Frissítve: 2024. 01. 09.
Tekintse meg az új tartalmakat a 2024. január 9-i frissítésekben.
Ismertető
Az LDAP-csatornakötés és az LDAP-aláírás lehetővé teszik az LDAP-ügyfelek és az Active Directory-tartományvezérlők közötti kommunikáció biztonságának növelését. Az Active Directory-tartományvezérlők az LDAP-csatornakötés és az LDAP-aláírás nem biztonságos alapértelmezett konfigurációinak készlete lehetővé teszi, hogy az LDAP-ügyfelek az LDAP-csatornakötés és az LDAP-aláírás kényszerítése nélkül kommunikáljanak velük. Ezzel megnyithatja az Active Directory-tartományvezérlőket a jogosultsági biztonsági rések kiterjesztéséhez.
Ez a biztonsági rés lehetővé teheti, hogy egy közbeékelt támadó sikeresen továbbítsa a hitelesítési kérést egy Olyan Microsoft-tartományi kiszolgálónak, amely nincs úgy konfigurálva, hogy csatornakötést, aláírást vagy zárolást követeljen meg a bejövő kapcsolatokon.
A Microsoft azt javasolja a rendszergazdáknak, hogy végezzenek el a ADV190023.
2020. március 10-én a következő lehetőségeket biztosítjuk a rendszergazdáknak az LDAP-csatornakötés konfigurálásának megerősítésére az Active Directory-tartományvezérlőkön:
-
Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend.
-
Csatornakötési tokenek (CBT) a 3039-es, 3040-es és 3041-es események aláírása a Microsoft-Windows-Active Directory_DomainService eseményküldővel a Címtárszolgáltatás eseménynaplójában.
Fontos: A 2020. március 10-i frissítések és frissítések a belátható jövőben nem módosítják az LDAP-aláírási vagy LDAP-csatornakötés alapértelmezett szabályzatait, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.
Az LDAP-aláíró tartományvezérlő: AZ LDAP-kiszolgáló aláírási követelményeire vonatkozó szabályzat már létezik a Windows összes támogatott verziójában. A Windows Server 2022, 23H2 Edition verziótól kezdve a Windows összes új verziója tartalmazni fogja a cikkben szereplő összes módosítást.
Miért van szükség a módosításra
Az Active Directory-tartományvezérlők biztonsága jelentősen javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy elutasítsa az egyszerű hitelesítési és biztonsági rétegbeli (SASL) LDAP-kötéseket, amelyek nem kérnek aláírást (integritás-ellenőrzés), vagy elutasítja a világos szöveges (nem SSL/TLS-titkosított) kapcsolaton végrehajtott egyszerű LDAP-kötéseket. Az SASL tartalmazhat olyan protokollokat, mint az egyeztetés, a Kerberos, az NTLM és a kivonatoló protokollok.
Az aláíratlan hálózati forgalom érzékeny a visszajátszásos támadásokra, amelyekben a behatoló elfogja a hitelesítési kísérletet és a jegy kiállítását. A behatoló újrafelhasználhatja a jegyet, hogy megszemélyesítse a valódi felhasználót. Emellett az aláíratlan hálózati forgalom hajlamos a közbeékelt (MiTM) támadásokra, amelyek során egy behatoló rögzíti az ügyfél és a kiszolgáló közötti csomagokat, módosítja a csomagokat, majd továbbítja őket a kiszolgálóra. Ha ez egy Active Directory-tartomány-vezérlőn történik, a támadók olyan döntéseket hozhatnak, amelyek az LDAP-ügyfél hamis kérései alapján születnek. Az LDAPS a saját különálló hálózati portját használja az ügyfelek és kiszolgálók összekapcsolásához. Az LDAP alapértelmezett portja a 389-ös port, de az LDAPS a 636-os portot használja, és SSL/TLS-t hoz létre az ügyfélhez való csatlakozáskor.
A csatornakötési jogkivonatok segítenek biztonságosabbá tenni az SSL-/TLS-alapú LDAP-hitelesítést a közbeékelt támadásokkal szemben.
2020. március 10-i frissítések
Fontos A 2020. március 10-i frissítések nem módosítják az LDAP-aláírási vagy LDAP-csatornakötési alapértelmezett házirendeket, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.
A 2020. március 10-én megjelenő Windows-frissítések a következő funkciókat adják hozzá:
-
A rendszer új eseményeket naplóz az LDAP-csatornakötéssel kapcsolatos eseménymegtekintő. Az események részleteiért tekintse meg az 1 . és a 2. táblázatot .
-
Új tartományvezérlő: Az LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend az LDAP-csatorna kötésének konfigurálásához a támogatott eszközökön.
Az LDAP-aláírási házirend beállításai és a beállításjegyzék beállításai közötti megfeleltetés a következő:
-
Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei"
-
Beállításjegyzék-beállítás: LDAPServerIntegrity
-
Adattípus: DWORD
-
Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Csoportházirend beállítás |
Beállításjegyzék-beállítás |
Nincs |
1 |
Aláírás megkövetelése |
2 |
Az LDAP-csatorna kötési házirendjének beállításai és a beállításjegyzék beállításai közötti leképezés a következő:
-
Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei"
-
Beállításjegyzék-beállítás: LdapEnforceChannelBinding
-
Adattípus: DWORD
-
Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Csoportházirend beállítás |
Beállításjegyzék-beállítás |
Soha |
0 |
Ha támogatott |
1 |
Mindig |
2 |
1. táblázat: LDAP-aláírási események
Ismertetés |
Ravaszt |
|
Ezeknek a tartományvezérlőknek a biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-aláírás érvényesítésének kikényszerítésére. |
24 óránként aktiválódik, indításkor vagy szolgáltatás indításakor, ha a Csoportházirend Nincs értékre van állítva. Minimális naplózási szint: 0 vagy magasabb |
|
Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket. |
24 óránként aktiválódik, ha Csoportházirend Nincs értékre van állítva, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0 vagy magasabb |
|
Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket. |
24 óránként aktiválódik, amikor Csoportházirend Aláírás megkövetelése értékre van állítva, és legalább egy nem védett kötés el lett utasítva. Minimális naplózási szint: 0 vagy magasabb |
|
Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket. |
Akkor aktiválódik, ha egy ügyfél nem használ aláírást kötésekhez a 389-es porton lévő munkameneteken. Minimális naplózási szint: 2 vagy magasabb |
2. táblázat: CBT-események
Esemény |
Ismertetés |
Ravaszt |
3039 |
A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem sikerült érvényesíteni az LDAP-csatorna kötési jogkivonatát. |
A következő körülmények bármelyike esetén aktiválódik:
Minimális naplózási szint: 2 |
3040 |
Az előző 24 órás időszakban a nem védett LDAPs-kötések száma lett végrehajtva. |
24 óránként aktiválódik, ha a CBT Csoportházirend Értéke Soha, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0 |
3041 |
A címtárkiszolgáló biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-csatornakötési jogkivonatok érvényesítésének kikényszerítésére. |
24 óránként aktiválódik indításkor vagy szolgáltatás indításakor, ha a CBT Csoportházirend Értéke Soha. Minimális naplózási szint: 0 |
A naplózási szint beállításához használja a következőhöz hasonló parancsot:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
További információ az Active Directory diagnosztikai eseménynaplózásának konfigurálásáról: Az Active Directory és az LDS diagnosztikai eseménynaplózásának konfigurálása.
2023. augusztus 8-i frissítések
Egyes ügyfélszámítógépek nem használhatnak LDAP-csatornakötési jogkivonatokat az Active Directory-tartományvezérlőkhöz (TARTOMÁNYVEZÉRLŐK) való kötéshez. A Microsoft 2023. augusztus 8-án kiad egy biztonsági frissítést. Windows Server 2022 esetén ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. A 3074-ös és 3075-ös CBT-eseményeket a Címtárszolgáltatás eseménynaplójában a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrással engedélyezheti.
Fontos A 2023. augusztus 8-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.
A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.
3. táblázat: CBT-események
Esemény |
Ismertetés |
Ravaszt |
3074 |
A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és ha a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kényszerítésére lett konfigurálva, a csatornakötési jogkivonatok érvényesítése meghiúsult volna. |
A következő körülmények bármelyike esetén aktiválódik:
Minimális naplózási szint: 2 |
3075 |
A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem adott meg csatornakötési információkat. Ha ez a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kikényszerítésére van konfigurálva, a rendszer elutasítja ezt a kötési műveletet. |
A következő körülmények bármelyike esetén aktiválódik:
Minimális naplózási szint: 2 |
Megjegyzés Ha a naplózási szintet legalább 2-esre állítja, a rendszer a 3074-es eseményazonosítót naplózza. A rendszergazdák ezzel naplózhatják a környezetüket olyan ügyfelek esetében, amelyek nem működnek csatornakötési jogkivonatokkal. Az események a következő diagnosztikai adatokat tartalmazzák az ügyfelek azonosításához:
Client IP address: 192.168.10.5:62709 Identitás, amelyet az ügyfél a következőként próbált hitelesíteni: CONTOSO\Rendszergazda Az ügyfél támogatja a csatornakötést:HAMIS Támogatott módban engedélyezett ügyfél:IGAZ Auditeredmény-jelzők:0x42
2023. október 10-i frissítések
A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Az operációs rendszer esetében ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. Engedélyezheti a CBT 3074-ös és 3075-ös eseményeit. Használja a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrást a Címtárszolgáltatás eseménynaplójában.
Fontos A 2023. október 10-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.
A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.
2023. november 14-i frissítések
A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2022-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.
2024. január 9-i frissítések
A 2023 októberében hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.
Ajánlott műveletek
Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb hajtsanak végre a következő lépéseket:
-
Győződjön meg arról, hogy a 2020. március 10-i vagy újabb Windows-frissítések telepítve vannak a tartományvezérlői szerepkörű számítógépeken. Ha engedélyezni szeretné az LDAP-csatornakötés naplózási eseményeit, győződjön meg arról, hogy a 2023. augusztus 8-i vagy újabb frissítések telepítve vannak a Windows Server 2022 vagy a Server 2019 rendszerű számítógépeken.
-
Engedélyezze az LDAP-események diagnosztikai naplózását 2 vagy újabb verzióra.
-
Engedélyezze a 2023. augusztusi vagy 2023. októberi naplózási eseményfrissítéseket a Csoportházirend használatával. Ezt a lépést kihagyhatja, ha telepítette a Windows Server 2022 2023. novemberi vagy újabb frissítéseit. Ha telepítette a Windows Server 2019 2024. januári vagy újabb frissítéseit, kihagyhatja ezt a lépést is.
-
Töltse le a két engedélyező MSI-t operációsrendszer-verziónként a Microsoft letöltőközpontból:
-
Bontsa ki az MSI-ket a szabályzatdefiníciókat tartalmazó új ADMX-fájlok telepítéséhez. Ha a Central Store-t használja a Csoportházirend, másolja az ADMX-fájlokat a központi tárolóba.
-
Alkalmazza a megfelelő szabályzatokat a tartományvezérlők szervezeti egységére vagy a Server 2022 vagy Server 2019 tartományvezérlők egy részhalmazára.
-
A módosítások érvénybe léptetéséhez indítsa újra a tartományvezérlőt.
-
-
Monitorozza a Címtárszolgáltatások eseménynaplót az összes olyan tartományvezérlői szerepkörű számítógépen, amely a következőre szűrt:
-
LDAP-aláírási hibaesemény 2889 az 1. táblában.
-
AZ LDAP-csatorna kötésének 3039-es hibaeseménye a 2. táblában.
-
AZ LDAP-csatornakötés 3074-es és 3075-ös naplózási eseményei a 3. táblázatban.
Megjegyzés A 3039-es, 3074-es és 3075-ös események csak akkor hozhatók létre, ha a Csatornakötés értéke Támogatott vagy Mindig.
-
-
Azonosítsa az eszköz típusát, típusát és típusát a következő által hivatkozott IP-címekhez:
-
2889-s esemény aláíratlan LDAP-hívások kezdeményezéséhez
-
3039-es esemény az LDAP-csatornakötés használatának kihagyásáért
-
3074-es vagy 3075-ös esemény, ha nem lehet LDAP-csatornakötést alkalmazni
-
Eszköztípusok
Az eszköztípusok csoportosítása 3 kategóriából 1-be:
-
Berendezés vagy útválasztó –
-
Lépjen kapcsolatba az eszközszolgáltatóval.
-
-
Windows operációs rendszeren nem futó eszköz –
-
Ellenőrizze, hogy az LDAP-csatornakötés és az LDAP-aláírás is támogatott-e az operációs rendszeren és az alkalmazásban. Ehhez használja az operációs rendszert és az alkalmazásszolgáltatót.
-
-
Windows operációs rendszeren futó eszköz –
-
Az LDAP-aláírást minden alkalmazás használhatja a Windows összes támogatott verziójában. Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-aláírást használ-e.
-
Az LDAP-csatornakötéshez minden Windows-eszközön telepítve kell lennie a CVE-2017-8563-nak . Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-csatornakötést használ-e.
-
Használjon helyi, távoli, általános vagy eszközspecifikus nyomkövetési eszközöket. Ilyenek például a hálózati rögzítések, a folyamatkezelő vagy a hibakeresési nyomkövetések. Állapítsa meg, hogy az alapvető operációs rendszer, szolgáltatás vagy alkalmazás aláíratlan LDAP-kötéseket hajt-e végre, vagy nem használja a CBT-t.
Használja a Windows Feladatkezelőt vagy annak megfelelőt a folyamatazonosítónak a folyamat, a szolgáltatás és az alkalmazásnevek megfeleltetéséhez.
Biztonsági frissítési ütemterv
A 2020. március 10-i frissítés új vezérlőkkel bővítette a rendszergazdák számára az LDAP-csatornakötés és az LDAP-aláírás konfigurálásának megerősítését az Active Directory-tartományvezérlőkön. A 2023. augusztus 8-i és október 10-i frissítések lehetőséget adnak a rendszergazdáknak az LDAP-csatornakötési jogkivonatokat nem használó ügyfélgépek naplózására. Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb meghozhassák az ebben a cikkben javasolt műveleteket.
Céldátum |
Esemény |
A következőkre vonatkozik: |
2020. március 10. |
Kötelező: A biztonsági frissítés az Windows Update minden támogatott Windows-platformon elérhető. Megjegyzés A standard támogatáson kívüli Windows-platformok esetében ez a biztonsági frissítés csak a vonatkozó kiterjesztett támogatási programokon keresztül érhető el. Az LDAP-csatornakötések támogatását a CVE-2017-8563 adta hozzá a Windows Server 2008 és újabb verziókon. A csatornakötési jogkivonatok a Windows 10 1709-es és újabb verzióiban támogatottak. A Windows XP nem támogatja az LDAP-csatornakötést, és sikertelen lenne, ha az LDAP-csatornakötés Always érték használatával van konfigurálva, de együttműködne a konfigurált nic-ekkel, hogy lazább LDAP-csatornakötési beállítást használjanak ( Ha támogatott). |
Windows Server 2022 Windows 10, 20H2-es verzió Windows 10, 1909-es verzió (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Kiterjesztett biztonsági frissítés (ESU)) |
2023. augusztus 8. |
Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2022-ben. |
Windows Server 2022 |
2023. október 10. |
Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2019-ben. |
Windows Server 2019 |
2023. november 14. |
Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2022-ben (az ajánlott műveletek 3. lépésében leírtak szerint). |
Windows Server 2022 |
2024. január 9. |
Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2019-ben (az ajánlott műveletek 3. lépésében leírtak szerint). |
Windows Server 2019 |
Gyakori kérdések
Az LDAP-csatornakötéssel és az Active Directory-tartományvezérlők ldAP-aláírásával kapcsolatos gyakori kérdésekre adott válaszokért lásd: