Актуализирано на 01.09.2024 г.
Вижте новото съдържание в актуализациите от 9 януари 2024 г.
Въведение
Обвързването на LDAP канали и подписването на LDAP предоставят начини за повишаване на защитата за комуникациите между LDAP клиенти и домейнови контролери на Active Directory. Набор от опасни конфигурации по подразбиране за обвързване на LDAP канали и подписване на LDAP съществуват на домейнови контролери на Active Directory, които позволяват на LDAP клиентите да комуникират с тях, без да се налага обвързване на LDAP канал и подписване на LDAP. Това може да отвори домейнови контролери на Active Directory до увеличаване на уязвимостта на привилегиите.
Тази уязвимост може да позволи на хакер в средата успешно да препрати искане за удостоверяване към сървър на домейн на Microsoft, който не е конфигуриран да изисква обвързване на канали, подписване или запечатване на входящи връзки.
Microsoft препоръчва на администраторите да направят промените за втвърдяване, описани в ADV190023.
На 10 март 2020 г. ние решаваме тази уязвимост, като предоставяме следните опции за администратори за подсилване на конфигурациите за обвързване на LDAP канали на домейнови контролери на Active Directory:
-
Домейнов контролер: Изисквания за маркер за обвързване на канал на LDAP сървър Групови правила.
-
Събития за подписване на маркери за обвързване на канал (CBT) 3039, 3040 и 3041 с подател на събития Microsoft-Windows-Active Directory_DomainService в регистъра на събитията на справочната услуга.
Важно: Актуализациите и актуализациите от 10 март 2020 г. в обозримо бъдеще няма да променят правилата по подразбиране за обвързване на LDAP подписване или LDAP канал или техния еквивалент в системния регистър на нови или съществуващи домейнови контролери на Active Directory.
LDAP подписването Домейнов контролер: Правилата за изисквания за подписване на LDAP сървър вече съществуват във всички поддържани версии на Windows. Започвайки с изданието Windows Server 2022, 23H2, всички нови версии на Windows ще съдържат всички промени в тази статия.
Защо е необходима тази промяна
Защитата на домейновите контролери на Active Directory може да бъде значително подобрена чрез конфигуриране на сървъра да отхвърля LDAP обвързвания на слоя за просто удостоверяване и защита (SASL), които не изискват подписване (проверка на целостта) или да отхвърлят прости обвързвания на LDAP, които се изпълняват с изчистена текстова връзка (несвързана с SSL/TLS). SASL може да включват протоколи като Negotiate, Kerberos, NTLM и Digest.
Неподписаният мрежов трафик е податлив на повторение на атаки, при които нарушител пресича опита за удостоверяване и издаването на билет. Нарушителят може да използва отново билета, за да се представи за законния потребител. Освен това неподписаният мрежов трафик е податлив на атаки от човек в средата (MiTM), при които нарушител улавя пакети между клиента и сървъра, променя пакетите и след това ги препраща към сървъра. Ако това се случи на домейнов контролер на Active Directory, атакуващият може да накара сървъра да взема решения, които се базират на подправени заявки от LDAP клиента. LDAPS използва собствен отделен мрежов порт за свързване на клиенти и сървъри. Портът по подразбиране за LDAP е порт 389, но LDAPS използва порт 636 и установява SSL/TLS при свързване с клиент.
Маркерите за обвързване на канали помагат за по-безопасно LDAP удостоверяване чрез SSL/TLS срещу атаки от човек в средата.
10 март 2020 г. актуализации
Важно Актуализациите от 10 март 2020 г. не променят правилата по подразбиране за подписване на LDAP или обвързване на LDAP канали или техния еквивалент в системния регистър на нови или съществуващи домейнови контролери на Active Directory.
Актуализациите на Windows ще бъдат издадени на 10 март 2020 г., добавете следните функции:
-
В Визуализатор на събития, свързани с обвързването на LDAP канали, се регистрират нови събития. Вижте Таблица 1 и Таблица 2 за подробности относно тези събития.
-
Нов домейнов контролер: Изискванията за обвързване на канал на LDAP сървър групови правила да конфигурирате обвързване на LDAP канал на поддържани устройства.
