Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Frissítve: 2024. 01. 09.

Tekintse meg az új tartalmakat a 2024. január 9-i frissítésekben.

Ismertető

Az LDAP-csatornakötés és az LDAP-aláírás lehetővé teszik az LDAP-ügyfelek és az Active Directory-tartományvezérlők közötti kommunikáció biztonságának növelését. Az Active Directory-tartományvezérlők az LDAP-csatornakötés és az LDAP-aláírás nem biztonságos alapértelmezett konfigurációinak készlete lehetővé teszi, hogy az LDAP-ügyfelek az LDAP-csatornakötés és az LDAP-aláírás kényszerítése nélkül kommunikáljanak velük. Ezzel megnyithatja az Active Directory-tartományvezérlőket a jogosultsági biztonsági rések kiterjesztéséhez.

Ez a biztonsági rés lehetővé teheti, hogy egy közbeékelt támadó sikeresen továbbítsa a hitelesítési kérést egy Olyan Microsoft-tartományi kiszolgálónak, amely nincs úgy konfigurálva, hogy csatornakötést, aláírást vagy zárolást követeljen meg a bejövő kapcsolatokon.

A Microsoft azt javasolja a rendszergazdáknak, hogy végezzenek el a ADV190023.

2020. március 10-én a következő lehetőségeket biztosítjuk a rendszergazdáknak az LDAP-csatornakötés konfigurálásának megerősítésére az Active Directory-tartományvezérlőkön:

  • Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend.

  • Csatornakötési tokenek (CBT) a 3039-es, 3040-es és 3041-es események aláírása a Microsoft-Windows-Active Directory_DomainService eseményküldővel a Címtárszolgáltatás eseménynaplójában.

Fontos: A 2020. március 10-i frissítések és frissítések a belátható jövőben nem módosítják az LDAP-aláírási vagy LDAP-csatornakötés alapértelmezett szabályzatait, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.

Az LDAP-aláíró tartományvezérlő: AZ LDAP-kiszolgáló aláírási követelményeire vonatkozó szabályzat már létezik a Windows összes támogatott verziójában. A Windows Server 2022, 23H2 Edition verziótól kezdve a Windows összes új verziója tartalmazni fogja a cikkben szereplő összes módosítást.

Miért van szükség a módosításra

Az Active Directory-tartományvezérlők biztonsága jelentősen javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy elutasítsa az egyszerű hitelesítési és biztonsági rétegbeli (SASL) LDAP-kötéseket, amelyek nem kérnek aláírást (integritás-ellenőrzés), vagy elutasítja a világos szöveges (nem SSL/TLS-titkosított) kapcsolaton végrehajtott egyszerű LDAP-kötéseket. Az SASL tartalmazhat olyan protokollokat, mint az egyeztetés, a Kerberos, az NTLM és a kivonatoló protokollok.

Az aláíratlan hálózati forgalom érzékeny a visszajátszásos támadásokra, amelyekben a behatoló elfogja a hitelesítési kísérletet és a jegy kiállítását. A behatoló újrafelhasználhatja a jegyet, hogy megszemélyesítse a valódi felhasználót. Emellett az aláíratlan hálózati forgalom hajlamos a közbeékelt (MiTM) támadásokra, amelyek során egy behatoló rögzíti az ügyfél és a kiszolgáló közötti csomagokat, módosítja a csomagokat, majd továbbítja őket a kiszolgálóra. Ha ez egy Active Directory-tartomány-vezérlőn történik, a támadók olyan döntéseket hozhatnak, amelyek az LDAP-ügyfél hamis kérései alapján születnek. Az LDAPS a saját különálló hálózati portját használja az ügyfelek és kiszolgálók összekapcsolásához. Az LDAP alapértelmezett portja a 389-ös port, de az LDAPS a 636-os portot használja, és SSL/TLS-t hoz létre az ügyfélhez való csatlakozáskor.

A csatornakötési jogkivonatok segítenek biztonságosabbá tenni az SSL-/TLS-alapú LDAP-hitelesítést a közbeékelt támadásokkal szemben.

2020. március 10-i frissítések

Fontos A 2020. március 10-i frissítések nem módosítják az LDAP-aláírási vagy LDAP-csatornakötési alapértelmezett házirendeket, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.

