Tech/update: LDAP Channel Binding, Entra Private Access en End of Life Ivanti Workspace Control

Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.

In deze Tech/update even de diepte in over het beveiligen van LDAP, de introductie van Entra Private Access als nieuwe Zero Trust Network Access (ZTNA) oplossing van Microsoft en einde verhaal voor Ivanti Workspace Control nu hiervan een end of life datum voor is gecommuniceerd.

LDAP Channel binding

We hebben het natuurlijk regelmatig over het beveiligen van je netwerk. Een belangrijk onderdeel van de communicatie op je netwerk is de authenticatie van servers en computers met Domain Controllers door middel van LDAP. En ook deze communicatie willen we natuurlijk zo veilig mogelijk maken. Daarom is Microsoft al lange tijd zakan aan het introduceren om deze stapsgewijs wat veiliger te maken. Heb je geen idee waar we het over hebben? Check dan de blog over Securing LDAP van Jarno Basselier, erg interessant!

Met de komst van de januari 2024 Security Updates is het niet meer nodig om losse .msi packages te installeren voor het auditen van clients op Windows Server 2019 Domain Controllers. Windows Server 2022 had deze ondersteuning al in November 2023 verkregen. Er kan nu worden ge-audit op event id’s 3074 en 3075 om clients in kaart te brengen die nog aanmelden en geen LDAP channel binding ondersteunen. Deze advisory dateert uit 2020, we adviseren indien dit nog niet is gedaan om clients in kaart te brengen en vervolgens LDAP channel binding te forceren daar het moment dat dit met een Windows update geforceerd gaat worden steeds dichterbij komt.

Entra Private Access in Preview

Entra Private Access is beschikbaar als Public Preview en  betreft de nieuwe Zero Trust Network Access (ZTNA) oplossing van Microsoft. Deze functionaliteit is halverwege 2023 al aangekondigd in deze post. Hiermee biedt Microsoft de mogelijkheid om traditionele VPN oplossingen te vervangen en (client) toegang te bieden via Azure voor bijvoorbeeld non-web based applicaties. Hiermee kan meteen gebruik worden gemaakt van features als Conditional Access. Onduidelijk is nog wat uiteindelijk het licentiemodel gaat worden, maar vooralsnog lijkt dit een zeer interessant product. Waarom? Onderstaande video geeft een mooie weergave van de mogelijkheden:

Ivanti Workspace Control vanaf 31 december 2026 End of Life

Er is in de Benelux al veel over geschreven aangezien het product jarenlang erg populair is geweest: Ivanti Workspace Control is niet meer na 2026. Waar het product eerder geboren werd onder de naam RES PowerFuse en later hernoemd werd tot RES Workspace Manager heeft het onder de vlag van Ivanti sinds 2017 al langere tijd een wat negatieve naam opgebouwd. Niet het product zelf overigens, maar wel de strategie die Ivanti er op na hield wat betreft doorontwikkeling. Zeker gezien de concurrentie met de andere User Environment Management (UEM) tool van Ivanti: Appsense. Laatstgenoemde blijkt onder de noemer “Ivanti User Workspace Manager” als enige UEM onder de vlag van Ivanti over te blijven.

Alternatief: Liquit Workspace

Maar: niet getreurd! We zijn al enige jaren partner van Liquit en met hun tools Liquit Workspace en Release & Patch management heb je eigenlijk alle tools in huis om vergelijkbare functionaliteit naar de digitale werkplek te brengen. En om een migratie naar Liquit Workspace nog aantrekkelijker te maken kunnen we samen met Liquit deze licenties de eerste 12 maanden met 100% korting aanbieden. Dit zorgt ervoor dat je geen dubbele licentiekosten hebt en je dus vlot gebruik kunt gaan maken van deze mooie toolset. Ook ná die periode ervaren we lagere licentiekosten voor Liquit, naast uitgebreidere functionaliteit, dus komt vooral even in de lucht om te bepalen wat we in jouw specifieke situatie kunnen doen.

Heb je een andere (Security) Update of CVE waar je graag meer over wilt weten?

We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!