VMware vSphere & Microsoft LDAP Channel Binding & Signing

Nota: il seguente articolo è preso da VMware vSphere Blog:

(https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html).

Ho deciso di pubblicarlo sul mio Blog per divulgazione della notizia.

Microsoft ha recentemente rilasciato avvisi sugli aggiornamenti di Windows.

Da Marzo 2020, intende modificare il comportamento predefinito dei server LDAP Microsoft che fanno parte di una distribuzione di Active Directory.

Queste modifiche renderanno obbligatorio il binding del canale LDAP e la firma LDAP come requisito predefinito quando si accede a Microsoft Active Directory utilizzando LDAP o LDAPS.

Queste modifiche sono una risposta a un problema di sicurezza documentato in CVE-2017-8563, in cui è possibile elevare i diritti utente assegnando privilegi …quando Windows torna ai protocolli di autenticazione NTLM.

Qualsiasi sistema che si connette ad Active Directory tramite LDAP senza utilizzare TLS sarà influenzato negativamente da questa modifica. Ciò include VMware vSphere.

Approfondire l’argomento dalle fonti ufficiali:

C”è ancora un pò di tempo per organizzarsi ed analizzare che impatto ha questa notizia sulla propria infrastruttura:

The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.
A further future monthly update, anticipated for release the second half of calendar year 2020, will enable LDAP signing and channel binding on domain controllers configured with default values for those settings.