Anstehendes Sicherheitsupdate von Microsoft

+++ Update März 2020 +++

Microsoft hat angekündigt, dass Updates vom 10. März 2020 und Updates in absehbarer Zukunft keine Änderungen an LDAP-Signierungs- oder LDAP-Kanalbindungsrichtlinien oder deren Registrierungsäquivalent auf neuen oder vorhandenen Domänencontrollern vornehmen werden.  

Nichtsdestotrotz steht es unter der Kontrolle der Administratoren, die LDAP-Signierung und LDAP-Kanalbindung zu konfigurieren. Für den Fall, dass ein Administrator diese Sicherheitseinstellung konfigurieren möchte, bieten die unten stehenden Informationen Hilfestellung.

Ursprüngliche Ankündigung

Wir möchten alle Kunden darüber informieren, dass ein Microsoft-Sicherheitsupdate zu Kompatibilitätsproblemen und zum Ausfall von Services führen kann.
 

Betroffen können alle LDAP-fähigen Clients sein. Dies schließt Konica Minolta-Kunden ein, die mindestens

• einen MFP (Multifunktions-Printer) oder einen Drucker
• ein Produktionsdrucksystem oder
• eine Softwareanwendung von Konica Minolta nutzen. 

Nach aktuellen Informationen von Microsoft wurde die Sicherheitsaktualisierung, welche die LDAP-Kanalbindung und LDAP-Signatur auf den Active Directory-Domänencontrollern standardmäßig aktiviert, auf die zweite Hälfte des Kalenderjahres 2020 verschoben. Laut Microsoft aktiviert dieses Update die in der Sicherheitsempfehlung ADV190023 beschriebenen Maßnahmen zur Sicherung der Netzwerkkommunikation zwischen Active Directory Domain Services (AD DS) oder Active Directory Lightweight Directory Services (AD LDS) und entsprechenenden Clients. Details hierzu finden Sie in den von Microsoft veröffentlichten Informationen, die Sie unten auf dieser Seite einsehen können.

Microsoft zufolge ergänzen die Windows-Updates vom März 2020 neue Prüfvorgänge, zusätzliche Protokollierung und eine Neuzuordnung von Gruppenrichtlinien, die die LDAP-Kanalbindung und LDAP-Signatur ermöglichen.

Microsoft: "Administratoren können verhindern, dass durch das Update diese Änderungen vorgenommen werden, indem sie entweder die LDAP-Signatur und Kanalbindung JETZT aktivieren oder indem sie vor der Update-Installation die LDAP-Signatur und Kanalbindung manuell konfigurieren." In jedem Fall kann jedoch eine Neukonfiguration der LDAP-Verbindungseinstellungen auf MFPs oder Softwareanwendungen erforderlich sein.

Betroffene Kunden, entweder durch manuell geänderte Einstellungen oder durch die Installation des Sicherheitsupdates, können ihr Konica Minolta System mit entsprechenden Anweisungen selbst konfigurieren.

Anweisungen für die eigenständige Konfiguration

Um Probleme zu vermeiden, installieren Sie das Software-Update nicht vor der Kompatibilitätsbestätigung. Warum nicht? Durch die Installation des Softwareupdates werden LDAP-Kanalbindung und LDAP-Signatur standardmäßig aktiviert, was sich auf die Kompatibilität von Konica Minolta MFPs oder Drucksystemen, Produktionsdrucksystemen und Softwareanwendungen auswirken kann, wenn sie für die Verbindung mit einem Microsoft Active Directory-Server über das LDAP-Protokoll konfiguriert sind. In der Folge können LDAP-Verbindungen, z. B. eine auf einem MFP initiierte Benutzerauthentifizierungsanforderung, abgelehnt werden. Daher können sich Benutzer nicht mehr bei ihren Systemen oder Anwendungen anmelden, was dazu führt, dass Services nicht verfügbar sind.

Führen Sie die eigenständige Systemkonfiguration wie folgt durch:

1. Wählen Sie nach Ausführung des Sicherheitsupdates LDAPS (LDAP über SSL/TLS) und die einfache Authentifizierungsmethode für die Konfiguration der unterstützten externen Serverauthentifizierung aus.  
2. Wählen Sie nach Ausführung des Sicherheitsupdates LDAPS (LDAP über SSL/TLS) und die GSSPNEGO-Authentifizierungsmethode für die unterstützte LDAP-Konfiguration (LDAP-IC/Einfache Druckauthentifizierung/LDAP-Adresssuche) aus.

Weitere Informationen finden Sie in der Bedienungsanleitung Ihres Konica Minolta Systems.