Aktualizováno 9. 1. 2024
Podívejte se na nový obsah v aktualizacích z 9. ledna 2024.
Úvod
Vazby kanálů LDAP a podepisování LDAP poskytují způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory. Na řadičích domény služby Active Directory existuje sada nebezpečných výchozích konfigurací pro vazbu kanálů LDAP a podepisování LDAP, které umožňují klientům LDAP komunikovat s nimi bez vynucení vazby kanálů LDAP a podepisování LDAP. Řadiče domény služby Active Directory tak můžou být ohroženy zvýšením oprávnění.
Tato chyba zabezpečení by mohla umožnit útočníkovi typu man-in-the-middle úspěšně předat žádost o ověření na server domény Microsoftu, který není nakonfigurovaný tak, aby vyžadoval vazbu kanálu, podepisování nebo zapečetění příchozích připojení.
Microsoft doporučuje správcům provést změny posílení zabezpečení popsané v ADV190023.
10. března 2020 řešíme tuto chybu zabezpečení tím, že správcům poskytneme následující možnosti pro posílení konfigurace vazeb kanálů LDAP na řadičích domény služby Active Directory:
-
Řadič domény: Požadavky na token vazby kanálu serveru LDAP ”.
-
Tokeny CBT (Channel Binding Tokens) podepisování událostí 3039, 3040 a 3041 s odesílatelem události Microsoft-Windows-Active Directory_DomainService v protokolu událostí adresářové služby.
Důležité: Aktualizace a aktualizace z 10. března 2020 v dohledné budoucnosti nezmění výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo stávajících řadičích domény služby Active Directory.
Podpis LDAP Řadič domény: Zásady požadavků na podepisování serveru LDAP již existují ve všech podporovaných verzích Windows. Počínaje systémem Windows Server 2022, 23H2 Edition budou všechny nové verze systému Windows obsahovat všechny změny v tomto článku.
Proč je tato změna nutná
Zabezpečení řadičů domény služby Active Directory je možné výrazně zlepšit konfigurací serveru tak, aby odmítal vazby PROTOKOLU LDAP sasl (Simple Authentication and Security Layer), které nevyžadují podepisování (ověření integrity), nebo odmítá jednoduché vazby LDAP, které se provádějí u nešifrovaného připojení (nešifrovaného protokolem SSL/TLS). SASL může zahrnovat protokoly, jako jsou protokoly Negotiate, Kerberos, NTLM a Digest.
Nepodepsané přenosy v síti jsou náchylné k útokům přehráním (Replay Attacks), při nichž útočník zachytí pokus o ověření a vydání lístku. Narušitel může lístek znovu použít a vydávat se za legitimního uživatele. Nepodepsaný síťový provoz je navíc náchylný k útokům MiTM (man-in-the-middle), při kterých vetřelec zachytává pakety mezi klientem a serverem, mění pakety a předává je na server. Pokud k tomu dojde u kontroleru Doména služby Active Directory, útočník může způsobit, že server bude rozhodovat na základě zfašlovaných požadavků z klienta LDAP. LDAPS používá vlastní jedinečný síťový port pro připojení klientů a serverů. Výchozím portem protokolu LDAP je port 389, ale LDAPS používá port 636 a při připojení s klientem naváže protokol SSL/TLS.
Tokeny vazeb kanálů pomáhají zajistit lepší zabezpečení ověřování PROTOKOLU LDAP přes PROTOKOL SSL/TLS proti útokům man-in-the-middle.
Aktualizace z 10. března 2020
Důležité Aktualizace z 10. března 2020 nemění výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.
Aktualizace Windows, které mají být vydány 10. března 2020, přidávají následující funkce:
-
Nové události se protokolují v Prohlížeč událostí související s vazbou kanálu LDAP. Podrobnosti o těchto událostech najdete v tabulce 1 a tabulce 2 .
-
Nový řadič domény: Požadavky na token vazby kanálu serveru LDAP Zásady skupiny ke konfiguraci vazby kanálu LDAP na podporovaných zařízeních.
Mapování mezi nastavením zásad podepisování LDAP a nastavením registru je zahrnuto takto:
-
Nastavení zásad: "Řadič domény: Požadavky na podepisování serveru LDAP"
-
Nastavení registru: LDAPServerIntegrity
-
Datatype: DWORD
-
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
nastavení Zásady skupiny |
Nastavení registru |
Žádná |
1 |
Vyžadovat podepsání |
2 |
Mapování mezi nastavením zásad vazby kanálu LDAP a nastavením registru je zahrnuto takto:
-
Nastavení zásad: "Řadič domény: Požadavky na token vazby kanálu serveru LDAP"
-
Nastavení registru: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
nastavení Zásady skupiny |
Nastavení registru |
Nikdy |
0 |
Pokud je podporováno |
1 |
Vždy |
2 |
Tabulka 1: Události podepisování LDAP
Popis |
Aktivační událost |
|
Zabezpečení těchto řadičů domény lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování podepisování LDAP. |
Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny nastavená na Hodnotu Žádný. Minimální úroveň protokolování: 0 nebo vyšší |
|
Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap. |
Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Žádné a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0 nebo vyšší |
|
Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap. |
Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Vyžadovat podepisování a nejméně jedna nechráněná vazba byla odmítnuta. Minimální úroveň protokolování: 0 nebo vyšší |
|
Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap. |
Aktivuje se, když klient nepoužívá podepisování pro vazby relací na portu 389. Minimální úroveň protokolování: 2 nebo vyšší |
Tabulka 2: Události CBT
Událost |
Popis |
Aktivační událost |
3039 |
Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a nepovedlo se ověřit token vazby kanálu LDAP. |
Aktivuje se za některé z následujících okolností:
Minimální úroveň protokolování: 2 |
3040 |
Během předchozích 24 hodin byl proveden počet nechráněných vazeb LDAP. |
Aktivuje se každých 24 hodin, když je Zásady skupiny CBT nastavená na Nikdy a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0 |
3041 |
Zabezpečení tohoto adresářového serveru lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování tokenů vazeb kanálů LDAP. |
Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny CBT nastavená na Nikdy. Minimální úroveň protokolování: 0 |
Pokud chcete nastavit úroveň protokolování v registru, použijte příkaz podobný následujícímu:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 událostí rozhraní LDAP" /t REG_DWORD /d 2
Další informace o konfiguraci protokolování diagnostických událostí služby Active Directory najdete v tématu Konfigurace protokolování diagnostických událostí služby Active Directory a LDS.
Aktualizace z 8. srpna 2023
Některé klientské počítače nemůžou používat tokeny vazby kanálu LDAP k vytvoření vazby k řadičům domény služby Active Directory. Microsoft vydá aktualizaci zabezpečení 8. srpna 2023. Pro Windows Server 2022 tato aktualizace přidává možnosti pro správce auditovat tyto klienty. Události CBT 3074 a 3075 můžete povolit se zdrojem událostí **Microsoft-Windows-ActiveDirectory_DomainService** v protokolu událostí adresářové služby.
Důležité Aktualizace z 8. srpna 2023 nemění podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.
Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici je také krok povolení, který umožňuje zobrazit nové události auditu. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.
Tabulka 3: Události CBT
Událost |
Popis |
Aktivační událost |
3074 |
Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a ověření tokenu vazby kanálu by selhalo, pokud byl adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu. |
Aktivuje se za některé z následujících okolností:
Minimální úroveň protokolování: 2 |
3075 |
Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a neposkytl informace o vazbě kanálu. Pokud je tento adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu, bude tato operace vazby odmítnuta. |
Aktivuje se za některé z následujících okolností:
Minimální úroveň protokolování: 2 |
Poznámka Pokud nastavíte úroveň protokolování alespoň na hodnotu 2, zaprotokoluje se ID události 3074. Správci můžou tuto možnost použít k auditování svého prostředí pro klienty, kteří nefungují s tokeny vazeb kanálů. Události budou obsahovat následující diagnostické informace pro identifikaci klientů:
Client IP address: 192.168.10.5:62709 Identita, ve které se klient pokusil ověřit: CONTOSO\Administrator Klient podporuje vazbu kanálu:FALSE Klient povolený v režimu podpory: TRUE Příznaky výsledků auditu:0x42
Aktualizace z 10. října 2023
Změny auditování přidané v srpnu 2023 jsou teď dostupné ve Windows Serveru 2019. Pro tento operační systém tato aktualizace přidává správcům možnosti auditování těchto klientů. Můžete povolit události CBT 3074 a 3075. V protokolu událostí adresářové služby použijte zdroj událostí **Microsoft-Windows-ActiveDirectory_DomainService**.
Důležité Aktualizace z 10. října 2023 nemění zásady podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.
Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici je také krok povolení, který umožňuje zobrazit nové události auditu. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.
Aktualizace z 14. listopadu 2023
Změny auditování přidané v srpnu 2023 jsou teď dostupné v systému Windows Server 2022. Nemusíte instalovat rozhraní MSI ani vytvářet zásady, jak je uvedeno v kroku 3 v části Doporučené akce.
Aktualizace z 9. ledna 2024
Změny auditování přidané v říjnu 2023 jsou teď dostupné ve Windows Serveru 2019. Nemusíte instalovat rozhraní MSI ani vytvářet zásady, jak je uvedeno v kroku 3 v části Doporučené akce.
Doporučené akce
Důrazně doporučujeme zákazníkům, aby při nejbližší příležitosti provedli následující kroky:
-
Ujistěte se, že jsou na počítačích rolí řadiče domény nainstalované aktualizace systému Windows z 10. března 2020 nebo novější. Pokud chcete povolit události auditu vazby kanálů LDAP, ujistěte se, že jsou na řadičích domény s Windows Serverem 2022 nebo Serverem 2019 nainstalované aktualizace z 8. srpna 2023 nebo novější.
-
Povolte protokolování diagnostiky událostí LDAP na 2 nebo vyšší.
-
Povolte aktualizace událostí auditování ze srpna 2023 nebo října 2023 pomocí Zásady skupiny. Pokud jste na Windows Server 2022 nainstalovali aktualizace z listopadu 2023 nebo novější, můžete tento krok přeskočit. Pokud jste na Windows Server 2019 nainstalovali aktualizace z ledna 2024 nebo novější, můžete tento krok také přeskočit.
-
Z webu Microsoft Download Center si stáhněte dva identifikátory MSI pro povolení na verzi operačního systému:
-
Rozbalte rozhraní MSI a nainstalujte nové soubory ADMX, které obsahují definice zásad. Pokud pro Zásady skupiny používáte Centrální úložiště, zkopírujte soubory ADMX do centrálního úložiště.
-
Použijte odpovídající zásady na organizační jednotku řadičů domény nebo na podmnožinu řadičů domény Server 2022 nebo Server 2019.
-
Restartujte řadič domény, aby se změny projevily.
-
-
Monitorujte protokol událostí adresářových služeb na všech počítačích rolí DC filtrovaných pro:
-
Určete výrobce, model a typ zařízení pro každou IP adresu citované uživatelem:
-
Událost 2889 pro volání protokolu LDAP bez znaménka
-
Událost 3039 pro nepoužívání vazby kanálu LDAP
-
Událost 3074 nebo 3075 pro nemožnost vazby kanálu LDAP
-
Typy zařízení
Seskupte typy zařízení do 1 ze 3 kategorií:
-
Zařízení nebo směrovač –
-
Obraťte se na poskytovatele zařízení.
-
-
Zařízení, které neběží v operačním systému Windows –
-
Ověřte, že operační systém i aplikace podporují vazby kanálů LDAP i podepisování LDAP. Můžete to udělat ve spolupráci s operačním systémem a poskytovatelem aplikace.
-
-
Zařízení, které běží v operačním systému Windows –
-
Podepisování LDAP je k dispozici pro všechny aplikace ve všech podporovaných verzích Windows. Ověřte, že vaše aplikace nebo služba používá podepisování LDAP.
-
Vazba kanálu LDAP vyžaduje, aby všechna zařízení s Windows měla nainstalovanou aktualizaci CVE-2017-8563 . Ověřte, že vaše aplikace nebo služba používá vazbu kanálu LDAP.
-
Používejte místní, vzdálené, obecné nástroje nebo nástroje pro trasování specifické pro zařízení. Patří mezi ně zachytávání sítě, správce procesů nebo trasování ladění. Určete, jestli základní operační systém, služba nebo aplikace provádí vazby bez znaménka LDAP nebo jestli nepoužívá CBT.
Pomocí Správce úloh systému Windows nebo ekvivalentního objektu namapujte ID procesu na názvy procesů, služeb a aplikací.
Plán aktualizace zabezpečení
Aktualizace z 10. března 2020 přidala ovládací prvky pro správce, které zpřísní konfiguraci vazeb kanálů LDAP a podepisování LDAP na řadičích domény služby Active Directory. Aktualizace z 8. srpna a 10. října 2023 přidávají správcům možnosti auditování klientských počítačů, které nemůžou používat tokeny vazby kanálu LDAP. Důrazně doporučujeme zákazníkům, aby co nejdříve provedli akce doporučené v tomto článku.
Cílové datum |
Událost |
Platí pro |
úterý 10. března 2020 |
Povinné: Aktualizace zabezpečení dostupná na služba Windows Update pro všechny podporované platformy Windows. Poznámka Pro platformy Windows, které nemají standardní podporu, bude tato aktualizace zabezpečení dostupná pouze prostřednictvím příslušných programů rozšířené podpory. Podpora vazeb kanálů LDAP byla přidána v cve-2017-8563 v systému Windows Server 2008 a novějších verzích. Tokeny vazeb kanálů se podporují v Windows 10 verze 1709 a novějších verzích. Systém Windows XP nepodporuje vazbu kanálu LDAP a selže, pokud je vazba kanálu LDAP nakonfigurována pomocí hodnoty Always, ale spolupracuje s řadiči domény nakonfigurovanými tak, aby používaly uvolněnější nastavení vazby kanálu LDAP v části Když je podporováno. |
Windows Server 2022 Windows 10, verze 20H2 Windows 10 verze 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (rozšířená aktualizace zabezpečení (ESU)) |
úterý 8. srpna 2023 |
Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve Windows Serveru 2022 jsou ve výchozím nastavení zakázané. |
Windows Server 2022 |
10. října 2023 |
Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve Windows Serveru 2019 jsou ve výchozím nastavení zakázané. |
Windows Server 2019 |
úterý 14. listopadu 2023 |
Události auditování tokenu vazby kanálu LDAP jsou k dispozici v systému Windows Server 2022 bez instalace msi pro povolení (jak je popsáno v kroku 3 v části Doporučené akce). |
Windows Server 2022 |
9. ledna 2024 |
Události auditování tokenu vazby kanálu LDAP jsou dostupné ve Windows Serveru 2019 bez instalace msi pro povolení (jak je popsáno v kroku 3 v části Doporučené akce). |
Windows Server 2019 |
Nejčastější dotazy
Odpovědi na nejčastější dotazy týkající se vazeb kanálů LDAP a podepisování LDAP na řadičích domény Služby Active Directory najdete tady: