Opdateret 09-01-2024
Se nyt indhold i opdateringerne for 9. januar 2024.
Introduktion
LDAP-kanalbinding og LDAP-signering giver mulighed for at øge sikkerheden for kommunikation mellem LDAP-klienter og Active Directory-domænecontrollere. Der findes et sæt usikre standardkonfigurationer for LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere, som gør det muligt for LDAP-klienter at kommunikere med dem uden at gennemtvinge LDAP-kanalbinding og LDAP-signering. Dette kan åbne Active Directory-domænecontrollere til en rettighedsudvidelse.
Denne sårbarhed kan gøre det muligt for en mandlig hacker at videresende en godkendelsesanmodning til en Microsoft-domæneserver, som ikke er konfigureret til at kræve kanalbinding, signering eller forsegling på indgående forbindelser.
Microsoft anbefaler, at administratorer foretager de hærdningsændringer, der er beskrevet i ADV190023.
Den 10. marts 2020 løser vi denne sårbarhed ved at give administratorer følgende muligheder for at hærde konfigurationerne for LDAP-kanalbinding på Active Directory-domænecontrollere:
-
Domænecontroller: Krav til LDAP-serverkanalbindingstoken .
-
CBT-signeringshændelser (Channel Binding Tokens) 3039, 3040 og 3041 med hændelsessenderen Microsoft-Windows-Active Directory_DomainService i hændelsesloggen for katalogtjenesten.
Vigtigt! Opdateringerne og opdateringerne fra 10. marts 2020 i en overskuelig fremtid ændrer ikke standardpolitikkerne for LDAP-signering eller LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-domænecontrollere.
LDAP-signeringsdomænecontrolleren: Politikken for krav til LDAP-serversignering findes allerede i alle understøttede versioner af Windows. Fra og med Windows Server 2022, 23H2 Edition indeholder alle nye versioner af Windows alle ændringerne i denne artikel.
Hvorfor denne ændring er nødvendig
Sikkerheden for Active Directory-domænecontrollere kan forbedres væsentligt ved at konfigurere serveren til at afvise SASL-LDAP-bindinger (Simple Authentication and Security Layer), der ikke anmoder om signering (integritetsbekræftelse), eller for at afvise simple LDAP-bindinger, der udføres på en klar tekstforbindelse (ikke-SSL/TLS-krypteret). SASL'er kan indeholde protokoller som f.eks. Negotiate, Kerberos, NTLM og Digest-protokollerne.
Ikke-signeret netværkstrafik er modtagelig for genafspilningsangreb, hvor en uautoriseret afbrydelse opfanger godkendelsesforsøget og udstedelsen af en billet. Den, der indtrænger, kan genbruge billetten til at repræsentere den legitime bruger. Desuden er usigneret netværkstrafik modtagelig for MiTM-angreb (man-in-the-middle), hvor en ubuden gæst registrerer pakker mellem klienten og serveren, ændrer pakkerne og derefter videresender dem til serveren. Hvis dette sker på en Active Directory-domænecontroller, kan en hacker få en server til at træffe beslutninger, der er baseret på forfalskede anmodninger fra LDAP-klienten. LDAPS bruger sin egen særskilte netværksport til at oprette forbindelse mellem klienter og servere. Standardporten for LDAP er port 389, men LDAPS bruger port 636 og etablerer SSL/TLS, når der oprettes forbindelse til en klient.
Kanalbindingstokens hjælper med at gøre LDAP-godkendelse via SSL/TLS mere sikker mod man-in-the-middle-angreb.
Opdateringer for 10. marts 2020
Vigtigt! Opdateringerne fra d. 10. marts 2020 ændrer ikke standardpolitikker for LDAP-signering eller LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-domænecontrollere.
Windows-opdateringer, der udgives d. 10. marts 2020, tilføjer følgende funktioner:
-
Nye hændelser logføres i Logbog, der er relateret til LDAP-kanalbinding. Se tabel 1 og tabel 2 for at få mere at vide om disse begivenheder.
-
En ny domænecontroller: Krav til LDAP-serverkanalbindingstoken Gruppepolitik til at konfigurere LDAP-kanalbinding på understøttede enheder.
Tilknytningen mellem INDSTILLINGERNE for LDAP-signeringspolitik og indstillingerne i registreringsdatabasen er inkluderet på følgende måde:
-
Politikindstilling: "Domænecontroller: Krav til signering af LDAP-server"
-
Indstilling i registreringsdatabasen: LDAPServerIntegrity
-
DataType: DWORD
-
Sti til registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Gruppepolitik indstilling |
Indstilling i registreringsdatabasen |
Ingen |
1 |
Kræv signering |
2 |
Tilknytningen mellem LDAP-kanalbindingspolitikindstillinger og indstillinger i registreringsdatabasen er inkluderet på følgende måde:
-
Politikindstilling: "Domænecontroller: Krav til LDAP-serverkanalbindingstoken"
-
Indstilling i registreringsdatabasen: LdapEnforceChannelBinding
-
DataType: DWORD
-
Sti til registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Gruppepolitik indstilling |
Indstilling i registreringsdatabasen |
Aldrig |
0 |
Når det understøttes |
1 |
Altid |
2 |
Tabel 1: LDAP-signeringshændelser
Beskrivelse |
Udløse |
|
Sikkerheden for disse domænecontrollere kan forbedres væsentligt ved at konfigurere serveren til at gennemtvinge validering af LDAP-signering. |
Udløses hver 24. time ved start eller start af tjenesten, hvis Gruppepolitik er indstillet til Ingen. Minimum logføringsniveau: 0 eller højere |
|
Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering. |
Udløst hver 24. time, når Gruppepolitik er indstillet til Ingen, og mindst én ubeskyttet binding blev fuldført. Minimum logføringsniveau: 0 eller højere |
|
Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering. |
Udløst hver 24. time, når Gruppepolitik er indstillet til Kræv signering, og mindst én ubeskyttet binding blev afvist. Minimum logføringsniveau: 0 eller højere |
|
Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering. |
Udløses, når en klient ikke bruger signering til bindinger på sessioner på port 389. Minimum logføringsniveau: 2 eller højere |
Tabel 2: CBT-hændelser
Hændelse |
Beskrivelse |
Udløse |
3039 |
Følgende klient udførte en LDAP-binding over SSL/TLS og kunne ikke validere LDAP-kanalbindingstokenet. |
Udløst under en af følgende omstændigheder:
Mindste logføringsniveau: 2 |
3040 |
I løbet af den forrige 24-timers periode blev der udført # af ubeskyttede LDAPs binds. |
Udløst hver 24. time, når CBT-Gruppepolitik er indstillet til Aldrig, og mindst én ubeskyttet binding blev fuldført. Mindste logføringsniveau: 0 |
3041 |
Sikkerheden for denne katalogserver kan forbedres væsentligt ved at konfigurere serveren til at gennemtvinge validering af LDAP-kanalbindingstokens. |
Udløses hver 24. time ved start eller start af tjenesten, hvis CBT-Gruppepolitik er indstillet til Aldrig. Mindste logføringsniveau: 0 |
Hvis du vil angive logføringsniveauet i registreringsdatabasen, skal du bruge en kommando, der ligner følgende:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Du kan få mere at vide om, hvordan du konfigurerer logføring af Active Directory-diagnosticeringshændelser, under Sådan konfigureres logføring af diagnostiske Active Directory- og LDS-hændelser.
Opdateringer for 8. august 2023
Nogle klientcomputere kan ikke bruge LDAP-kanalbindingstokens til at binde til Active Directory-domænecontrollere (DCs). Microsoft udgiver en sikkerhedsopdatering den 8. august 2023. I Windows Server 2022 tilføjer denne opdatering indstillinger, som administratorer kan bruge til at overvåge disse klienter. Du kan aktivere CBT-hændelser 3074 og 3075 med hændelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hændelsesloggen for katalogtjenesten.
Vigtigt! Opdateringen fra 8. august 2023 ændrer ikke LDAP-signering, standardpolitikker for LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-DCs.
Al vejledning i afsnittet om opdateringer for marts 2020 gælder også her. De nye overvågningshændelser kræver de politik- og registreringsdatabaseindstillinger, der er beskrevet i vejledningen ovenfor. Der er også et aktiveringstrin for at se de nye overvågningshændelser. De nye detaljer om implementeringen findes i afsnittet Anbefalede handlinger nedenfor.
Tabel 3: CBT-hændelser
Hændelse |
Beskrivelse |
Udløse |
3074 |
Følgende klient udførte en LDAP-binding over SSL/TLS og kunne ikke validere kanalbindingstokenet, hvis katalogserveren var konfigureret til at gennemtvinge validering af kanalbindingstokens. |
Udløst under en af følgende omstændigheder:
Mindste logføringsniveau: 2 |
3075 |
Følgende klient udførte en LDAP-binding over SSL/TLS og gav ikke oplysninger om kanalbinding. Når denne katalogserver er konfigureret til at gennemtvinge validering af kanalbindingstokens, afvises denne bindingshandling. |
Udløst under en af følgende omstændigheder:
Mindste logføringsniveau: 2 |
Bemærk! Når du angiver logføringsniveauet til mindst 2, logføres hændelses-id 3074. Administratorer kan bruge dette til at overvåge deres miljø for klienter, der ikke fungerer med kanalbindingstokens. Hændelserne indeholder følgende diagnosticeringsoplysninger til at identificere klienterne:
Client IP address: 192.168.10.5:62709 Identitet, som klienten forsøgte at godkende som: CONTOSO\Administrator Klient understøtter kanalbinding:FALSK Klient tilladt i når understøttet tilstand:SAND Flag for overvågningsresultat:0x42
Opdateringer for 10. oktober 2023
De overvågningsændringer, der er tilføjet i august 2023, er nu tilgængelige på Windows Server 2019. For dette operativsystem tilføjer denne opdatering indstillinger, som administratorer kan bruge til at overvåge disse klienter. Du kan aktivere CBT-hændelser 3074 og 3075. Brug hændelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hændelsesloggen for katalogtjenesten.
Vigtigt! Opdateringen fra 10. oktober 2023 ændrer ikke LDAP-signering, standardpolitikker for LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-DCs.
Al vejledning i afsnittet om opdateringer for marts 2020 gælder også her. De nye overvågningshændelser kræver de politik- og registreringsdatabaseindstillinger, der er beskrevet i vejledningen ovenfor. Der er også et aktiveringstrin for at se de nye overvågningshændelser. De nye detaljer om implementeringen findes i afsnittet Anbefalede handlinger nedenfor.
Opdateringer for 14. november 2023
De overvågningsændringer, der er tilføjet i august 2023, er nu tilgængelige på Windows Server 2022. Du behøver ikke at installere MSI'er eller oprette politikker som nævnt i trin 3 i Anbefalede handlinger.
Opdateringer for 9. januar 2024
De overvågningsændringer, der er tilføjet i oktober 2023, er nu tilgængelige på Windows Server 2019. Du behøver ikke at installere MSI'er eller oprette politikker som nævnt i trin 3 i Anbefalede handlinger.
Anbefalede handlinger
Vi anbefaler på det kraftigste, at kunderne gør følgende ved først givne lejlighed:
-
Sørg for, at windows-opdateringerne fra d. 10. marts 2020 eller nyere er installeret på domænecontrollerrollecomputere. Hvis du vil aktivere overvågningshændelser for LDAP-kanalbinding, skal du sikre dig, at opdateringerne fra d. 8. august 2023 eller nyere er installeret på Windows Server 2022 eller Server 2019-pc'er.
-
Aktivér logføring af diagnosticering af LDAP-hændelser til 2 eller nyere.
-
Aktivér overvågningshændelsesopdateringerne for august 2023 eller oktober 2023 ved hjælp af Gruppepolitik. Du kan springe dette trin over, hvis du har installeret opdateringerne fra november 2023 eller nyere på Windows Server 2022. Hvis du har installeret opdateringerne for januar 2024 eller nyere på Windows Server 2019, kan du også springe dette trin over.
-
Download de to aktiverede MSI'er pr. os-version fra Microsoft Download Center:
-
Udvid MSI'er for at installere de nye ADMX-filer, der indeholder politikdefinitionerne. Hvis du bruger Central Store til Gruppepolitik, skal du kopiere ADMX-filerne til det centrale lager.
-
Anvend de tilsvarende politikker på OU'en for domænecontrollere eller på et undersæt af din Server 2022- eller Server 2019-pc'er.
-
Genstart domænecontrolleren, så ændringerne kan træde i kraft.
-
-
Overvåg hændelsesloggen for katalogtjenester på alle DC-rollecomputere, der er filtreret for:
-
Identificer mærke, model og type af enhed for hver IP-adresse, der er citeret af:
-
Hændelse 2889 til at foretage usignerede LDAP-opkald
-
Hændelse 3039 for ikke at bruge LDAP-kanalbinding
-
Hændelse 3074 eller 3075 for ikke at være i stand til LDAP-kanalbinding
-
Enhedstyper
Gruppér enhedstyper i 1 af 3 kategorier:
-
Apparat eller router -
-
Kontakt enhedsudbyderen.
-
-
Enhed, der ikke kører på et Windows-operativsystem –
-
Kontrollér, at både LDAP-kanalbinding og LDAP-signering understøttes på operativsystemet og programmet. Gør dette ved at arbejde med operativsystemet og programudbyderen.
-
-
Enhed, der kører på et Windows-operativsystem –
-
LDAP-signering kan bruges af alle programmer på alle understøttede versioner af Windows. Kontrollér, at dit program eller din tjeneste bruger LDAP-signering.
-
LDAP-kanalbinding kræver, at alle Windows-enheder har CVE-2017-8563 installeret. Kontrollér, at dit program eller din tjeneste bruger LDAP-kanalbinding.
-
Brug lokale, eksterne, generiske eller enhedsspecifikke sporingsværktøjer. Disse omfatter netværksregistreringer, processtyring eller fejlfindingssporinger. Find ud af, om kerneoperativsystemet, en tjeneste eller et program udfører usignerede LDAP-bindinger eller ikke bruger CBT.
Brug Windows Jobliste eller tilsvarende til at knytte proces-id'et til proces-, tjeneste- og programnavne.
Tidsplan for sikkerhedsopdatering
10. marts 2020-opdateringen tilføjede kontrolelementer til administratorer for at hærde konfigurationerne for LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere. 8. og 10. oktober 2023-opdateringerne tilføjer indstillinger for administratorer til at overvåge klientcomputere, der ikke kan bruge LDAP-kanalbindingstokens. Vi anbefaler på det kraftigste, at kunderne foretager de handlinger, der anbefales i denne artikel, så hurtigt som muligt.
Destinations dato |
Hændelse |
Gælder for |
10. marts 2020 |
Påkrævet: Sikkerhedsopdatering tilgængelig på Windows Update til alle understøttede Windows-platforme. Bemærk! For Windows-platforme, der ikke har standardsupport, vil denne sikkerhedsopdatering kun være tilgængelig via de gældende programmer med forlænget support. Understøttelse af LDAP-kanalbinding blev tilføjet af CVE-2017-8563 på Windows Server 2008 og nyere versioner. Kanalbindingstokens understøttes i Windows 10 version 1709 og nyere versioner. Windows XP understøtter ikke LDAP-kanalbinding og mislykkes, når LDAP-kanalbinding konfigureres ved hjælp af værdien Always, men fungerer sammen med domænecontrollere, der er konfigureret til at bruge en mere afslappet indstilling for LDAP-kanalbinding under Når det understøttes. |
Windows Server 2022 Windows 10, version 20H2 Windows 10, version 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Extended Security Update (ESU)) |
8. august 2023 |
Tilføjer overvågningshændelser for LDAP-kanalbindingstoken (3074 & 3075). De er som standard deaktiveret på Windows Server 2022. |
Windows Server 2022 |
10. oktober 2023 |
Tilføjer overvågningshændelser for LDAP-kanalbindingstoken (3074 & 3075). De er som standard deaktiveret på Windows Server 2019. |
Windows Server 2019 |
14. november 2023 |
Overvågningshændelser for LDAP-kanalbindingstoken er tilgængelige på Windows Server 2022 uden at installere en MSI for aktivering (som beskrevet i trin 3 i Anbefalede handlinger). |
Windows Server 2022 |
9. januar 2024 |
Overvågningshændelser for LDAP-kanalbindingstoken er tilgængelige på Windows Server 2019 uden at installere en MSI til aktivering (som beskrevet i trin 3 i Anbefalede handlinger). |
Windows Server 2019 |
Ofte stillede spørgsmål
Du kan finde svar på ofte stillede spørgsmål om LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere i: