Posts

Lohnt sich ein Upgrade auf Windows Server 2022?

Dies ist eine sehr häufig gestellte Fragen in Kundensituationen. Sicherlich nicht seltener als selbige Frage in Bezug auf Microsoft Office oder dem Wechsel eines Windows 10 oder 11 Releases.
Dieser Blogartikel hilft Ihnen, diese Frage für sich und Ihr Unternehmen zu beantworten.

Warum ist es sinnvoll an dem, für viele Unternehmen immer noch schnellen, Releasezyklus von nur 2-3 Jahren teilzunehmen?

Windows Server Produkte haben nunmehr einen angestammten Releasezyklus, der in etwa alle 2-3 Jahre eine neue Version hervorbringt. Geht es nach Microsoft und Microsoft Consultants, wie mich, so werden Sie häufig diesen wiederkehrenden Rat hören: #staycurrent.

Warum aber sollte ein Unternehmen es sich aufbürden alle 3 Jahre einen Releasewechsel zu planen und zu vollziehen? Dieses möglichst über die gesamte Windows Server Plattform durchzuhalten?

Die Gründe sind vielschichtig.

Früher stand und lief Windows Server für sich, noch gar auf Hardware, und stellte mehr oder weniger zuverlässig seine wohlbekannten Basisdienste bereit.

Sicherlich erzeugte Windows Server naturgemäß immer schon Abhängigkeiten zu anderen Produkten. Sei es für manche noch Microsoft Exchange Server oder gar SharePoint Server in Ihrem Rechenzentrum (private Cloud), Active Directory samt DNS + DHCP, Dateidienste (SMB), Druckdienste, sowie Remote Desktop Dienste (RDSH).

Für die Meisten ist die Windows Server Plattform für den Betrieb essentieller (Branchen-)Software notwendig. Nutzungszenarien gehen insgesamt deutlich über die große Vielzahl der in Windows Server integrierten Dienste hinaus.

Die Anzahl von versionsgebundenen Abhängigkeiten steigt!
Allein im Hause Microsoft sind dies u.a. PowerShell (WMF), .net / .net Core, ReFS, Hyper-V, S2D, FSLogix, Office, Azure AD Connect, Exchange Server, SQL Server etc.
Ganz klar auch externe Faktoren:

Backupsysteme + Hardware, Citrix Virtual Apps and Desktop, 3rd Party Hypervisoren (z.B. VMware ESXi), und natürlich Branchensoftware.

All diese Faktoren sind nicht statisch. Jedes Produkt für sich hat eigene Support Lifecycles und Kompatibilitätsmatrixen.

Das Betriebsystem und die Abhängigkeiten aktuell zu halten hilft nicht nur in Bezug auf das Erlangen neuer Features und Verbesserungen, sondern vor allem in Bezug auf die Supportfähigkeit, ihres IT Betriebs und somit der Zuverlässigkeit, Effizienz und letztenendes der Wirtschaftlichkeit.

Wirft man einen Blick in die verheerende Statistik von lansweeper, so sind nunmehr die meisten VMware Versionen out of support. Dies bedeutet im Umkehrschluss auch: Ein Betrieb von aktuellen Windows Server Versionen oder 3rd Party Lösungen auf diesen, ist oftmals gar nicht mehr möglich, oder nur mit eingeschränkten Vorteilen und Verlust der Effizienz und Flexibilität Ihrer IT.
Vom Sicherheitsaspekt und Betriebs- und Datenschutzrisiko ganz zu schweigen.

Erfahrungsgemäß dauert eine Migration aller Windows Server Workloads in Kalenderzeiten teils ein Jahr und länger. Ich kann dies aus eigenen Projekten bestätigen. Je nach Größe, Anzahl der Abhängigkeiten und insb. der 3rd Party Lösungen.

Fazit

Das Betriebssystem einem SaaS Zyklus unterzuordnen reduziert den Kosten- und Zeitaufwand, Stress durch „Leichen im Keller“ deutlich. Bei ordentlicher Pflege gut und gerne auf die Hälfe oder ein Drittel, im Gegensatz zu Großprojekten nach vielen Jahren.

Sie es durch schnelleres abschneiden alter Zöpfe, aktuellster Dokumentation und der Fähigkeit zum in-place Upgrade bei gut konfigurierten und zuverlässig arbeitenden Systemen.
Moderne Windows Server Systeme bieten deutliche Verbesserungen in Bezug auf den Fußabdruck in Bezug auf Storage, CPU-Nutzung und Performance. Hierzu später mehr.

Warum ist es eher nicht sinnvoll ist das Ende des Mainstream Support von Windows Server (5 Jahre ab Releasedatum) oder gar das Ende des Mainstream Support selig abzuwarten?

Wussten Sie schon: Windows Server 2016 ist befindet sich nicht mehr im Mainstream Support.
Für Windows Server 2012 (R2), ist dieser Tag schon 4 Jahre passé, somit  Ended auch der Extended Support bereits am 10. Oktober 2023. Dies ist ein knappes Jahr. Microsoft und Partner trommeln nun und empfehlen die letzte Eisenbahn zu nehmen. Warum eigentlich?

Wie oben schon angesprochen kann eine zielgerichtete Migration der Workloads sehr viel Zeit in Anspruch nehmen. Der Bezug von Extended Security Updates (ESU) ist nur wenigen Kunden mit speziellen Lizenzverträgen vorbehalten, und er ist sehr kostspielig.
Die wenigsten Kunden dürften den Vorteil von Azure Stack HCI on-premises oder in Azure wahrnehmen, dass die ESU dort bereits in den Betriebskosten inkludiert sind. Dies ist ein oft unterschätzter Gamechanger für diejenigen Unternehmen, die aus Gründen nicht innerhalb des Mainstream oder Extended Support wechseln wollen oder können. Selbst der Betrieb eines isolierten Single- oder Multinode AzureStackHCI Clusters für Altsysteme kann ein Szenario werden wenn die Sicherheit es erfordern.

In den letzten Jahren haben viele Hersteller, insbesondere auch jene von Branchensoftware die Krux erkannt, dass Systeme nach spätestens 10 Jahren, also nach Ende des Extended Support umzustellen, mehr Kopfschmerzen bereitet. Sie haben das Konzept von Microsoft adaptiert und verlangen für den Betrieb ihrer Software ein Windows Server im Mainstream Support um Ihre Software zu supporten.

Aktionismus? Geldschinderei? Mitnichten. Allein schon der Faktor Mensch und Zeit sind ein guter Grund für kürzere Support und Releasezyklen zu begründen. Wer kann schon behaupten, eine Dokumentation über 10 Jahre konsistent zu halten, bzw. Das Know-How von Mitarbeitenden – auf beiden Seiten – über diese Zeit im eigenen Team zu wissen. Nicht zuletzt ist die Alterspyramide ein Grund, Zyklen kürzer und flexibler, die technisch komplexen Themen übergabefähig zu halten. Wenn Sie sich das für Ihr System nicht vorstellen können, versuchen Sie sich vorzustellen wie jemand sich in +8-10 Jahre alten Sourcecode einarbeitet um für Sie einen Fix oder Workaround zu finden.

Fazit

Kürzere Releasezyklen, also SaaS & #staycurrent, bedingen sich nicht nur mehr nur durch die Vorgaben und Wünsche von Microsoft selbst, sondern immer stärker auch durch Software anderer Hersteller. Gründe sind vielseitig und haben mitunter auch einen sozialökonomischen Hintergrund.

Was ist der Unterschied zwischen Mainstream Support und Extended Support Zeitraum?

Im Mainstream Support erhalten Sie über Ihren Lizenzvertrag oder weitere Konstrukte, Produktsupport von Microsoft.

Im Extended Support ist der Microsoft Support in jedem Fall kostenpflichtig. Nicht alle Kunden können diesen Nutzen. Microsoft Premier Support wurde durch ein neues, nicht günstigeres Modell, ersetzt.

Im Extended Support erhalten Sie keine Garantie auf „Bugfixes“, selbst dann wenn ein Fehler offensichtlich durch ein kürzliches kumulative Update ausgelöst worden ist. Auch wird regelmäßig während dieser Phase bereits Produktdokumentation auf learn.microsoft.com entfernt!
Oftmals Microsoft sorgt sich im Extended Support deutlich weniger darum die Qualität und Abhängigkeiten zu berücksichtigen. Ein Beispiel war die Updategeschwindigkeit von Windows Server 2016, welche aufgrund der Richtlinien von LTSC einen Backport des Fix von 1703 verbot.

Jüngstes Beispiel: ReFS. Einen funktionierenden Fix gab es nur noch für „aktuellen“ Windows Server Systeme, inkl damals noch Windows Server 2016. Windows Server 2012 ging leer aus, da Microsoft das damals eingeführte ReFS 1.0 nicht mehr supporten wollte.

Welche betrieblichen Risiken sind zu erwarten?

Der Betrieb unsupporteter (End of Mainstream Support) Betriebsysteme ist gemeinhein kostspieliger als man erwartet. Dies kann bishin zum Produktionsausfall oder Stillstand des selbigen führen.

Eine Migration wir mithin durch den fortwährenden Einsatz unsupporteter Software erschwert und kostenlastiger. Mitunter ist eine Migration überhaupt nicht mehr möglich. Auch das Risiko der Migration steigt. Wenn schon vor Beginn einer Migration kein Support mehr gegeben ist, oder im Fall equivalent zu Microsoft nur Extended Support, wird es für das Projekt kosten- und zeitkritisch.

Die Bedrohungslage durch Angreifer und laterale Bewegung in infiltrierten System sind ein wesentlicher Punkt. Dies kann bei einer Verschlüsselung, einem Datenschutzvorfall gemäß DS-GVO, deutlich schmerzhafter und teurer werden, als eine geplante Fortentwicklung Ihrer IT Infrastruktur. Hiervon haben wir bereits einige bittere Beispiele in nahen Kundenumfeld erlebt.

Vertrauen Sie uns: Diese ungeplanten Überstunden wollen Sie nicht durchmachen.

Logo Microsoft
Logo Hewlett Packard Enterprise

Modernisierung mit Windows Server 2022

Das cloudbereite Betriebssystem, das lokale Infrastrukturen um Hybridfunktionen erweitert

/by
Windows Server 2022: Hybride Workloads einfacher, sicherer und flexibler betreiben

Windows Server 2022: Hybride Workloads einfacher, sicherer und flexibler betreiben

Mit dem Generationswechsel auf Windows Server 2022 machen Unternehmen den nächsten Schritt, um ihre geschäftskritischen Workloads in lokalen, hybriden und Multi-Cloud-Infrastrukturen einfacher, sicherer und flexibler zu betreiben. In diesem Beitrag erfahren Sie die wichtigsten Neuerungen im Überblick.

Mehrschichtige Sicherheit: Gesteigerter Schutz vor neuartigen Malware-Angriffen

Mit der advanced Multilayer Security trägt Microsoft dem Trend Rechnung, dass immer mehr Unternehmen auch geschäftskritische Workloads in der Cloud betreiben. Eine zertifizierte Secured-Core Server-Hardware bietet dabei über Hardware-, Treiber und Firmware-Funktionen zusätzlichen Schutz geschäftskritischer Daten, während TPM 2.0 die Systemintegrität gewährleistet.

Hybridfunktionen mit Azure: Lokale und Cloud-Umgebungen zentral verwalten

Mit Windows Server 2022 können Rechenzentren einfacher denn je in Azure erweitert werden. Integrierte Hybridfunktionen steigern dabei die Effizienz und Agilität.

  • Azure Arc: alle Windows Server-Instanzen – on-Premises, auf Azure sowie in jeder beliebigen Cloud-Umgebung – zentral über das Windows Admin Center verwalten
  • Funktionen aus Microsoft Azure (z.B. Azure Policy, Azure Monitor und Azure Defender) schnell und einfach auch im lokalen Data Center nutzen
  • Server Message Block-Komprimierung: lokale Fileserver nahtlos mit Fileservern in Azure verbinden

Anwendungsplattform: Flexible Bereitstellung moderner Apps

Windows Server 2022 unterstützt umfangreiche Anwendungen wie SQL-Server mit bis zu 48 TB Arbeitsspeicher und 2.048 logischen Kernen auf bis zu 64 Sockeln. Darüber hinaus beinhaltet Windows Server 2022 Plattformverbesserungen für Windows-Container wie beispielsweise:

  • Anwendungskompatibilität und die Windows-Container-Benutzeroberfläche mit Kubernetes
  • Schnellerer Download von Container Images
  • Einfachere Implementierung von Netzwerkrichtlinien über Group Managed Service Accounts (gMSA)
  • Erleichterter Betrieb mit Kubernetes (u.a. HostProcess-Container für die Knoten-Konfiguration, Support für IPv6)
  • Vereinfachtes Deployment von .NET-Applikationen durch Containerisierung

Azure: Mehr aus Windows Server herausholen

Als Brücke zwischen lokalem Datacenter und der Cloud stellt Azure eine End-to-End Hybridinfrastruktur mit konsistenten Sicherheits-, Identitäts- und Verwaltungsfunktionen sowie Migrations- und Modernisierungstools bereit. Insgesamt lassen sich über Azure mehr als 200 Dienste und Funktionen nutzen, um die Effizienz der Windows Server zu erhöhen.

Weitere Informationen finden Sie in unserem Whitepaper “Windows Server 2022”:

Whitepaper herunterladen

Sie möchten mehr darüber erfahren, wie Sie geschäftskritische Workloads mit Windows Server 2022 einfacher, sicherer und effizienter betreiben?
Wir stehen Ihnen gerne persönlich zur Verfügung und freuen uns auf Ihre Nachricht!

/by
Microsoft CAL - Client Access Licenses für Windows Server

Microsoft CALs: So lizenzieren Sie Zugriffe auf Windows Server richtig

Client Access Licenses (CALs) sorgen immer wieder für Verwirrung. Die Lizenzen sind erforderlich, wenn z.B. ein neuer Windows Server oder Remote-Arbeitsplatz eingerichtet wird. Allerdings sind die Bestimmungen, ob und welche CALs benötigt werden, nicht einfach zu durchschauen. Unser Kurzüberblick zeigt, worauf Sie achten sollten.

Modernisierung mit Windows Server 2022

Das cloudbereite Betriebssystem, das lokale Infrastrukturen um Hybridfunktionen erweitert

Häufig bereiten Client Access Licenses (CALs) Kopfzerbrechen. Einerseits werden sie teilweise vergessen und andererseits gar zu viele oder zu wenige gekauft. Und oftmals sind die CALs eine lästige Pflicht, wenn mal wieder eine Infrastruktur neu aufgebaut oder migriert wird. Aber auch, wenn Arbeitsplätze remote angebunden oder auf virtuelle Umgebungen verlagert werden. Denn mit der Lizenzierung des Server-Betriebssystems ist es nicht getan. Zusätzlich müssen alle Zugriffe auf Windows-Server per CAL lizenziert werden.

Welche CALs gibt es?

Man hat die Wahl, Zugriffe entweder pro User oder pro Endgerät zu lizenzieren. Eine Anwender CAL berechtigt für den Zugriff von jedem beliebigen Endgerät aus wie Desktop-PC, Notebook und Smartphone. Bei Endgeräte CALs ist es genau umgekehrt: Die Lizenz deckt den Server-Zugriff eines bestimmten Geräts ab, unabhängig davon, wie viele Mitarbeiter das Gerät nutzen. Nutzer CALs und Geräte CALs dürfen im Netzwerk gemischt werden.

Für bestimmte Features von Windows Sever wie Remote Desktop Services (RDS) sind zusätzlich zu den Windows Server CALs so genannte RDS CALs nötig, die wir im folgenden Beitrag aufführen und darauf noch näher eingehen.

Wann brauche ich CALs?

Jeder direkte und indirekte Zugriff auf Windows Server muss durch eine CAL abgedeckt sein. Dabei reicht es, wenn entweder der Nutzer oder das Gerät, von dem aus zugegriffen wird, lizensiert ist. Greift ein Nutzer ohne CAL auf Windows Server zu, dann muss das Gerät per CAL lizenziert sein. Bei Geräten ohne CAL dagegen müssen die Benutzer lizenziert sein. Die CALs berechtigen so zum Zugriff auf sämtliche Windows-Server im Netzwerk.

Wie viele CALs gebraucht werden richtet sich hierbei nach der Anzahl der physischen Personen oder Endgeräte und nicht nach der Zahl der Objekte im Active Directory.

Was häufig übersehen wird: Jedes Gerät im Netzwerk benötigt eine CAL, sobald es mit Windows kommuniziert und Server-Software nutzt. Beispiele dafür sind:

  • Multifunktionsgeräte, die von einem auf Windows Server basierenden DHCP-Server eine IP-Adresse zugewiesen bekommen
  • Netzwerkdrucker, Scanner, Mailserver oder Zeiterfassung, die auf Windows Server laufen
  • Geräte, die über Sharepoint einen SQL Server nutzen

Hinfällig ist dies nur, wenn für alle Nutzer eines solchen Geräts eine User CAL vorliegt.

Welche CALs brauche ich in gemischten Umgebungen?

In Umgebungen mit unterschiedlichen Versions-Ständen muss die CAL für die neueste Version von Windows Server im Netzwerk gültig sein. CALs für ältere Versionen berechtigen nicht für den Zugriff auf neuere Windows Server-Versionen. Im Gegensatz dazu sind neuere CAL-Versionen abwärts kompatibel. Wenn User also von Windows Server 2019 auf Version 2022 wechseln, benötigen sie dafür neue CALs. Alternativ kann man sich mit einer Software Assurance die Berechtigung erkaufen, mit den bestehenden CALs auf die jeweils neueste Version von Windows Server zuzugreifen.

Welches Modell ist sinnvoll: CALs pro Nutzer, pro Gerät oder beides gemischt?

User CALs sind grundsätzlich dann sinnvoll, wenn es mehr Geräte als Nutzer gibt. Das trifft beispielsweise auf Unternehmen zu, bei denen Mitarbeitende mehrere dezidierte Geräte verwenden. Beispiel: Ein Mitarbeiter nutzt einen Desktop-PC im Büro und im Homeoffice sowie Tablet und Smartphone für unterwegs oder bei Kunden. Dabei sind alle vier Geräte mit einem User CAL abgedeckt.

Geräte CALs lohnen sich, wenn es mehr Nutzer als Geräte gibt. Beispiel: Im Lager oder in der Produktion stehen zwei PCs, an denen im Schichtbetrieb zwölf Mitarbeiter arbeiten. Dabei greifen sie auf Exchange zu und drucken Belege auf dem angeschlossenen Drucker aus. In diesem Fall reichen für die Lizenzierung drei Geräte CALs.

Anwender und Geräte CALs gemischt eignen sich beispielsweise für gewerbliche Unternehmen: Die Zugriffe der Außendienst- und Büromitarbeiter werden einerseits mit User CALs abgedeckt, die in der Fertigung und Montage dagegen über Geräte CALs.

RDS CALs: Wie funktioniert die Lizenzierung mit Remote Desktop Services?

Was vielen Kunden häufig nicht bewusst ist: Um auf Remote Desktop Services (RDS) zugreifen zu können, sind zusätzlich zu Windows Server CALs sogenannte RDS CALs nötig. Sie werden gebraucht, wenn ein Nutzer oder ein Gerät eine Verbindung

  • mit einem Remotedesktop-Sitzungshost oder einem Terminal-Server herstellt
  • oder über eine Drittanbieterlösung (z.B. Citrix) auf den Windows Desktop bzw. auf darauf installierte Anwendungen zugegriffen wird.

Pro Gerät oder Pro Nutzer lizenzieren?

Wie bei Windows Server CALs wird auch bei RDS CALs zwischen CALs für Nutzer und Geräte unterschieden. Auch hier ist es möglich, beide Lizenztypen zu mischen. Dies ist aber nicht empfehlenswert. RDS Device CALs bieten sich an, wenn mehrere Mitarbeitende denselben Computer für den Zugriff auf die RD-Sitzungshosts verwenden. RDS User CALs eignen sich hingegen, wenn Anwender über ein eigenes dediziertes Windows-Gerät auf die RD-Sitzungshosts zugreifen.

Die wesentlichen Unterschiede auf einen Blick:

CAL pro GerätCAL pro Nutzer
Die Lizenzen werden jedem Gerät physisch zugewiesen. Bei der zweiten Verbindungsherstellung eines Geräts mit dem Remote Desktop Session Host stellt der Lizenzserver eine permanente RDS CAL aus. Lizenzen werden den Nutzern über das Active Directory zugewiesen.
CALs werden vom Lizenzserver nachverfolgt.CALs werden vom Lizenzserver nachverfolgt.
Lizenzen lassen sich unabhängig von der Active Directory-Mitgliedschaft nachverfolgen.RDS-Lizenzen können nicht innerhalb einer Arbeitsgruppe nachverfolgt werden.
Bis zu 20 % der CALs lassen sich widerrufen und einem neuen Gerät zuweisen. CALs können nicht widerrufen werden. Jedoch: Wenn ein User sich über einen gewissen Zeitraum nicht angemeldet hat, wird die Lizenz wieder freigegeben.
Temporäre Lizenzen sind normalerweise 52-89 Tage lang gültigEs sind keine temporären Lizenzen verfügbar.
Lizenzen können nicht übermäßig zugewiesen werden. Sind alle Lizenzen auf dem Lizenzserver aufgebraucht, dann können sich keine weiteren Clients ohne gültige RDS-CAL am RD-Sitzungshostserver anmelden.
Lizenzen können übermäßig zugewiesen werden. Ein User ohne gültige RDS CAL wird vom Lizenzserver nicht daran gehindert, eine Verbindung zum RD-Session Host herzustellen, auch wenn alle RDS User CALs aufgebraucht sind. Das verstößt jedoch gegen die Lizenzvereinbarung.

Sauber lizenziert

RDS CALs müssen am Lizenzserver eingetragen werden. Dazu muss ein Windows Server als RDS Lizenzserver konfiguriert und die RDS CALs dort registriert werden. Für eine saubere Lizenzierung ist gerade im Pro-User-Modus darauf zu achten, nicht zu viele RDS CALs zu aktivieren. Denn auch wenn Microsoft eine gewisse Überbuchung toleriert, läuft man Gefahr eines Audits. Und das kann bei einer Unterlizenzierung teuer werden.

Bei weiteren Fragen zu Client Access Licenses stehen wir Ihnen jederzeit persönlich zur Verfügung: Wir beraten Sie gerne!

/by

Zerologon-Lücke im Windows Server wird attackiert – jetzt patchen

Windows Server Admins sollten ihre Windows Server Systeme mit den Versionen Windows Server 2008 und neuer dringend updaten. Die unter der Schwachstelle CVE-2020-1472 dokumentierte Lücke ermöglicht es Angreifern unter bestimmten Voraussetzungen, ohne Verwendung von Benutzernamen und Kennwort Vollzugriff auf Windows Server Systeme zu erhalten. Zwar hat Microsoft bereits im August im Rahmen seines Patchdays ein Update zur Behebung des Problems ausgespielt, dennoch wurden im September erste Angriffe entdeckt, die diese Sicherheitslücke ausnutzen. Microsoft stuft die Schwachstelle mit dem höchstmöglichen CVSS Score 10 von 10 ein.

Jetzt Server absichern

Sollten Sie noch kein Update Ihrer Windows Server Systeme durchgeführt haben so raten wir dringend dazu, dieses jetzt durchzuführen. Weitere Informationen hat Microsoft in hier bereitgestellt. Natürlich unterstützen wir Sie gerne bei Durchführung der entsprechenden Updates.

Sie sind netgo managed Kunde?

In diesem Fall brauchen Sie nichts zu tun. Ihr Technical Account Manager wird Kontakt zu Ihnen aufnehmen und mit Ihnen den Update-Prozess besprechen und durchführen.

Fragen?

Bei Fragen sind wir natürlich gern für Sie da:

t. +49 2861 80847 300

e. support@netgo.de

/by
loginvegefox.com @adobestock.com

Microsoft stellt Authentifizierung auf LDAPs um – Was Sie darüber wissen sollten

Microsoft plant ein Sicherheitsupdate für Windows Server ab Version 2008 zu veröffentlichen, welches durch die Aktivierung von LDAPs (LDAP over SSL) anstatt LDAP die Nutzung des Protokolls sicherer machen soll. Mit dem Update will Microsoft LDAPs als Standardeinstellung setzen und damit die LDAP-Signaturhärtung und LDAP-Kanalbindung aktivieren.

Dies setzt voraus, dass Ihre Systeme, die das LDAP Protokoll verwenden, ebenfalls für LDAPs vorbereitet sind. Andernfalls werden viele Systeme sich nicht an Ihrer Windows Domäne authentifizieren können.

Das für Ende 2019 geplante Update wurde von Microsoft zunächst auf die 2. Jahreshälfte 2020 verschoben und vor Kurzem auf “in absehbarer Zeit“ vertagt. Wir gehen davon aus, dass das Update früher oder später durch Microsoft freigegeben wird. Sie und Ihre IT-Umgebung sollten darauf vorbereitet sein, um nicht von den Auswirkungen des Updates überrascht zu werden.

Was ist LDAP?

LDAP ist die Abkürzung für „Lightweight Directory Access Protocol“ und beschreibt ein Netzwerkprotokoll, das zur Durchführung von Abfragen und Änderungen des Microsoft Active Directory auf Windows Domänencontrollern eingesetzt wird.“ Damit LDAP fehlerlos funktioniert, tauschen alle Systeme, die an der Abfrage beteiligt sind, auf Port 389 über eine ungesicherte Übertragung Daten aus.

LDAP birgt Sicherheitsrisiko

Schickt ein System oder eine Applikation automatisiert eine LDAP Abfrage oder wird einem Nutzer eine Anmeldeseite gezeigt, die er mit Usernamen und Passwort bedient, dann werden die Daten mittels LDAP-Abfrage unverschlüsselt an das Active Directory weitergegeben. Die Userkennung wird in der Folge überprüft. Wird der Netzwerkverkehr von einem Angreifer per Man-in-the-Middle-Angriff mitgeschnitten, dann können Passwörter von allen Nutzern, die am Netzwerkverkehr beteiligt sind, ausgelesen werden. Der Angreifer könnte sogar die Abfragen zwischen Active Directory und Applikation nach seinen Wünschen modifizieren. Dadurch kann der Angreifer auf das System Zugriff erhalten.

LDAPS soll zum Standard werden

Das unsichere LDAP-Protokoll wird durch LDAPS abgelöst. LDAPS ist die Abkürzung für „Lightweight Directory Access Protocol over Secure Sockets Layer (SSL)“. Die Kommunikation zwischen Sender und Empfänger findet Dank SSL/TLS verschlüsselt statt. Zusätzlich kann eine zertifikatsbasierende Authentifizierung der Kommunikationspartner stattfinden.

Welche Systeme sind betroffen?

Es sind alle Systeme und Applikationen durch das Update betroffen, die LDAP-Anfragen an das Active Directory einer Windows Domäne stellen. Dazu zählen u.a. folgende Systeme:

Unsere Empfehlung

Wir empfehlen, gemäß Microsoft Security Advisory ADV190023, Ihre und Anwendungen, die das unsichere LDAP nutzen, zu identifizieren und auf LDAPS umzustellen. Die Verfügbarkeit von Updates, die die Umstellung der entsprechenden Applikationen Systeme auf LDAPS ggf. erst ermöglichen, sollte geprüft und die Implementierung der Updates entsprechend eingeplant werden.

Sollten Sie weitere Fragen zum Thema haben oder Unterstützung bei der Umsetzung benötigen, sprechen Sie uns an. Wir unterstützen Sie gern.

/by

Links

Über netgo
Jobs
Events
Newsletter

© 2022 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA

Links

Über netgo
Jobs
Events
Newsletter

© 2022 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA

Links

Über netgo
Jobs
Events
Newsletter

© 2022 – netgo group GmbH

ImpressumDatenschutzerklärungAGB

KundenbereichExtranetFernwartungRMA