LDAP Signing & Channel Binding

LDAP-Signing in Server 2025 erzwungen. Channel Binding auf „When supported“ gesetzt, vollständige Erzwingung für alle DCs angekündigt.

HochAktivLDAP

Phasen-Verlauf

August 2019
ADV190023 — Empfehlung

Microsoft empfiehlt die Aktivierung von LDAP-Signing und Channel Binding.

10. März 2020
Standard geändert

Standard-LDAP-Signing-Richtlinie für neue DCs auf „Require signing“ geändert.

November 2024
Server 2025 — Erzwungen

LDAP-Signing in Server 2025 erzwungen. Channel Binding auf „When supported“.

2025–2026
Channel Binding „Required“

Channel Binding wird auf „Required“ für alle DCs gesetzt. Kein festes Datum.

Betroffene Systeme

  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

Betroffene Features

  • LDAP-Authentifizierung
  • Domänencontroller
  • Verzeichnisdienste

Was passiert ohne Maßnahme

Linux-LDAP-Clients, Java-Anwendungen (JNDI), Python-ldap, Netzwerkgeräte und PHP-Anwendungen ohne Signing/CBT-Unterstützung scheitern bei der Authentifizierung. Monitoring-Tools mit LDAP-Integration können die Verbindung verlieren.

Empfohlene Maßnahme

Event-ID 2889 überwachen (unsignierte LDAP-Bind-Versuche). Linux-LDAP-Clients, Java-Apps und Netzwerkgeräte auf LDAP-Signing-Kompatibilität prüfen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
LDAPServerIntegrity
LdapEnforceChannelBinding

Gruppenrichtlinien

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Domain controller: LDAP server signing requirements
Domain controller: LDAP server channel binding token requirements

Event-IDs zur Überwachung

2889
Microsoft-Windows-ActiveDirectory_DomainService

Unsignierter LDAP-Bind — zeigt Client-IP und Identität

2887
Microsoft-Windows-ActiveDirectory_DomainService

24h-Zusammenfassung der Anzahl unsignierter LDAP-Binds

3039
Microsoft-Windows-ActiveDirectory_DomainService

LDAP-Bind ohne Channel-Binding-Token

Referenzen

Zurück zur Security Timeline