Actualizado el 09/01/2024
Ver nuevo contenido en las actualizaciones del 9 de enero de 2024.
Introducción
El enlace de canales LDAP y la firma LDAP proporcionan formas de aumentar la seguridad de las comunicaciones entre clientes LDAP y controladores de dominio de Active Directory. Existe un conjunto de configuraciones predeterminadas no seguras para el enlace de canales LDAP y la firma LDAP en los controladores de dominio de Active Directory que permiten a los clientes LDAP comunicarse con ellos sin forzar el enlace de canales LDAP y la firma LDAP. Esto puede abrir los controladores de dominio de Active Directory a una vulnerabilidad de elevación de privilegios.
Esta vulnerabilidad podría permitir que un atacante de tipo man-in-the-middle reenvíe correctamente una solicitud de autenticación a un servidor de dominio de Microsoft que no se ha configurado para requerir la encuadernación de canales, firma o sellado en conexiones entrantes.
Microsoft recomienda a los administradores que realicen los cambios de protección descritos en ADV190023.
El 10 de marzo de 2020 abordamos esta vulnerabilidad proporcionando las siguientes opciones para que los administradores protejan las configuraciones de enlace de canales LDAP en controladores de dominio de Active Directory:
-
Controlador de dominio: Requisitos de token de enlace de canal de servidor LDAP directiva de grupo.
-
Eventos de firma de tokens de enlace de canal (CBT) 3039, 3040 y 3041 con el remitente de eventos Microsoft-Windows-Active Directory_DomainService en el registro de eventos de Servicio de directorio.
Importante: Las actualizaciones del 10 de marzo de 2020 y las actualizaciones en un futuro próximo no cambiarán las directivas predeterminadas de firma ldap o enlace de canales LDAP ni su equivalente del Registro en controladores de dominio de Active Directory nuevos o existentes.
El controlador de dominio de firma LDAP: la directiva de requisitos de firma de servidor LDAP ya existe en todas las versiones compatibles de Windows. A partir de Windows Server 2022, 23H2 Edition, todas las nuevas versiones de Windows contendrán todos los cambios de este artículo.
Razones por las que se necesita este cambio
La seguridad de los controladores de dominio de Active Directory se puede mejorar significativamente configurando el servidor para rechazar los enlaces LDAP de la Capa de seguridad y autenticación sencilla (SASL) que no solicitan la firma (verificación de integridad) ni rechazan los enlaces simples LDAP que se realizan en una conexión de texto claro (no ssl/tls cifrado). Los SASL incluyen protocolos como Negotiate, Kerberos, NTLM y Digest.
El tráfico de red sin firmar es vulnerable a ataques de reproducción en los que un intruso intercepta el intento de autenticación y la emisión de un vale. El intruso puede reutilizar el vale para hacerse pasar por el usuario legítimo. Además, el tráfico de red sin firmar es susceptible a ataques de tipo man-in-the-middle (MiTM) en los que un intruso captura paquetes entre el cliente y el servidor, cambia los paquetes y, a continuación, los reenvía al servidor. Si esto ocurre en un controlador de Dominio de Active Directory, un atacante puede hacer que un servidor tome decisiones que se basan en solicitudes falsificadas del cliente LDAP. LDAPS utiliza su propio puerto de red distinto para conectar clientes y servidores. El puerto predeterminado para LDAP es el puerto 389, pero LDAPS usa el puerto 636 y establece SSL/TLS al conectarse con un cliente.
Los tokens de enlace de canal ayudan a que la autenticación LDAP a través de SSL/TLS sea más segura frente a ataques de tipo man-in-the-middle.
Actualizaciones del 10 de marzo de 2020
Importante Las actualizaciones del 10 de marzo de 2020 no cambian las directivas predeterminadas de firma de canal LDAP o de enlace de canal LDAP ni su equivalente del Registro en controladores de dominio de Active Directory nuevos o existentes.
Las actualizaciones de Windows que se publicarán el 10 de marzo de 2020 agregan las siguientes características:
-
Los nuevos eventos se registran en el Visor de eventos relacionados con el enlace de canales LDAP. Consulte la Tabla 1 y la Tabla 2 para obtener más información sobre estos eventos.
-
Un nuevo controlador de dominio: los requisitos de token de enlace de canal de servidor LDAP directiva de grupo configurar el enlace de canales LDAP en dispositivos compatibles.
La asignación entre la configuración de la directiva de firma LDAP y la configuración del Registro se incluye de la siguiente manera:
-
Configuración de directiva: "Controlador de dominio: requisitos de firma de servidor LDAP"
-
Configuración del Registro: LDAPServerIntegrity
-
Datatype: DWORD
-
Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Configuración de directiva de grupo |
Configuración del Registro |
Ninguno |
1 |
Requerir firma |
2 |
La asignación entre la configuración de la directiva de enlace de canales LDAP y la configuración del Registro se incluye de la siguiente manera:
-
Configuración de directiva: "Controlador de dominio: requisitos de token de enlace de canal de servidor LDAP"
-
Configuración del Registro: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Configuración de directiva de grupo |
Configuración del Registro |
Nunca. |
0 |
Cuando se admite |
1 |
Siempre |
2 |
Tabla 1: Eventos de firma LDAP
Descripción |
Desencadenador |
|
La seguridad de estos controladores de dominio se puede mejorar significativamente configurando el servidor para aplicar la validación de la firma LDAP. |
Se desencadena cada 24 horas, al iniciar o iniciar el servicio si el directiva de grupo está establecido en Ninguno. Nivel de registro mínimo: 0 o superior |
|
La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP. |
Se desencadena cada 24 horas cuando directiva de grupo se establece en Ninguno y se ha completado al menos un enlace desprotegido. Nivel de registro mínimo: 0 o superior |
|
La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP. |
Se desencadena cada 24 horas cuando directiva de grupo se establece en Requerir firma y se rechazó al menos un enlace desprotegido. Nivel de registro mínimo: 0 o superior |
|
La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP. |
Desencadenado cuando un cliente no utiliza la firma para los enlaces en las sesiones en el puerto 389. Nivel de registro mínimo: 2 o superior |
Tabla 2: Eventos CBT
Evento |
Descripción |
Desencadenador |
3039 |
El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y falló la validación de token de enlace de canal LDAP. |
Desencadenada en cualquiera de las siguientes circunstancias:
Nivel de registro mínimo: 2 |
3040 |
Durante el período de 24 horas anterior, se realizó el n.º de enlaces LDAP no protegidos. |
Se desencadena cada 24 horas cuando el directiva de grupo CBT se establece en Nunca y se ha completado al menos un enlace no protegido. Nivel de registro mínimo: 0 |
3041 |
La seguridad de este servidor de directorios se puede mejorar significativamente configurando el servidor para exigir la validación de tokens de enlace de canal LDAP. |
Se desencadena cada 24 horas, al iniciar o iniciar el servicio si el directiva de grupo CBT se establece en Nunca. Nivel de registro mínimo: 0 |
Para establecer el nivel de registro en el Registro, use un comando similar al siguiente:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Para obtener más información sobre cómo configurar el registro de eventos de diagnóstico de Active Directory, consulte Cómo configurar el registro de eventos de diagnóstico de Active Directory y LDS.
Actualizaciones del 8 de agosto de 2023
Algunos equipos cliente no pueden usar tokens de enlace de canal LDAP para enlazar a controladores de dominio (DCs) de Active Directory. Microsoft publicará una actualización de seguridad el 8 de agosto de 2023. En el caso de Windows Server 2022, esta actualización agrega opciones para que los administradores auditen estos clientes. Puede habilitar los eventos CBT 3074 y 3075 con el origen de eventos **Microsoft-Windows-ActiveDirectory_DomainService** en el registro de eventos de Servicio de directorio.
Importante La actualización del 8 de agosto de 2023 no cambia la firma LDAP, las directivas predeterminadas de enlace de canales LDAP ni su equivalente del Registro en los DCs nuevos o existentes de Active Directory.
Aquí también se aplican todas las instrucciones de la sección de actualizaciones de marzo de 2020. Los nuevos eventos de auditoría requerirán la configuración de directiva y registro descrita en las instrucciones anteriores. También hay un paso de habilitación para ver los nuevos eventos de auditoría. Los nuevos detalles de la implementación se encuentran en la sección Acciones recomendadas a continuación.
Tabla 3: Eventos CBT
Evento |
Descripción |
Desencadenador |
3074 |
El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y no pudo realizar la validación de token de enlace de canal si el servidor de directorio se configuró para exigir la validación de tokens de enlace de canal. |
Desencadenada en cualquiera de las siguientes circunstancias:
Nivel de registro mínimo: 2 |
3075 |
El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y no proporcionó información de enlace de canal. Cuando este servidor de directorio está configurado para exigir la validación de tokens de enlace de canal, se rechazará esta operación de enlace. |
Desencadenada en cualquiera de las siguientes circunstancias:
Nivel de registro mínimo: 2 |
Nota Al establecer el nivel de registro en al menos 2, se registra el id. de evento 3074. Los administradores pueden usarlo para auditar su entorno para los clientes que no funcionan con tokens de enlace de canal. Los eventos contendrán la siguiente información de diagnóstico para identificar a los clientes:
Client IP address: 192.168.10.5:62709 Identidad que el cliente ha intentado autenticar como: CONTOSO\Administrator El cliente admite el enlace de canales:FALSE Cliente permitido en cuando el modo admitido:TRUE Marcas de resultados de auditoría:0x42
Actualizaciones del 10 de octubre de 2023
Los cambios de auditoría agregados en agosto de 2023 ya están disponibles en Windows Server 2019. Para ese sistema operativo, esta actualización agrega opciones para que los administradores auditen estos clientes. Puede habilitar los eventos CBT 3074 y 3075. Use el origen de eventos **Microsoft-Windows-ActiveDirectory_DomainService** en el registro de eventos de Servicio de directorio.
Importante La actualización del 10 de octubre de 2023 no cambia la firma LDAP, las directivas predeterminadas de enlace de canales LDAP ni su equivalente del Registro en los DCs nuevos o existentes de Active Directory.
Aquí también se aplican todas las instrucciones de la sección de actualizaciones de marzo de 2020. Los nuevos eventos de auditoría requerirán la configuración de directiva y registro descrita en las instrucciones anteriores. También hay un paso de habilitación para ver los nuevos eventos de auditoría. Los nuevos detalles de la implementación se encuentran en la sección Acciones recomendadas a continuación.
Actualizaciones del 14 de noviembre de 2023
Los cambios de auditoría agregados en agosto de 2023 ya están disponibles en Windows Server 2022. No es necesario instalar los MSIs ni crear directivas como se menciona en el paso 3 de Acciones recomendadas.
Actualizaciones del 9 de enero de 2024
Los cambios de auditoría agregados en octubre de 2023 ya están disponibles en Windows Server 2019. No es necesario instalar los MSIs ni crear directivas como se menciona en el paso 3 de Acciones recomendadas.
Acciones recomendadas
Recomendamos encarecidamente a los clientes que realicen los siguientes pasos lo antes posible:
-
Asegúrate de que las actualizaciones de Windows del 10 de marzo de 2020 o posteriores estén instaladas en equipos de rol de controlador de dominio (DC). Si desea habilitar eventos de auditoría de enlace de canales LDAP, asegúrese de que las actualizaciones del 8 de agosto de 2023 o posteriores se instalan en los equipos con Windows Server 2022 o Server 2019.
-
Habilite el registro de diagnóstico de eventos LDAP a 2 o superior.
-
Habilite las actualizaciones de eventos de auditoría de agosto de 2023 u octubre de 2023 con directiva de grupo. Puede omitir este paso si ha instalado las actualizaciones de noviembre de 2023 o posteriores en Windows Server 2022. Si ha instalado las actualizaciones de enero de 2024 o posteriores en Windows Server 2019, también puede omitir este paso.
-
Descarga los dos MSIs de habilitación por versión de SO desde el Centro de descarga de Microsoft:
-
Expanda los MSIs para instalar los nuevos archivos ADMX que contienen las definiciones de directiva. Si usa el Almacén central para directiva de grupo, copie los archivos ADMX en el Almacén central.
-
Aplique las directivas correspondientes a la unidad organizativa controladoras de dominio o a un subconjunto de los controladores de dominio de Server 2022 o Server 2019.
-
Reinicie el controlador de dominio para que los cambios surtan efecto.
-
-
Supervise el registro de eventos de servicios de directorio en todos los equipos de rol de DC filtrados por:
-
Evento de error de firma LDAP 2889 en la tabla 1.
-
Evento de error de enlace de canal LDAP 3039 en la tabla 2.
-
Eventos de auditoría de enlace de canales LDAP 3074 y 3075 en la tabla 3.
Nota Los eventos 3039, 3074 y 3075 solo se pueden generar cuando el enlace de canales se establece en Cuando se admite o Siempre.
-
-
Identifica la marca, el modelo y el tipo de dispositivo para cada dirección IP citada por:
-
Evento 2889 para realizar llamadas LDAP sin firmar
-
Evento 3039 para no usar enlace de canales LDAP
-
Evento 3074 o 3075 para no poder enlazar canales LDAP
-
Tipos de dispositivos
Agrupar tipos de dispositivos en 1 de 3 categorías:
-
Dispositivo o enrutador:
-
Ponte en contacto con el proveedor de dispositivos.
-
-
Dispositivo que no se ejecuta en un sistema operativo Windows:
-
Compruebe que el enlace de canales LDAP y la firma LDAP son compatibles con el sistema operativo y la aplicación. Para ello, trabaje con el sistema operativo y el proveedor de aplicaciones.
-
-
Dispositivo que se ejecuta en un sistema operativo Windows:
-
La firma LDAP está disponible para que la usen todas las aplicaciones en todas las versiones compatibles de Windows. Compruebe que la aplicación o el servicio está usando la firma LDAP.
-
La enlace de canales LDAP requiere que todos los dispositivos Windows tengan CVE-2017-8563 instalado. Compruebe que la aplicación o el servicio está usando el enlace de canales LDAP.
-
Use herramientas de seguimiento locales, remotas, genéricas o específicas del dispositivo. Estos incluyen capturas de red, el administrador de procesos o seguimientos de depuración. Determine si el sistema operativo principal, un servicio o una aplicación está realizando enlaces LDAP sin firmar o no está usando CBT.
Use el Administrador de tareas de Windows o un equivalente para asignar el id. de proceso a los nombres de proceso, servicio y aplicación.
Programación de la actualización de seguridad
La actualización del 10 de marzo de 2020 agregó controles para que los administradores endurecen las configuraciones para el enlace de canales LDAP y la firma LDAP en controladores de dominio de Active Directory. Las actualizaciones del 8 de agosto y del 10 de octubre de 2023 agregan opciones para que los administradores auditen los equipos cliente que no pueden usar tokens de enlace de canales LDAP. Recomendamos encarecidamente a los clientes que realicen las acciones recomendadas en este artículo lo antes posible.
Fecha de destino |
Evento |
La información de este artículo se refiere a: |
10 de marzo de 2020 |
Necesario: Actualización de seguridad disponible en Windows Update para todas las plataformas windows compatibles. Nota Para las plataformas Windows que no tienen soporte estándar, esta actualización de seguridad solo estará disponible a través de los programas de soporte extendido aplicables. CVE-2017-8563 agregó compatibilidad de enlace de canales LDAP en Windows Server 2008 y versiones posteriores. Los tokens de enlace de canales son compatibles con Windows 10, versión 1709 y versiones posteriores. Windows XP no admite el enlace de canales LDAP y producirá un error cuando se configure el enlace de canales LDAP mediante un valor de Siempre, pero interoperaría con los DCs configurados para usar una configuración de enlace de canal LDAP más relajado de Cuando se admite. |
Windows Server 2022 Windows 10, versión 20H2 Windows 10, versión 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Extended Security Update (ESU)) |
8 de agosto de 2023 |
Agrega eventos de auditoría de token de enlace de canal LDAP (3074 & 3075). Están deshabilitadas de manera predeterminada en Windows Server 2022. |
Windows Server 2022 |
10 de octubre de 2023 |
Agrega eventos de auditoría de token de enlace de canal LDAP (3074 & 3075). Están deshabilitadas de manera predeterminada en Windows Server 2019. |
Windows Server 2019 |
14 de noviembre de 2023 |
Los eventos de auditoría de token de enlace de canal LDAP están disponibles en Windows Server 2022 sin instalar un MSI de habilitación (como se describe en el paso 3 de acciones recomendadas). |
Windows Server 2022 |
9 de enero de 2024 |
Los eventos de auditoría de token de enlace de canales LDAP están disponibles en Windows Server 2019 sin instalar un MSI de habilitación (como se describe en el paso 3 de acciones recomendadas). |
Windows Server 2019 |
Preguntas más frecuentes
Para obtener respuestas a las preguntas más frecuentes sobre el enlace de canales LDAP y la firma LDAP en controladores de dominio de Active Directory, vea: