Aktualisiert am 09.01.2024
Weitere Informationen finden Sie in den Updates vom 9. Januar 2024.
Einführung
LDAP-Kanalbindung und LDAP-Signatur bieten Möglichkeiten, die Sicherheit für die Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Auf Active Directory-Domänencontrollern sind eine Reihe unsicherer Standardkonfigurationen für die LDAP-Kanalbindung und LDAP-Signatur vorhanden, die LDAP-Clients die Kommunikation mit ihnen ermöglichen, ohne ldap-Kanalbindung und LDAP-Signierung zu erzwingen. Dies kann Active Directory-Domänencontroller zu einem Sicherheitsrisiko durch Rechteerweiterungen führen.
Diese Sicherheitsanfälligkeit könnte es einem Man-in-the-Middle-Angreifer ermöglichen, eine Authentifizierungsanforderung erfolgreich an einen Microsoft-Domänenserver weiterzuleiten, der nicht so konfiguriert wurde, dass kanalbindung, signiert oder bei eingehenden Verbindungen versiegelt werden muss.
Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Härtungsänderungen vorzunehmen.
Am 10. März 2020 beheben wir dieses Sicherheitsrisiko, indem wir Administratoren die folgenden Optionen zum Härten der Konfigurationen für die LDAP-Kanalbindung auf Active Directory-Domänencontrollern bereitstellen:
-
Domänencontroller: Anforderungen an das LDAP-Server-Kanalbindungstoken Gruppenrichtlinie.
-
Kanalbindungstoken (CBT)-Signaturereignisse 3039, 3040 und 3041 mit Ereignissender Microsoft-Windows-Active Directory_DomainService im Verzeichnisdienst-Ereignisprotokoll.
Wichtig: Die Updates vom 10. März 2020 und updates in absehbarer Zukunft ändern nicht die Standardrichtlinien für LDAP-Signierung oder LDAP-Kanalbindung oder deren Registrierungsäquivalent auf neuen oder vorhandenen Active Directory-Domänencontrollern.
Die Richtlinie ldap signing Domain controller: LDAP server signing requirements ist bereits in allen unterstützten Versionen von Windows vorhanden. Ab Windows Server 2022, 23H2 Edition enthalten alle neuen Versionen von Windows alle Änderungen in diesem Artikel.
Warum diese Änderung notwendig ist
Die Sicherheit von Active Directory-Domänencontrollern kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass ldap-Bindungen mit einfacher Authentifizierung und Sicherheitsebene (SASL) abgelehnt werden, die keine Signatur anfordern (Integritätsüberprüfung) oder einfache LDAP-Bindungen ablehnen, die für eine Klartextverbindung (nicht SSL/TLS-verschlüsselt) ausgeführt werden. SASL kann Protokolle wie zum Beispiel Negotiate, Kerberos, NTLM und Digest einschließen.
Nicht signierter Netzwerkverkehr ist anfällig für Replay-Angriffe, bei denen ein Angreifer den Authentifizierungsversuch und die Ausstellung eines Tickets abfängt. Der Angreifer kann das Ticket wiederverwenden, um die Identität des legitimen Benutzers anzunehmen. Darüber hinaus ist nicht signierter Netzwerkdatenverkehr anfällig für Man-in-the-Middle-Angriffe (MiTM), bei denen ein Eindringling Pakete zwischen dem Client und dem Server erfasst, die Pakete ändert und sie dann an den Server weiterleitet. Wenn dies auf einem Active Directory-Domäne Controller geschieht, kann ein Angreifer einen Server veranlassen, Entscheidungen zu treffen, die auf gefälschten Anforderungen des LDAP-Clients basieren. LDAPS verwendet einen eigenen Netzwerkport, um Clients und Server zu verbinden. Der Standardport für LDAP ist Port 389, aber LDAPS verwendet Port 636 und richtet SSL/TLS ein, wenn eine Verbindung mit einem Client hergestellt wird.
Mithilfe von Kanalbindungstoken wird die LDAP-Authentifizierung über SSL/TLS vor Man-in-the-Middle-Angriffen sicherer.
Updates vom 10. März 2020
Wichtig Die Updates vom 10. März 2020 ändern nicht die Standardrichtlinien für LDAP-Signierung oder LDAP-Kanalbindung oder deren Registrierungsäquivalent auf neuen oder vorhandenen Active Directory-Domänencontrollern.
Windows-Updates, die am 10. März 2020 veröffentlicht werden sollen, fügen die folgenden Features hinzu:
-
Neue Ereignisse werden im Ereignisanzeige im Zusammenhang mit der LDAP-Kanalbindung protokolliert. Ausführliche Informationen zu diesen Ereignissen finden Sie in Tabelle 1 und Tabelle 2 .
-
Ein neuer Domänencontroller: Anforderungen an die Ldap-Serverkanalbindung Gruppenrichtlinie, um die LDAP-Kanalbindung auf unterstützten Geräten zu konfigurieren.
Die Zuordnung zwischen LDAP-Signaturrichtlinieneinstellungen und Registrierungseinstellungen ist wie folgt enthalten:
-
Richtlinieneinstellung: "Domänencontroller: Signierungsanforderungen für LDAP-Server"
-
Registrierungseinstellung: LDAPServerIntegrity
-
Datatype: DWORD
-
Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Gruppenrichtlinie-Einstellung |
Registrierungseinstellung |
Keine |
1 |
Signieren erforderlich |
2 |
Die Zuordnung zwischen den Einstellungen der LDAP-Kanalbindungsrichtlinie und den Registrierungseinstellungen ist wie folgt enthalten:
-
Richtlinieneinstellung: "Domänencontroller: Anforderungen an das Bindungstoken des LDAP-Servers"
-
Registrierungseinstellung: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Gruppenrichtlinie-Einstellung |
Registrierungseinstellung |
Niemals |
0 |
Wenn unterstützt |
1 |
Immer |
2 |
Tabelle 1: LDAP-Signaturereignisse
Beschreibung |
Trigger |
|
Die Sicherheit dieser Domänencontroller kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass die Überprüfung der LDAP-Signatur erzwungen wird. |
Wird alle 24 Stunden beim Start oder Start des Diensts ausgelöst, wenn die Gruppenrichtlinie auf Keine festgelegt ist. Mindestprotokolliergrad: 0 oder höher |
|
Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie so konfiguriert werden, dass einfache LDAP-Bindungsanforderungen und andere Bindungsanforderungen ohne LDAP-Signatur abgelehnt werden. |
Wird alle 24 Stunden ausgelöst, wenn Gruppenrichtlinie auf Keine festgelegt ist und mindestens eine ungeschützte Bindung abgeschlossen wurde. Mindestprotokolliergrad: 0 oder höher |
|
Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie so konfiguriert werden, dass einfache LDAP-Bindungsanforderungen und andere Bindungsanforderungen ohne LDAP-Signatur abgelehnt werden. |
Wird alle 24 Stunden ausgelöst, wenn Gruppenrichtlinie auf Signierung erforderlich festgelegt ist und mindestens eine ungeschützte Bindung abgelehnt wurde. Mindestprotokolliergrad: 0 oder höher |
|
Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie so konfiguriert werden, dass einfache LDAP-Bindungsanforderungen und andere Bindungsanforderungen ohne LDAP-Signatur abgelehnt werden. |
Wird ausgelöst, wenn ein Client keine Signatur für Bindungen an Sitzungen an Port 389 verwendet. Mindestprotokolliergrad: 2 oder höher |
Tabelle 2: CBT-Ereignisse
Ereignis |
Beschreibung |
Trigger |
3039 |
Der folgende Client hat eine LDAP-Bindung über SSL/TLS durchgeführt und die Überprüfung des LDAP-Kanalbindungstokens fehlgeschlagen. |
Wird in einem der folgenden Situationen ausgelöst:
Mindestprotokolliergrad: 2 |
3040 |
Während des vorherigen 24-Stunden-Zeitraums wurden eine Anzahl ungeschützter LDAPs-Bindungen durchgeführt. |
Wird alle 24 Stunden ausgelöst, wenn CBT Gruppenrichtlinie auf Nie festgelegt ist und mindestens eine ungeschützte Bindung abgeschlossen wurde. Mindestprotokolliergrad: 0 |
3041 |
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass die Überprüfung von LDAP-Kanalbindungstoken erzwungen wird. |
Wird alle 24 Stunden beim Start oder Start des Diensts ausgelöst, wenn die CBT-Gruppenrichtlinie auf Nie festgelegt ist. Mindestprotokolliergrad: 0 |
Um den Protokolliergrad in der Registrierung festzulegen, verwenden Sie einen Befehl, der dem folgenden ähnelt:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Weitere Informationen zum Konfigurieren der Protokollierung von Active Directory-Diagnoseereignissen finden Sie unter Konfigurieren der Protokollierung von Active Directory- und LDS-Diagnoseereignissen.
Updates vom 8. August 2023
Einige Clientcomputer können keine LDAP-Kanalbindungstoken zum Binden an Active Directory-Domänencontroller (DCs) verwenden. Microsoft wird am 8. August 2023 ein Sicherheitsupdate veröffentlichen. Für Windows Server 2022 werden mit diesem Update Optionen für Administratoren hinzugefügt, um diese Clients zu überwachen. Sie können DIE CBT-Ereignisse 3074 und 3075 mit der Ereignisquelle **Microsoft-Windows-ActiveDirectory_DomainService** im Verzeichnisdienstereignisprotokoll aktivieren.
Wichtig Das Update vom 8. August 2023 ändert keine LDAP-Signatur, standardrichtlinien für LDAP-Kanalbindung oder deren Registrierungsäquivalent auf neuen oder vorhandenen Active Directory-DCs.
Alle Anleitungen im Abschnitt "Updates vom März 2020" gelten auch hier. Die neuen Überwachungsereignisse erfordern die Richtlinien- und Registrierungseinstellungen, die in der obigen Anleitung beschrieben sind. Es gibt auch einen Aktivierungsschritt, um die neuen Überwachungsereignisse anzuzeigen. Die details zur neuen Implementierung finden Sie unten im Abschnitt Empfohlene Aktionen.
Tabelle 3: CBT-Ereignisse
Ereignis |
Beschreibung |
Trigger |
3074 |
Der folgende Client hat eine LDAP-Bindung über SSL/TLS ausgeführt und wäre bei der Überprüfung des Kanalbindungstokens fehlgeschlagen, wenn der Verzeichnisserver zum Erzwingen der Überprüfung von Kanalbindungstoken konfiguriert wurde. |
Wird in einem der folgenden Situationen ausgelöst:
Mindestprotokolliergrad: 2 |
3075 |
Der folgende Client hat eine LDAP-Bindung über SSL/TLS ausgeführt und keine Kanalbindungsinformationen bereitgestellt. Wenn dieser Verzeichnisserver so konfiguriert ist, dass er die Überprüfung von Kanalbindungstoken erzwingt, wird dieser Bindungsvorgang abgelehnt. |
Wird in einem der folgenden Situationen ausgelöst:
Mindestprotokolliergrad: 2 |
Hinweis Wenn Sie den Protokolliergrad auf mindestens 2 festlegen, wird die Ereignis-ID 3074 protokolliert. Administratoren können dies verwenden, um ihre Umgebung für Clients zu überwachen, die nicht mit Kanalbindungstoken funktionieren. Die Ereignisse enthalten die folgenden Diagnoseinformationen, um die Clients zu identifizieren:
Client IP address: 192.168.10.5:62709 Identität, die der Client zu authentifizieren versucht hat: CONTOSO\Administrator Client unterstützt Kanalbindung:FALSE Client zulässig in, wenn der unterstützte Modus: TRUE Überwachungsergebnisflags:0x42
Updates vom 10. Oktober 2023
Die im August 2023 hinzugefügten Überwachungsänderungen sind jetzt unter Windows Server 2019 verfügbar. Für dieses Betriebssystem fügt dieses Update Optionen für Administratoren hinzu, um diese Clients zu überwachen. Sie können DIE CBT-Ereignisse 3074 und 3075 aktivieren. Verwenden Sie die Ereignisquelle **Microsoft-Windows-ActiveDirectory_DomainService** im Verzeichnisdienstereignisprotokoll.
Wichtig Das Update vom 10. Oktober 2023 ändert keine LDAP-Signatur, standardrichtlinien für LDAP-Kanalbindung oder deren Registrierungsäquivalent auf neuen oder vorhandenen Active Directory-DCs.
Alle Anleitungen im Abschnitt "Updates vom März 2020" gelten auch hier. Die neuen Überwachungsereignisse erfordern die Richtlinien- und Registrierungseinstellungen, die in der obigen Anleitung beschrieben sind. Es gibt auch einen Aktivierungsschritt, um die neuen Überwachungsereignisse anzuzeigen. Die details zur neuen Implementierung finden Sie unten im Abschnitt Empfohlene Aktionen.
Updates vom 14. November 2023
Die im August 2023 hinzugefügten Überwachungsänderungen sind jetzt unter Windows Server 2022 verfügbar. Sie müssen keine MSIs installieren oder Richtlinien erstellen, wie in Schritt 3 der empfohlenen Aktionen beschrieben.
Updates vom 9. Januar 2024
Die im Oktober 2023 hinzugefügten Überwachungsänderungen sind jetzt unter Windows Server 2019 verfügbar. Sie müssen keine MSIs installieren oder Richtlinien erstellen, wie in Schritt 3 der empfohlenen Aktionen beschrieben.
Empfohlene Maßnahmen
Wir empfehlen Kunden dringend, die folgenden Schritte zum nächstmöglichen Zeitpunkt zu unternehmen:
-
Stellen Sie sicher, dass die Windows-Updates vom 10. März 2020 oder höher auf Domänencontrollerrollencomputern installiert sind. Wenn Sie Überwachungsereignisse für die LDAP-Kanalbindung aktivieren möchten, stellen Sie sicher, dass die Updates vom 8. August 2023 oder höher auf Windows Server 2022- oder Server 2019-DCs installiert sind.
-
Aktivieren Sie die Diagnoseprotokollierung für LDAP-Ereignisse auf 2 oder höher.
-
Aktivieren Sie die Updates für Überwachungsereignisse vom August 2023 oder Oktober 2023 mithilfe von Gruppenrichtlinie. Sie können diesen Schritt überspringen, wenn Sie die Updates vom November 2023 oder höher unter Windows Server 2022 installiert haben. Wenn Sie die Updates vom Januar 2024 oder höher unter Windows Server 2019 installiert haben, können Sie diesen Schritt auch überspringen.
-
Laden Sie die beiden Aktivierungs-MSIs pro Betriebssystemversion aus dem Microsoft Download Center herunter:
-
Erweitern Sie die MSIs, um die neuen ADMX-Dateien zu installieren, die die Richtliniendefinitionen enthalten. Wenn Sie den zentralen Speicher für Gruppenrichtlinie verwenden, kopieren Sie die ADMX-Dateien in den zentralen Speicher.
-
Wenden Sie die entsprechenden Richtlinien auf Ihre Domänencontroller-Organisationseinheit oder auf eine Teilmenge Ihrer Server 2022- oder Server 2019-Domänencontroller an.
-
Starten Sie den Domänencontroller neu, damit die Änderungen wirksam werden.
-
-
Überwachen Sie das Verzeichnisdienste-Ereignisprotokoll auf allen Computern mit DC-Rolle, gefiltert nach:
-
LDAP-Signaturfehlerereignis 2889 in Tabelle 1.
-
LDAP-Kanalbindungsfehlerereignis 3039 in Tabelle 2.
-
LDAP-Kanalbindungsüberwachungsereignisse 3074 und 3075 in Tabelle 3.
Hinweis Die Ereignisse 3039, 3074 und 3075 können nur generiert werden, wenn Kanalbindung auf Wenn unterstützt oder Immer festgelegt ist.
-
-
Identifizieren Sie die Herstellung, das Modell und den Typ des Geräts für jede IP-Adresse, die von angegeben wird:
-
Ereignis 2889 für nicht signierte LDAP-Aufrufe
-
Ereignis 3039 für die Nicht-Verwendung der LDAP-Kanalbindung
-
Ereignis 3074 oder 3075 für keine LDAP-Kanalbindung
-
Gerätetypen
Gruppieren Sie Gerätetypen in 1 von 3 Kategorien:
-
Appliance oder Router:
-
Wenden Sie sich an den Geräteanbieter.
-
-
Gerät, das nicht unter einem Windows-Betriebssystem ausgeführt wird:
-
Stellen Sie sicher, dass sowohl die LDAP-Kanalbindung als auch die LDAP-Signatur auf dem Betriebssystem und der Anwendung unterstützt werden. Arbeiten Sie dazu mit dem Betriebssystem und dem Anwendungsanbieter zusammen.
-
-
Gerät, das unter einem Windows-Betriebssystem ausgeführt wird:
-
Die LDAP-Signierung kann von allen Anwendungen in allen unterstützten Versionen von Windows verwendet werden. Vergewissern Sie sich, dass Ihre Anwendung oder Ihr Dienst LDAP-Signierung verwendet.
-
Die LDAP-Kanalbindung erfordert, dass auf allen Windows-Geräten CVE-2017-8563 installiert ist. Vergewissern Sie sich, dass Ihre Anwendung oder Ihr Dienst ldap-Kanalbindung verwendet.
-
Verwenden Sie lokale, remote, generische oder gerätespezifische Ablaufverfolgungstools. Dazu gehören Netzwerkerfassungen, Prozess-Manager oder Debugablaufverfolgungen. Bestimmen Sie, ob das Kernbetriebssystem, ein Dienst oder eine Anwendung unsignierte LDAP-Bindungen ausführt oder nicht CBT verwendet.
Verwenden Sie den Windows-Task-Manager oder eine Entsprechende, um die Prozess-ID den Prozess-, Dienst- und Anwendungsnamen zuzuordnen.
Zeitplan für Sicherheitsupdates
Mit dem Update vom 10. März 2020 wurden Steuerelemente für Administratoren hinzugefügt, um die Konfigurationen für die LDAP-Kanalbindung und LDAP-Signierung auf Active Directory-Domänencontrollern zu härten. Die Updates vom 8. August und 10. Oktober 2023 fügen Optionen für Administratoren hinzu, um Clientcomputer zu überwachen, die keine LDAP-Kanalbindungstoken verwenden können. Wir empfehlen Kunden dringend, die in diesem Artikel empfohlenen Maßnahmen so früh wie möglich zu ergreifen.
Zieltermin |
Ereignis |
Gültigkeitsbereich |
10. März 2020 |
Erforderlich: Sicherheitsupdate ist auf Windows Update für alle unterstützten Windows-Plattformen verfügbar. Hinweis Für Windows-Plattformen, die nicht standardmäßig unterstützt werden, ist dieses Sicherheitsupdate nur über die entsprechenden erweiterten Supportprogramme verfügbar. Unterstützung für LDAP-Kanalbindung wurde von CVE-2017-8563 unter Windows Server 2008 und höheren Versionen hinzugefügt. Kanalbindungstoken werden in Windows 10 Version 1709 und höheren Versionen unterstützt. Windows XP unterstützt keine LDAP-Kanalbindung und würde fehlschlagen, wenn die LDAP-Kanalbindung mit dem Wert Always konfiguriert wird, würde aber mit DCs zusammenarbeiten, die für die Verwendung einer entspannteren LDAP-Kanalbindungseinstellung von Wenn unterstützt konfiguriert sind. |
Windows Server 2022 Windows 10, Version 20H2 Windows 10, Version 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Erweitertes Sicherheitsupdate (ESU)) |
8. August 2023 |
Fügt Überwachungsereignisse für LDAP-Kanalbindungstoken hinzu (3074 & 3075). Sie sind unter Windows Server 2022 standardmäßig deaktiviert. |
Windows Server 2022 |
10. Oktober 2023 |
Fügt Überwachungsereignisse für LDAP-Kanalbindungstoken hinzu (3074 & 3075). Sie sind unter Windows Server 2019 standardmäßig deaktiviert. |
Windows Server 2019 |
14. November 2023 |
Überwachungsereignisse für LDAP-Kanalbindungstoken sind unter Windows Server 2022 verfügbar, ohne eine Msi-Aktivierung zu installieren (wie in Schritt 3 der empfohlenen Aktionen beschrieben). |
Windows Server 2022 |
9. Januar 2024 |
Überwachungsereignisse für LDAP-Kanalbindungstoken sind unter Windows Server 2019 verfügbar, ohne eine Aktivierungs-MSI zu installieren (wie in Schritt 3 der empfohlenen Aktionen beschrieben). |
Windows Server 2019 |
Häufig gestellte Fragen
Antworten auf häufig gestellte Fragen zur LDAP-Kanalbindung und LDAP-Signierung auf Active Directory-Domänencontrollern finden Sie unter: