Die Abschaltung von NTLM und RC4 war erst der Anfang. Mit LDAP Signing und Channel Binding treibt Microsoft die nächste Active Directory-Härtung voran. Wer noch mit unsigniertem LDAP arbeitet, sollte jetzt handeln – auch wenn die genaue Enforcement-Strategie für bestehende Umgebungen differenzierter ist, als oft dargestellt.
Für IT-Administratoren bedeutet das konkrete Handlungsbedarfe in Anwendungen, VPN-Systemen und Netzwerkgeräten, wenn die Konfiguration nicht rechtzeitig angepasst wird.
LDAP (Lightweight Directory Access Protocol) ist das Protokoll, über das Clients, Anwendungen und Dienste mit dem Active Directory kommunizieren. Jede Benutzeranmeldung, jede Gruppenrichtlinienauswertung und jede Abfrage von Verzeichnisinformationen läuft im Hintergrund über LDAP.
Das Problem: Standardmäßig erlaubt Active Directory auf älteren Windows-Server-Versionen unsigniertes LDAP über Port 389, also Verbindungen ohne kryptografische Integritätsprüfung. Ein Angreifer im Netzwerk kann diese Verbindungen abfangen, manipulieren oder für Relay-Angriffe missbrauchen.
LDAP Signing stellt sicher, dass jede LDAP-Nachricht mit einer digitalen Signatur versehen wird. Ohne Signierung kann ein Angreifer die Kommunikation zwischen Client und Domain Controller unbemerkt manipulieren. Mit aktiviertem Signing wird jede manipulierte Nachricht vom Domain Controller abgelehnt.
Channel Binding geht einen Schritt weiter: Es bindet die LDAP-Authentifizierung an den zugrundeliegenden TLS-Kanal. Ein Angreifer, der eine Authentifizierung abfängt und weiterleitet, kann die gestohlenen Credentials nicht auf einem anderen Kanal wiederverwenden, weil die Bindung nicht übereinstimmt.
Ab Windows Server 2025 erzwingt Microsoft LDAP Signing standardmäßig für neu aufgesetzte Domain Controller – über eine neue Gruppenrichtlinie:
Domain controller: LDAP server signing requirements Enforcement
Diese Policy ist standardmäßig auf „Not Configured“ gesetzt, was effektiv „Require Signing“ entspricht. Bei einem Upgrade von einer älteren Version auf WS2025 bleiben bestehende Einstellungen unverändert erhalten.
Auf bestehenden Domain Controllern vor Windows Server 2025 verändert Microsoft die LDAP-Einstellungen nicht automatisch per Update. Die alten Standardwerte bleiben aktiv:
Administratoren müssen die Konfiguration aktiv und manuell über Gruppenrichtlinien oder den Registry-Key LDAPServerIntegrity = 2 ändern.
Channel Binding ist auch in Windows Server 2025 weiterhin auf „Never“ als Standard gesetzt. Microsoft hat hier – anders als beim LDAP Signing für neue WS2025-DCs – keine Änderung am Standardverhalten vorgenommen. Die Konfiguration muss explizit durch Administratoren aktiviert werden.
| Event ID | Bedeutung |
|---|---|
2886 | LDAP-Signing ist nicht aktiviert (Startwarnung des DC-Dienstes) |
2887 | Tägliche Zusammenfassung: Anzahl unsignierter Binds |
2888 | Client hat Signing angefordert, DC ist nicht konfiguriert |
2889 | Protokolliert spezifische Clients ohne Signing (mit IP/Hostname) |
| Event ID | Bedeutung |
|---|---|
3039 | Client hat kein Channel Binding Token geliefert |
3040 | Tägliche Zusammenfassung: Binds ohne CBT (wenn Policy auf „Never“) |
3041 | Startwarnung: CBT-Policy ist auf „Never“ gesetzt |
| Event ID | Bedeutung |
|---|---|
3074 | Channel Binding-Fehler eines Clients (identifiziert nicht-konforme Geräte) |
3075 | Channel Binding-Policy wurde auf eine restriktivere Stufe geändert |
Jede Software, die Benutzer gegen das Active Directory authentifiziert, nutzt LDAP im Hintergrund. Typischerweise betroffen sind VPN-Gateways und Firewalls mit AD-Authentifizierung (Cisco, Fortinet, Palo Alto), Webapplikationen mit LDAP-Bind (Confluence, Jira, GitLab, OTRS), Monitoring-Systeme und SIEM-Lösungen, HR- und ERP-Systeme mit AD-Integration sowie Drittanbieter-Tools mit hartkodierten LDAP-Konfigurationen.
Systeme, die per SSSD, nslcd oder pam_ldap gegen Active Directory authentifizieren, sind häufig ohne Signing konfiguriert. Die Standardkonfiguration vieler Linux-Distributionen nutzt schlichten LDAP auf Port 389.
Switches mit 802.1X-Authentifizierung über LDAP, NAS-Systeme mit AD-Integration sowie ältere Druckersysteme können oft kein Channel Binding unterstützen. Besonders betroffen sind Synology, QNAP sowie ältere Geräte von HP, Canon und Ricoh.
LDAPServerIntegrity = 2 auf einem Test-DC setzen und Auswirkungen beobachten, bevor der Wert auf alle DCs ausgerollt wird.Get-WinEvent -LogName "Directory Service" |
Where-Object { $_.Id -in @(2887, 2889) } |
Select-Object TimeCreated, Id, Message |
Export-Csv ldap_audit.csv -NoTypeInformationAls spezialisierter IT-Security-Dienstleister unterstützt Mint Secure Unternehmen bei der sicheren Migration und Absicherung ihrer Active Directory Infrastruktur.
LDAP Signing und Channel Binding sind keine neuen Konzepte – Microsoft empfiehlt sie seit der Windows-Server-2003-Ära. Mit Windows Server 2025 hat sich die Lage konkret verändert: Neue DC-Deployments mit WS2025 erzwingen LDAP Signing standardmäßig. Bestehende Umgebungen (WS2019/2022) sind davon nicht automatisch betroffen, aber das Risiko durch LDAP Relay ist real und wird in nahezu jedem Pentest ausgenutzt.
Unternehmen, die jetzt handeln, vermeiden ungeplante Ausfälle in Anwendungen, VPN-Systemen und Netzwerkgeräten, schließen einen der meistgenutzten Angriffsvektoren in Active Directory Umgebungen und reduzieren das Risiko einer Domain-Kompromittierung durch LDAP Relay erheblich.
Jetzt ist der richtige Zeitpunkt zu handeln – unabhängig davon, ob Microsoft irgendwann eine globale Enforcement-Pflicht für bestehende DCs einführt.
Quellen: Microsoft Learn – LDAP signing for AD DS; KB4520412; Microsoft Tech Community – LDAP Channel Binding and Signing Requirements Server 2025 Updates; TrustedSec – LDAP Channel Binding and LDAP Signing (Jan. 2026)