Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Mise à jour du 09/01/2024

Consultez le nouveau contenu des mises à jour du 9 janvier 2024.

Introduction

La liaison de canal LDAP et la signature LDAP permettent d’améliorer la sécurité des communications entre les clients LDAP et les contrôleurs de domaine Active Directory. Un ensemble de configurations par défaut non sécurisées pour la liaison de canal LDAP et la signature LDAP existent sur les contrôleurs de domaine Active Directory qui permettent aux clients LDAP de communiquer avec eux sans appliquer la liaison de canal LDAP et la signature LDAP. Cela peut ouvrir des contrôleurs de domaine Active Directory à une vulnérabilité d’élévation de privilèges.

Cette vulnérabilité peut permettre à un attaquant du milieu de transférer correctement une demande d’authentification à un serveur de domaine Microsoft qui n’a pas été configuré pour exiger la liaison de canal, la signature ou le scellement sur les connexions entrantes.

Microsoft recommande aux administrateurs d’apporter les modifications de renforcement décrites dans ADV190023.

Le 10 mars 2020, nous allons résoudre cette vulnérabilité en fournissant aux administrateurs les options suivantes pour renforcer les configurations pour la liaison de canal LDAP sur les contrôleurs de domaine Active Directory :

  • Contrôleur de domaine : exigences de jeton de liaison de canal de serveur LDAP Stratégie de groupe.

  • Les événements de signature CBT (Channel Binding Tokens) 3039, 3040 et 3041 avec l’expéditeur d’événements Microsoft-Windows-Active Directory_DomainService dans le journal des événements du service d’annuaire.

Important : les mises à jour du 10 mars 2020 et les mises à jour dans un avenir prévisible ne changeront pas les stratégies par défaut de signature LDAP ou de liaison de canal LDAP ou leur équivalent de registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

La stratégie de signature LDAP Contrôleur de domaine : Conditions de signature du serveur LDAP existe déjà dans toutes les versions prises en charge de Windows. À compter de Windows Server 2022, 23H2 Edition, toutes les nouvelles versions de Windows contiennent toutes les modifications de cet article.

Pourquoi cette modification est-elle nécessaire ?

La sécurité des contrôleurs de domaine Active Directory peut être considérablement améliorée en configurant le serveur pour rejeter les liaisons LDAP SASL (Simple Authentication and Security Layer) qui ne demandent pas de signature (vérification de l’intégrité) ou pour rejeter les liaisons SIMPLES LDAP effectuées sur une connexion en texte clair (non SSL/TLS-encrypted). Les SASL peuvent inclure des protocoles tels que Negotiate, Kerberos, NTLM et Digest.

Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser le ticket pour usurper l'identité de l'utilisateur légitime. En outre, le trafic réseau non signé est vulnérable aux attaques miTM (man-in-the-middle) dans lesquelles un intrus capture des paquets entre le client et le serveur, modifie les paquets, puis les transfère au serveur. Si cela se produit sur un contrôleur domaine Active Directory, un attaquant peut amener un serveur à prendre des décisions basées sur des demandes falsifiées du client LDAP. LDAPS utilise son propre port réseau distinct pour connecter les clients et les serveurs. Le port par défaut pour LDAP est le port 389, mais LDAPS utilise le port 636 et établit SSL/TLS lors de la connexion avec un client.

Les jetons de liaison de canal aident à sécuriser l’authentification LDAP sur SSL/TLS contre les attaques de l’intercepteur.

Mises à jour du 10 mars 2020

Important Les mises à jour du 10 mars 2020 ne modifient pas les stratégies par défaut de signature LDAP ou de liaison de canal LDAP, ni leur équivalent dans le Registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

Les mises à jour Windows qui seront publiées le 10 mars 2020 ajoutent les fonctionnalités suivantes :

  • Les nouveaux événements sont enregistrés dans le observateur d'événements liés à la liaison de canal LDAP. Pour plus d’informations sur ces événements, consultez les tables 1 et 2 .

  • Nouveau contrôleur de domaine : les exigences de jeton de liaison de canal serveur LDAP stratégie de groupe pour configurer la liaison de canal LDAP sur les appareils pris en charge.

Le mappage entre les paramètres de stratégie de signature LDAP et les paramètres de Registre est inclus comme suit :

  • Paramètre de stratégie : « Contrôleur de domaine : conditions de signature du serveur LDAP »

  • Paramètre du Registre : LDAPServerIntegrity

  • Datatype: DWORD

  • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

paramètre stratégie de groupe

Paramètre du Registre

Aucun

1

Exiger la signature

2

Le mappage entre les paramètres de stratégie de liaison de canal LDAP et les paramètres du Registre est inclus comme suit :

  • Paramètre de stratégie : « Contrôleur de domaine : exigences de jeton de liaison de canal de serveur LDAP »

  • Paramètre du Registre : LdapEnforceChannelBinding

  • Datatype: DWORD

  • Chemin d’accès au Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

paramètre stratégie de groupe

Paramètre du Registre

Jamais

0

En cas de prise en charge

1

Toujours

2

Tableau 1 : Événements de signature LDAP

Description

Déclencheur

2886

La sécurité de ces contrôleurs de domaine peut être considérablement améliorée en configurant le serveur pour appliquer la validation de la signature LDAP.

Déclenchée toutes les 24 heures, au démarrage ou au début du service si le stratégie de groupe est défini sur Aucun. Niveau de journalisation minimal : 0 ou plus

2887

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP.

Déclenchée toutes les 24 heures lorsque stratégie de groupe est défini sur Aucun et qu’au moins une liaison non protégée a été effectuée. Niveau de journalisation minimal : 0 ou plus

2888

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP.

Déclenchée toutes les 24 heures lorsque stratégie de groupe est défini sur Exiger la signature et qu’au moins une liaison non protégée a été rejetée. Niveau de journalisation minimal : 0 ou plus

2889

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP.

Déclenchée lorsqu’un client n’utilise pas la signature pour les liaisons sur les sessions sur le port 389. Niveau de journalisation minimal : 2 ou supérieur

Tableau 2 : événements CBT

Événement

Description

Déclencheur

3039

Le client suivant a effectué une liaison LDAP sur SSL/TLS et a échoué la validation du jeton de liaison de canal LDAP.

Déclenchée dans l’une des circonstances suivantes :

  • Lorsqu’un client tente d’établir une liaison avec un jeton de liaison de canal (CBT) mal mis en forme, si le stratégie de groupe CBT est défini sur Quand pris en charge ou Toujours.

  • Lorsqu’un client capable de liaison de canal n’envoie pas de cbt si le stratégie de groupe CBT est défini sur Quand pris en charge. Un client est capable de liaison de canal si la fonctionnalité EPA est installée ou disponible dans le système d’exploitation et n’est pas désactivée via le paramètre de Registre SuppressExtendedProtection. Pour en savoir plus, consultez KB5021989.

  • Lorsqu’un client n’envoie pas de cbt si le stratégie de groupe CBT est défini sur Toujours.

Niveau de journalisation minimal : 2

3040

Au cours de la période précédente de 24 heures, nombre de liaisons LDAPs non protégées ont été effectuées.

Déclenchée toutes les 24 heures lorsque la stratégie de groupe CBT est définie sur Jamais et qu’au moins une liaison non protégée a été effectuée. Niveau de journalisation minimal : 0

3041

La sécurité de ce serveur d’annuaire peut être considérablement améliorée en configurant le serveur pour appliquer la validation des jetons de liaison de canal LDAP.

Déclenchée toutes les 24 heures, au démarrage ou au début du service si le stratégie de groupe CBT est défini sur Jamais. Niveau de journalisation minimal : 0

Pour définir le niveau de journalisation dans le Registre, utilisez une commande qui ressemble à ce qui suit :

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v « 16 LDAP Interface Events » /t REG_DWORD /d 2

Pour plus d’informations sur la configuration de la journalisation des événements de diagnostic Active Directory, consultez Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS.

Mises à jour du 8 août 2023

Certaines machines clientes ne peuvent pas utiliser de jetons de liaison de canal LDAP pour établir une liaison avec des contrôleurs de domaine Active Directory. Microsoft publiera une mise à jour de sécurité le 8 août 2023. Pour Windows Server 2022, cette mise à jour ajoute des options permettant aux administrateurs d’auditer ces clients. Vous pouvez activer les événements CBT 3074 et 3075 avec la source d’événements **Microsoft-Windows-ActiveDirectory_DomainService** dans le journal des événements du service d’annuaire.

Important La mise à jour du 8 août 2023 ne modifie pas les stratégies par défaut de signature LDAP, de liaison de canal LDAP ou leur équivalent de Registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

Tous les conseils de la section mises à jour de mars 2020 s’appliquent également ici. Les nouveaux événements d’audit nécessitent les paramètres de stratégie et de Registre décrits dans les instructions ci-dessus. Il existe également une étape d’activation pour voir les nouveaux événements d’audit. Les détails de la nouvelle implémentation se trouvent dans la section Actions recommandées ci-dessous.

Tableau 3 : événements CBT

Événement

Description

Déclencheur

3074

Le client suivant a effectué une liaison LDAP sur SSL/TLS et aurait échoué la validation du jeton de liaison de canal si le serveur d’annuaire était configuré pour appliquer la validation des jetons de liaison de canal.

Déclenchée dans l’une des circonstances suivantes :

  • Lorsqu’un client tente de lier avec un jeton de liaison de canal (CBT) mal mis en forme

Niveau de journalisation minimal : 2

3075

Le client suivant a effectué une liaison LDAP sur SSL/TLS et n’a pas fourni d’informations de liaison de canal. Lorsque ce serveur d’annuaire est configuré pour appliquer la validation des jetons de liaison de canal, cette opération de liaison est rejetée.

Déclenchée dans l’une des circonstances suivantes :

  • Lorsqu’un client capable de liaison de canal n’envoie pas de cbT

  • Un client est capable de liaison de canal si la fonctionnalité EPA est installée ou disponible dans le système d’exploitation et n’est pas désactivée via le paramètre de Registre SuppressExtendedProtection. Pour en savoir plus, consultez KB5021989.

Niveau de journalisation minimal : 2

Remarque Lorsque vous définissez le niveau de journalisation sur au moins 2, l’ID d’événement 3074 est journalisé. Les administrateurs peuvent l’utiliser pour auditer leur environnement pour les clients qui ne fonctionnent pas avec des jetons de liaison de canal. Les événements contiennent les informations de diagnostic suivantes pour identifier les clients :

Client IP address: 192.168.10.5 :62709 Identité que le client a tenté de s’authentifier comme : CONTOSO\Administrateur Le client prend en charge la liaison de canal :FALSE Client autorisé en mode pris en charge :TRUE Indicateurs de résultat d’audit :0x42

Mises à jour du 10 octobre 2023

Les modifications d’audit ajoutées en août 2023 sont désormais disponibles sur Windows Server 2019. Pour ce système d’exploitation, cette mise à jour ajoute des options permettant aux administrateurs d’auditer ces clients. Vous pouvez activer les événements CBT 3074 et 3075. Utilisez la source d’événements **Microsoft-Windows-ActiveDirectory_DomainService** dans le journal des événements du service d’annuaire.

Important La mise à jour du 10 octobre 2023 ne modifie pas les stratégies par défaut de signature LDAP, de liaison de canal LDAP ou leur équivalent de Registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

Tous les conseils de la section mises à jour de mars 2020 s’appliquent également ici. Les nouveaux événements d’audit nécessitent les paramètres de stratégie et de Registre décrits dans les instructions ci-dessus. Il existe également une étape d’activation pour voir les nouveaux événements d’audit. Les détails de la nouvelle implémentation se trouvent dans la section Actions recommandées ci-dessous.

Mises à jour du 14 novembre 2023

Les modifications d’audit ajoutées en août 2023 sont désormais disponibles sur Windows Server 2022. Vous n’avez pas besoin d’installer des interfaces de gestion de service ou de créer des stratégies comme indiqué à l’étape 3 des actions recommandées.

Mises à jour du 9 janvier 2024

Les modifications d’audit ajoutées en octobre 2023 sont désormais disponibles sur Windows Server 2019. Vous n’avez pas besoin d’installer des interfaces de gestion de service ou de créer des stratégies comme indiqué à l’étape 3 des actions recommandées.

Actions recommandées

Nous conseillons vivement aux clients d’effectuer les étapes suivantes dès que possible :

  1. Vérifiez que les mises à jour Windows du 10 mars 2020 ou ultérieures sont installées sur les ordinateurs de rôle contrôleur de domaine (DC). Si vous souhaitez activer les événements d’audit de liaison de canal LDAP, vérifiez que les mises à jour du 8 août 2023 ou ultérieures sont installées sur les contrôleurs de domaine Windows Server 2022 ou Server 2019.

  2. Activez la journalisation des diagnostics des événements LDAP sur 2 ou une version ultérieure.

  3. Activez les mises à jour des événements d’audit d’août 2023 ou d’octobre 2023 à l’aide de stratégie de groupe. Vous pouvez ignorer cette étape si vous avez installé les mises à jour de novembre 2023 ou ultérieures sur Windows Server 2022. Si vous avez installé les mises à jour de janvier 2024 ou ultérieures sur Windows Server 2019, vous pouvez également ignorer cette étape.

    • Téléchargez les deux msis d’activation par version de système d’exploitation à partir du Centre de téléchargement Microsoft :

    • Développez les indicateurs de service administrés pour installer les nouveaux fichiers ADMX qui contiennent les définitions de stratégie. Si vous utilisez le Magasin central pour stratégie de groupe, copiez les fichiers ADMX dans le magasin central.

    • Appliquez les stratégies correspondantes à votre unité d’organisation contrôleurs de domaine ou à un sous-ensemble de vos contrôleurs de domaine Server 2022 ou Server 2019.

    • Redémarrez le contrôleur de domaine pour que les modifications prennent effet.

  4. Surveillez le journal des événements des services d’annuaire sur tous les ordinateurs de rôle dc filtrés pour :

    • Événement d’échec de signature LDAP 2889 dans le tableau 1.

    • Événement d’échec de liaison de canal LDAP 3039 dans le tableau 2.

    • Événements d’audit de liaison de canal LDAP 3074 et 3075 dans le tableau 3.

      Remarque Les événements 3039, 3074 et 3075 ne peuvent être générés que lorsque la liaison de canal est définie sur Quand prise en charge ou Toujours.

  5. Identifiez la fabrique, le modèle et le type d’appareil pour chaque adresse IP citée par :

    • Événement 2889 pour effectuer des appels LDAP non signés

    • Événement 3039 pour ne pas utiliser la liaison de canal LDAP

    • Événement 3074 ou 3075 pour non-capacité de liaison de canal LDAP

Types d’appareils

Regrouper les types d’appareils en 1 sur 3 catégories :

  1. Appliance ou routeur -

    • Contactez le fournisseur d’appareils.

  2. Appareil qui ne s’exécute pas sur un système d’exploitation Windows -

    • Vérifiez que la liaison de canal LDAP et la signature LDAP sont prises en charge sur le système d’exploitation et l’application. Pour ce faire, utilisez le système d’exploitation et le fournisseur d’applications.

  3. Appareil qui s’exécute sur un système d’exploitation Windows :

    • La signature LDAP peut être utilisée par toutes les applications sur toutes les versions prises en charge de Windows. Vérifiez que votre application ou service utilise la signature LDAP.

    • La liaison de canal LDAP nécessite que CVE-2017-8563 soit installé sur tous les appareils Windows. Vérifiez que votre application ou service utilise la liaison de canal LDAP.

Utilisez des outils de suivi locaux, distants, génériques ou spécifiques à l’appareil. Il s’agit notamment des captures réseau, du gestionnaire de processus ou des traces de débogage. Déterminez si le système d’exploitation principal, un service ou une application effectue des liaisons LDAP non signées ou n’utilise pas CBT.

Utilisez le Gestionnaire des tâches Windows ou un équivalent pour mapper l’ID de processus aux noms de processus, de service et d’application.

Calendrier des mises à jour de sécurité

La mise à jour du 10 mars 2020 a ajouté des contrôles permettant aux administrateurs de renforcer les configurations pour la liaison de canal LDAP et la signature LDAP sur les contrôleurs de domaine Active Directory. Les mises à jour du 8 août et du 10 octobre 2023 ajoutent des options permettant aux administrateurs d’auditer les machines clientes qui ne peuvent pas utiliser de jetons de liaison de canal LDAP. Nous conseillons vivement aux clients de prendre les mesures recommandées dans cet article dès que possible.

Date cible

Événement

Produits concernés

10 mars 2020

Obligatoire : Mise à jour de sécurité disponible sur Windows Update pour toutes les plateformes Windows prises en charge.

Remarque Pour les plateformes Windows qui ne bénéficient pas d’une prise en charge standard, cette mise à jour de sécurité sera disponible uniquement via les programmes de support étendu applicables.

La prise en charge de la liaison de canal LDAP a été ajoutée par CVE-2017-8563 sur Windows Server 2008 et versions ultérieures. Les jetons de liaison de canal sont pris en charge dans Windows 10, version 1709 et versions ultérieures.

Windows XP ne prend pas en charge la liaison de canal LDAP et échoue lorsque la liaison de canal LDAP est configurée à l’aide de la valeur Always, mais interopération avec les contrôleurs de domaine configurés pour utiliser le paramètre de liaison de canal LDAP plus souple Lorsque pris en charge.

Windows Server 2022

Windows 10, version 20H2

Windows 10, version 1909 (19H2) Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Mise à jour de sécurité étendue (ESU))

8 août 2023

Ajoute des événements d’audit de jeton de liaison de canal LDAP (3074 & 3075). Ils sont désactivés par défaut sur Windows Server 2022.

Windows Server 2022

10 octobre 2023

Ajoute des événements d’audit de jeton de liaison de canal LDAP (3074 & 3075). Ils sont désactivés par défaut sur Windows Server 2019.

Windows Server 2019

14 novembre 2023

Les événements d’audit de jeton de liaison de canal LDAP sont disponibles sur Windows Server 2022 sans installer de MSI d’activation (comme décrit à l’étape 3 des actions recommandées).

Windows Server 2022

9 janvier 2024

Les événements d’audit de jeton de liaison de canal LDAP sont disponibles sur Windows Server 2019 sans installer de MSI d’activation (comme décrit à l’étape 3 des actions recommandées).

Windows Server 2019

Forum aux questions

Pour obtenir des réponses aux questions fréquemment posées sur la liaison de canal LDAP et la signature LDAP sur les contrôleurs de domaine Active Directory, consultez :

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.