS-Kommunikation an. Hierzu benötigen wir einen Einblick in die Microsoft PKI, um zu verstehen welches Zertifikat ab Ende August 2020 für die Domain Controller verpflichtend wird.
Sobald ein passenden Zertifikat auf den Domain Controllern platziert wird, entsteht neben TCP 389 (LDAP) / TCP 3268 (global catalog) noch TCP 636 (LDAPS) / TCP 3269 (global catalog S). Eine Bindung auf TCP 636 und TCP 3269 ist nur noch unter Verwendung des Namens eines Domain Controllers möglich.
Problematisch wird die Angelegenheit, wenn es LDAP-Clients gibt, welche nicht per LDAPS kommunizieren können. Hier gilt es dann abzuwägen, ob man seitens der Domain Controller verwundbar bleiben möchte (!) oder Schritt für Schritt die LDAP-Clients identifiziert, welche dem Verfahren nicht gerecht werden.
Das langfristige Ziel sollte es jedoch sein, die Verwundbarkeit der Domain Controller seitens LDAP zu eliminieren.
Details zum Workshop
Block 1: LDAP bei Microsoft
- X.500 – lightweight directory access protocol
- ADSI – Active Directory Services Interface
- LDAP vs. LDAPS – welches Zertifikat benötige ich?
- ADWS – Active Directory Web Services (SOAP)
Block 2: NTLM – KerberosV5 – LDAP-Bind – LDAPS-Bind
- NTLM-Authentifizierung LDAP
- Kerberos V5-Authentifizierung gegen LDAP und LDAPS
- LDAP-Bind (Simple-Bind)
- LDAPS-Bind (Simple-Bind)
Block 3: Vorbereitung zu hardening LDAP channel Binding
- Policies für die Domain Member
- Policies für die Domain Controller
- Policies für hardening LDAP channel binding
- Monitoren der Problem-Clients
Block 4: Enforcing LDAPS
- Umstellen der Policies auf LDAPS
- Überwachen der abgelehnten Authentifizierungen
- Lösungsszenarien für Problem-Clients