A 2020. március 10-én megjelenő Windows-frissítések a következő funkciókat adják hozzá:

  • A rendszer új eseményeket naplóz az LDAP-csatornakötéssel kapcsolatos eseménymegtekintő. Az események részleteiért tekintse meg az 1 . és a 2. táblázatot .

  • Új tartományvezérlő: Az LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend az LDAP-csatorna kötésének konfigurálásához a támogatott eszközökön.

Az LDAP-aláírási házirend beállításai és a beállításjegyzék beállításai közötti megfeleltetés a következő:

  • Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei"

  • Beállításjegyzék-beállítás: LDAPServerIntegrity

  • Adattípus: DWORD

  • Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Csoportházirend beállítás

Beállításjegyzék-beállítás

Nincs

1

Aláírás megkövetelése

2

Az LDAP-csatorna kötési házirendjének beállításai és a beállításjegyzék beállításai közötti leképezés a következő:

  • Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei"

  • Beállításjegyzék-beállítás: LdapEnforceChannelBinding

  • Adattípus: DWORD

  • Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Csoportházirend beállítás

Beállításjegyzék-beállítás

Soha

0

Ha támogatott

1

Mindig

2

1. táblázat: LDAP-aláírási események

Ismertetés

Ravaszt

2886

Ezeknek a tartományvezérlőknek a biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-aláírás érvényesítésének kikényszerítésére.

24 óránként aktiválódik, indításkor vagy szolgáltatás indításakor, ha a Csoportházirend Nincs értékre van állítva. Minimális naplózási szint: 0 vagy magasabb

2887

Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.

24 óránként aktiválódik, ha Csoportházirend Nincs értékre van állítva, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0 vagy magasabb

2888

Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.

24 óránként aktiválódik, amikor Csoportházirend Aláírás megkövetelése értékre van állítva, és legalább egy nem védett kötés el lett utasítva. Minimális naplózási szint: 0 vagy magasabb

2889

Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.

Akkor aktiválódik, ha egy ügyfél nem használ aláírást kötésekhez a 389-es porton lévő munkameneteken. Minimális naplózási szint: 2 vagy magasabb

2. táblázat: CBT-események

Esemény

Ismertetés

Ravaszt

3039

A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem sikerült érvényesíteni az LDAP-csatorna kötési jogkivonatát.

A következő körülmények bármelyike esetén aktiválódik:

  • Ha egy ügyfél nem megfelelően formázott csatornakötési jogkivonattal (CBT) kísérli meg a kötést, ha a CBT Csoportházirend Támogatott vagy Mindig értékre van állítva.

  • Ha egy olyan ügyfél, amely képes csatornakötésre, nem küld CBT-t, ha a CBT Csoportházirend a Támogatott állapot értékre van állítva.Az ügyfél akkor képes csatornakötésre, ha az EPA szolgáltatás telepítve van vagy elérhető az operációs rendszerben, és nem tiltható le a SuppressExtendedProtection beállításjegyzék-beállításon keresztül. További információ: KB5021989.

  • Ha egy ügyfél nem küld CBT-t, ha a CBT Csoportházirend Always értékre van állítva.

Minimális naplózási szint: 2

3040

Az előző 24 órás időszakban a nem védett LDAPs-kötések száma lett végrehajtva.

24 óránként aktiválódik, ha a CBT Csoportházirend Értéke Soha, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0

3041

A címtárkiszolgáló biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-csatornakötési jogkivonatok érvényesítésének kikényszerítésére.

24 óránként aktiválódik indításkor vagy szolgáltatás indításakor, ha a CBT Csoportházirend Értéke Soha. Minimális naplózási szint: 0

A naplózási szint beállításához használja a következőhöz hasonló parancsot:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

További információ az Active Directory diagnosztikai eseménynaplózásának konfigurálásáról: Az Active Directory és az LDS diagnosztikai eseménynaplózásának konfigurálása.

2023. augusztus 8-i frissítések

Egyes ügyfélszámítógépek nem használhatnak LDAP-csatornakötési jogkivonatokat az Active Directory-tartományvezérlőkhöz (TARTOMÁNYVEZÉRLŐK) való kötéshez. A Microsoft 2023. augusztus 8-án kiad egy biztonsági frissítést. Windows Server 2022 esetén ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. A 3074-ös és 3075-ös CBT-eseményeket a Címtárszolgáltatás eseménynaplójában a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrással engedélyezheti.

Fontos A 2023. augusztus 8-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.

A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.

3. táblázat: CBT-események

Esemény

Ismertetés

Ravaszt

3074

A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és ha a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kényszerítésére lett konfigurálva, a csatornakötési jogkivonatok érvényesítése meghiúsult volna.

A következő körülmények bármelyike esetén aktiválódik:

  • Ha egy ügyfél nem megfelelően formázott csatornakötési jogkivonattal (CBT) próbál kötést létrehozni

Minimális naplózási szint: 2

3075

A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem adott meg csatornakötési információkat. Ha ez a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kikényszerítésére van konfigurálva, a rendszer elutasítja ezt a kötési műveletet.

A következő körülmények bármelyike esetén aktiválódik:

  • Ha egy csatornakötésre képes ügyfél nem küld CBT-t

  • Az ügyfél akkor képes csatornakötésre, ha az EPA szolgáltatás telepítve van vagy elérhető az operációs rendszerben, és nem tiltható le a SuppressExtendedProtection beállításjegyzék-beállításon keresztül. További információ: KB5021989.

Minimális naplózási szint: 2

Megjegyzés Ha a naplózási szintet legalább 2-esre állítja, a rendszer a 3074-es eseményazonosítót naplózza. A rendszergazdák ezzel naplózhatják a környezetüket olyan ügyfelek esetében, amelyek nem működnek csatornakötési jogkivonatokkal. Az események a következő diagnosztikai adatokat tartalmazzák az ügyfelek azonosításához:

Client IP address: 192.168.10.5:62709 Identitás, amelyet az ügyfél a következőként próbált hitelesíteni: CONTOSO\Rendszergazda Az ügyfél támogatja a csatornakötést:HAMIS Támogatott módban engedélyezett ügyfél:IGAZ Auditeredmény-jelzők:0x42

2023. október 10-i frissítések

A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Az operációs rendszer esetében ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. Engedélyezheti a CBT 3074-ös és 3075-ös eseményeit. Használja a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrást a Címtárszolgáltatás eseménynaplójában.

Fontos A 2023. október 10-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.

A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.

2023. november 14-i frissítések

A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2022-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.

2024. január 9-i frissítések

A 2023 októberében hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.

Ajánlott műveletek

Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb hajtsanak végre a következő lépéseket:

  1. Győződjön meg arról, hogy a 2020. március 10-i vagy újabb Windows-frissítések telepítve vannak a tartományvezérlői szerepkörű számítógépeken. Ha engedélyezni szeretné az LDAP-csatornakötés naplózási eseményeit, győződjön meg arról, hogy a 2023. augusztus 8-i vagy újabb frissítések telepítve vannak a Windows Server 2022 vagy a Server 2019 rendszerű számítógépeken.

  2. Engedélyezze az LDAP-események diagnosztikai naplózását 2 vagy újabb verzióra.

  3. Engedélyezze a 2023. augusztusi vagy 2023. októberi naplózási eseményfrissítéseket a Csoportházirend használatával. Ezt a lépést kihagyhatja, ha telepítette a Windows Server 2022 2023. novemberi vagy újabb frissítéseit. Ha telepítette a Windows Server 2019 2024. januári vagy újabb frissítéseit, kihagyhatja ezt a lépést is.

    • Töltse le a két engedélyező MSI-t operációsrendszer-verziónként a Microsoft letöltőközpontból:

    • Bontsa ki az MSI-ket a szabályzatdefiníciókat tartalmazó új ADMX-fájlok telepítéséhez. Ha a Central Store-t használja a Csoportházirend, másolja az ADMX-fájlokat a központi tárolóba.

    • Alkalmazza a megfelelő szabályzatokat a tartományvezérlők szervezeti egységére vagy a Server 2022 vagy Server 2019 tartományvezérlők egy részhalmazára.

    • A módosítások érvénybe léptetéséhez indítsa újra a tartományvezérlőt.

  4. Monitorozza a Címtárszolgáltatások eseménynaplót az összes olyan tartományvezérlői szerepkörű számítógépen, amely a következőre szűrt:

    • LDAP-aláírási hibaesemény 2889 az 1. táblában.

    • AZ LDAP-csatorna kötésének 3039-es hibaeseménye a 2. táblában.

    • AZ LDAP-csatornakötés 3074-es és 3075-ös naplózási eseményei a 3. táblázatban.

      Megjegyzés A 3039-es, 3074-es és 3075-ös események csak akkor hozhatók létre, ha a Csatornakötés értéke Támogatott vagy Mindig.

  5. Azonosítsa az eszköz típusát, típusát és típusát a következő által hivatkozott IP-címekhez:

    • 2889-s esemény aláíratlan LDAP-hívások kezdeményezéséhez

    • 3039-es esemény az LDAP-csatornakötés használatának kihagyásáért

    • 3074-es vagy 3075-ös esemény, ha nem lehet LDAP-csatornakötést alkalmazni

Eszköztípusok

Az eszköztípusok csoportosítása 3 kategóriából 1-be:

  1. Berendezés vagy útválasztó –

    • Lépjen kapcsolatba az eszközszolgáltatóval.

  2. Windows operációs rendszeren nem futó eszköz –

    • Ellenőrizze, hogy az LDAP-csatornakötés és az LDAP-aláírás is támogatott-e az operációs rendszeren és az alkalmazásban. Ehhez használja az operációs rendszert és az alkalmazásszolgáltatót.

  3. Windows operációs rendszeren futó eszköz –

    • Az LDAP-aláírást minden alkalmazás használhatja a Windows összes támogatott verziójában. Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-aláírást használ-e.

    • Az LDAP-csatornakötéshez minden Windows-eszközön telepítve kell lennie a CVE-2017-8563-nak . Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-csatornakötést használ-e.

Használjon helyi, távoli, általános vagy eszközspecifikus nyomkövetési eszközöket. Ilyenek például a hálózati rögzítések, a folyamatkezelő vagy a hibakeresési nyomkövetések. Állapítsa meg, hogy az alapvető operációs rendszer, szolgáltatás vagy alkalmazás aláíratlan LDAP-kötéseket hajt-e végre, vagy nem használja a CBT-t.

Használja a Windows Feladatkezelőt vagy annak megfelelőt a folyamatazonosítónak a folyamat, a szolgáltatás és az alkalmazásnevek megfeleltetéséhez.

Biztonsági frissítési ütemterv

A 2020. március 10-i frissítés új vezérlőkkel bővítette a rendszergazdák számára az LDAP-csatornakötés és az LDAP-aláírás konfigurálásának megerősítését az Active Directory-tartományvezérlőkön. A 2023. augusztus 8-i és október 10-i frissítések lehetőséget adnak a rendszergazdáknak az LDAP-csatornakötési jogkivonatokat nem használó ügyfélgépek naplózására. Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb meghozhassák az ebben a cikkben javasolt műveleteket.

Céldátum

Esemény

A következőkre vonatkozik:

2020. március 10.

Kötelező: A biztonsági frissítés az Windows Update minden támogatott Windows-platformon elérhető.

Megjegyzés A standard támogatáson kívüli Windows-platformok esetében ez a biztonsági frissítés csak a vonatkozó kiterjesztett támogatási programokon keresztül érhető el.

Az LDAP-csatornakötések támogatását a CVE-2017-8563 adta hozzá a Windows Server 2008 és újabb verziókon. A csatornakötési jogkivonatok a Windows 10 1709-es és újabb verzióiban támogatottak.

A Windows XP nem támogatja az LDAP-csatornakötést, és sikertelen lenne, ha az LDAP-csatornakötés Always érték használatával van konfigurálva, de együttműködne a konfigurált nic-ekkel, hogy lazább LDAP-csatornakötési beállítást használjanak ( Ha támogatott).

Windows Server 2022

Windows 10, 20H2-es verzió

Windows 10, 1909-es verzió (19H2) Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Kiterjesztett biztonsági frissítés (ESU))

2023. augusztus 8.

Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2022-ben.

Windows Server 2022

2023. október 10.

Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2019-ben.

Windows Server 2019

2023. november 14.

Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2022-ben (az ajánlott műveletek 3. lépésében leírtak szerint).

Windows Server 2022

2024. január 9.

Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2019-ben (az ajánlott műveletek 3. lépésében leírtak szerint).

Windows Server 2019

Gyakori kérdések

Az LDAP-csatornakötéssel és az Active Directory-tartományvezérlők ldAP-aláírásával kapcsolatos gyakori kérdésekre adott válaszokért lásd:

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.