Съпоставянето между настройките на правилата за подписване на LDAP и настройките на системния регистър са включени по следния начин:
-
Настройка на правила: "Домейнов контролер: Изисквания за подписване на LDAP сървър"
-
Настройка на системния регистър: LDAPServerIntegrity
-
Тип данни: DWORD
-
Път до системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
настройка на групови правила |
Настройка на системния регистър |
Никакви |
1 |
Изискване на подписване |
2 |
Съпоставянето между настройките на правилата за обвързване на LDAP канал и настройките на системния регистър са включени по следния начин:
-
Настройка на правила: "Домейнов контролер: Изисквания за обвързване на канал на LDAP сървър"
-
Настройка на системния регистър: LdapEnforceChannelBinding
-
Тип данни: DWORD
-
Път до системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
настройка на групови правила |
Настройка на системния регистър |
„Никога” |
0 |
Когато се поддържа |
1 |
Винаги |
2 |
Таблица 1: Събития за подписване на LDAP
Описание |
Предизвика |
|
Защитата на тези домейнови контролери може да бъде значително подобрена чрез конфигуриране на сървъра за налагане на проверка на подписването на LDAP. |
Задейства се на всеки 24 часа при стартиране или стартиране на услугата, ако групови правила е зададено на Няма. Минимално ниво на регистриране: 0 или по-високо |
|
Защитата на тези домейнови контролери може да бъде подобрена чрез конфигурирането им да отхвърлят прости искания за обвързване на LDAP и други искания за обвързване, които не включват LDAP подписване. |
Задейства се на всеки 24 часа, когато групови правила е зададено на Няма и поне едно незащитено обвързване е завършено. Минимално ниво на регистриране: 0 или по-високо |
|
Защитата на тези домейнови контролери може да бъде подобрена чрез конфигурирането им да отхвърлят прости искания за обвързване на LDAP и други искания за обвързване, които не включват LDAP подписване. |
Задейства се на всеки 24 часа, когато групови правила е зададено на Изискване на подписване и поне едно незащитено обвързване е отхвърлено. Минимално ниво на регистриране: 0 или по-високо |
|
Защитата на тези домейнови контролери може да бъде подобрена чрез конфигурирането им да отхвърлят прости искания за обвързване на LDAP и други искания за обвързване, които не включват LDAP подписване. |
Задейства се, когато клиент не използва подписване за обвързвания на сесии на порт 389. Минимално ниво на регистриране: 2 или по-високо |
Таблица 2: CBT събития
Събитие |
Описание |
Предизвика |
3039 |
Следният клиент е извършил LDAP обвързване през SSL/TLS и не е преминал успешно проверката на маркер за обвързване на LDAP канал. |
Задействано при някое от следните обстоятелства:
Минимално ниво на регистриране: 2 |
3040 |
По време на предишния 24-часов период са извършени # от незащитените обвързвания на LDAP. |
Задейства се на всеки 24 часа, когато CBT групови правила е зададено на Никога и поне едно незащитено обвързване е завършено. Минимално ниво на регистриране: 0 |
3041 |
Защитата на този справочен сървър може да бъде значително подобрена чрез конфигуриране на сървъра за налагане на проверка на маркерите за обвързване на LDAP канали. |
Задейства се на всеки 24 часа при стартиране или стартиране на услугата, ако CBT групови правила е зададено на Никога. Минимално ниво на регистриране: 0 |
За да зададете нивото на регистриране в системния регистър, използвайте команда, подобна на следната:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
За повече информация как да конфигурирате регистрирането на диагностични събития на Active Directory, вижте Как да конфигурирате регистрирането на събития за диагностика на Active Directory и LDS.
Актуализации от 8 август 2023 г.
Някои клиентски машини не могат да използват маркери за обвързване на канали на LDAP, за да се свързват с домейнови контролери (DCs) на Active Directory. Microsoft ще издаде актуализация на защитата на 8 август 2023 г. За Windows Server 2022 тази актуализация добавя опции за администратори за проверка на тези клиенти. Можете да разрешите CBT събития 3074 и 3075 с източника на събитие **Microsoft-Windows-ActiveDirectory_DomainService** в регистъра на събитията на справочната услуга.
Важно Актуализацията от 8 август 2023 г. не променя подписването на LDAP, правилата по подразбиране за обвързване на LDAP канали или техния еквивалент в системния регистър на нови или съществуващи DCs на Active Directory.
Всички указания в раздела за актуализации от март 2020 г. също се отнасят тук. Новите събития за проверка ще изискват настройките на правилата и системния регистър, посочени в указанията по-горе. Също така има стъпка за разрешаване, за да видите новите събития за проверка. Новите подробности за внедряването са в раздела Препоръчителни действия по-долу.
Таблица 3: CBT събития
Събитие |
Описание |
Предизвика |
3074 |
Следващият клиент е извършил LDAP обвързване през SSL/TLS и би неуспешна проверката на маркера за обвързване на канала, ако справочният сървър е конфигуриран да налага проверка на маркерите за обвързване на канал. |
Задействано при някое от следните обстоятелства:
Минимално ниво на регистриране: 2 |
3075 |
Следният клиент е извършил LDAP обвързване през SSL/TLS и не е предоставил информация за обвързване на канал. Когато този справочен сървър е конфигуриран да налага проверка на маркерите за обвързване на канал, тази операция за обвързване ще бъде отхвърлена. |
Задействано при някое от следните обстоятелства:
Минимално ниво на регистриране: 2 |
Забележка Когато зададете нивото на записване в регистрационен файл на поне 2, се записва ИД на събитие 3074. Администраторите могат да използват това, за да проверяват своята среда за клиенти, които не работят с маркери за обвързване на канал. Събитията ще съдържат следната диагностична информация, за да идентифицират клиентите:
Client IP address: 192.168.10.5:62709 Самоличност, която клиентът се е опитал да удостовери като: CONTOSO\Administrator Клиентът поддържа обвързване на канал:FALSE Клиент, разрешен в поддържан режим:TRUE Флагове на резултатите от проверката:0x42
10 октомври 2023 г. актуализации
Промените в проверката, добавени през август 2023 г., вече са налични в Windows Server 2019. За тази операционна система тази актуализация добавя опции за администратори за проверка на тези клиенти. Можете да разрешите CBT събития 3074 и 3075. Използвайте източника на събития **Microsoft-Windows-ActiveDirectory_DomainService** в регистъра на събитията на справочната услуга.
Важно Актуализацията от 10 октомври 2023 г. не променя подписването на LDAP, правилата по подразбиране за обвързване на LDAP канали или техния еквивалент в системния регистър на нови или съществуващи DCs на Active Directory.
Всички указания в раздела за актуализации от март 2020 г. също се отнасят тук. Новите събития за проверка ще изискват настройките на правилата и системния регистър, посочени в указанията по-горе. Също така има стъпка за разрешаване, за да видите новите събития за проверка. Новите подробности за внедряването са в раздела Препоръчителни действия по-долу.
Актуализации от 14 ноември 2023 г.
Промените в проверката, добавени през август 2023 г., вече са налични в Windows Server 2022. Не е необходимо да инсталирате MSIs или да създавате правила, както е посочено в стъпка 3 от препоръчителните действия.
9 януари 2024 г. актуализации
Промените в проверката, добавени през октомври 2023 г., вече са налични в Windows Server 2019. Не е необходимо да инсталирате MSIs или да създавате правила, както е посочено в стъпка 3 от препоръчителните действия.
Препоръчани действия
Силно съветваме клиентите да предприемат следните стъпки при първа възможност:
-
Уверете се, че 10 март 2020 г. или по-нови актуализации на Windows са инсталирани на компютри с роли на домейнов контролер (DC). Ако искате да разрешите събития за проверка на обвързване на LDAP канал, уверете се, че актуализациите от 8 август 2023 г. или по-нови са инсталирани на компютри с Windows Server 2022 или Server 2019.
-
Разрешете диагностичното регистриране на LDAP събития до 2 или по-нова версия.
-
Разрешете актуализациите на събития от август 2023 или октомври 2023 г., като използвате групови правила. Можете да пропуснете тази стъпка, ако сте инсталирали актуализациите от ноември 2023 г. или по-нови на Windows Server 2022. Ако сте инсталирали актуализациите от януари 2024 г. или по-нови версии на Windows Server 2019, можете също да пропуснете тази стъпка.
-
Изтеглете двата MIS за разрешаване за всяка версия на операционната система от центъра на Microsoft за изтегляния:
-
Разгънете MSIs, за да инсталирате новите ADMX файлове, които съдържат дефиниции на правила. Ако използвате централното хранилище за групови правила, копирайте ADMX файловете в централното хранилище.
-
Приложете съответните правила за OU на домейнови контролери или поднабор от вашите компютри Server 2022 или Server 2019.
-
Рестартирайте DC, за да влязат в сила промените.
-
-
Следете регистрационния файл на събитията за справочни услуги на всички компютри с DC роли, филтрирани за:
-
Събитие за неуспешно подписване на LDAP 2889 в таблица 1.
-
Събитие 3039 на неуспешно обвързване на LDAP канал в Таблица 2.
-
Събития за проверка на обвързване на LDAP канал 3074 и 3075 в таблица 3.
Забележка Събития 3039, 3074 и 3075 могат да бъдат генерирани само когато обвързване на канал е зададено на Когато се поддържа или Винаги.
-
-
Идентифицирайте модела, модела и типа на устройството за всеки IP адрес, цитиран от:
-
Събитие 2889 за извършване на неподписани LDAP повиквания
-
Събитие 3039 за не използване на обвързване на LDAP канал
-
Събитие 3074 или 3075 за невъзможност за обвързване на LDAP канал
-
Типове устройства
Групиране на типове устройства в 1 от 3 категории:
-
Уред или маршрутизатор -
-
Свържете се с доставчика на устройството.
-
-
Устройство, което не се изпълнява на операционна система Windows –
-
Уверете се, че обвързването на LDAP канал и подписването на LDAP се поддържат в операционната система и приложението. Направете това, като работите с операционната система и доставчика на приложения.
-
-
Устройство, което се изпълнява на операционна система Windows –
-
Подписването на LDAP е достъпно за използване от всички приложения във всички поддържани версии на Windows. Уверете се, че вашето приложение или услуга използват LDAP подписване.
-
Обвързването на LDAP канал изисква всички устройства с Windows да имат инсталиран CVE-2017-8563 . Уверете се, че вашето приложение или услуга използват обвързване на LDAP канал.
-
Използвайте локални, отдалечени, общи или специфични за устройството инструменти за проследяване. Те включват улавяне на мрежа, диспечер на процеси или проследяване на грешки. Определете дали основната операционна система, услуга или приложение извършва неподписани LDAP обвързвания, или не използва CBT.
Използвайте диспечера на задачите на Windows или еквивалентно на нанасяне на ИД на процеса с имената на процесите, услугите и приложенията.
График за актуализация на защитата
Актуализацията от 10 март 2020 г. добави контроли за администратори, за да затвърди конфигурациите за обвързване на LDAP канали и подписване на LDAP на домейнови контролери на Active Directory. Актуализациите от 8 август и 10 октомври 2023 г. добавят опции за администратори за проверка на клиентски машини, които не могат да използват маркери за обвързване на LDAP канал. Настоятелно съветваме клиентите да предприемат действията, препоръчани в тази статия, при първа възможност.
Целева дата |
Събитие |
Отнася се за |
10 март 2020 г. |
Задължително: Актуализацията на защитата е налична на актуализиране на Windows за всички поддържани платформи на Windows. Забележка За платформи на Windows, които са извън стандартната поддръжка, тази актуализация на защитата ще бъде налична само чрез приложимите програми за разширена поддръжка. Поддръжката на обвързване на LDAP канали е добавена от CVE-2017-8563 на Windows Server 2008 и по-нови версии. Маркерите за обвързване на канали се поддържат в Windows 10, версия 1709 и по-нови версии. Windows XP не поддържа обвързване на LDAP канал и ще бъде неуспешен, когато обвързването на канали на LDAP е конфигурирано с помощта на стойност Always, но ще взаимодейства с DCs, конфигурирани да използват по-отпусната настройка за обвързване на LDAP канал на Когато се поддържа. |
Windows Server 2022 Windows 10, версия 20H2 Windows 10, версия 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (актуализация за разширена защита (ESU)) |
8 август 2023 г. |
Добавя събития за проверка на маркери за обвързване на LDAP канал (3074 & 3075). Те са дезактивирани по подразбиране в Windows Server 2022. |
Windows Server 2022 |
10 октомври 2023 г. |
Добавя събития за проверка на маркери за обвързване на LDAP канал (3074 & 3075). Те са забранени по подразбиране в Windows Server 2019. |
Windows Server 2019 |
14 ноември 2023 г. |
LDAP събития за проверка на маркери за обвързване на канал са налични в Windows Server 2022, без да се инсталира MSI за разрешаване (както е описано в стъпка 3 от препоръчителните действия). |
Windows Server 2022 |
9 януари 2024 г. |
LDAP събития за проверка на маркери за обвързване на канал са налични в Windows Server 2019, без да се инсталира MSI за разрешаване (както е описано в стъпка 3 от препоръчителните действия). |
Windows Server 2019 |
Често задавани въпроси
За отговори на често задавани въпроси относно обвързването на LDAP канали и подписването на LDAP на домейнови контролери на Active Directory вижте: