Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Aggiornato 01/09/2024

Visualizzare nuovi contenuti negli aggiornamenti del 9 gennaio 2024.

Introduzione

Il binding di canale LDAP e la firma LDAP offrono modi per aumentare la sicurezza per le comunicazioni tra client LDAP e controller di dominio Active Directory. Un set di configurazioni predefinite non sicure per il binding di canale LDAP e la firma LDAP esistono nei controller di dominio Active Directory che consentono ai client LDAP di comunicare con loro senza applicare il binding di canale LDAP e la firma LDAP. In questo modo è possibile aprire i controller di dominio di Active Directory a una vulnerabilità nell'elevazione dei privilegi.

Questa vulnerabilità potrebbe consentire a un utente malintenzionato man-in-the-middle di inoltrare correttamente una richiesta di autenticazione a un server di dominio Microsoft che non è stato configurato per richiedere l'associazione del canale, la firma o il sealing sulle connessioni in ingresso.

Microsoft consiglia agli amministratori di applicare la protezione avanzata descritta in ADV190023.

Il 10 marzo 2020 microsoft risolve questa vulnerabilità fornendo agli amministratori le seguenti opzioni per la protezione avanzata delle configurazioni per il binding di canale LDAP nei controller di dominio Active Directory:

  • Controller di dominio: requisiti del token di binding di canale del server LDAP Criteri di gruppo.

  • Eventi 3039, 3040 e 3041 di firma dei token di associazione dei canali (CBT) con Microsoft-Windows-Active Directory_DomainService nel registro eventi del servizio directory.

Importante: gli aggiornamenti del 10 marzo 2020 e gli aggiornamenti nel prossimo futuro non cambieranno i criteri predefiniti di firma LDAP o binding di canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Il criterio Controller di dominio con firma LDAP: i requisiti di firma del server LDAP esistono già in tutte le versioni supportate di Windows. A partire da Windows Server 2022, 23H2 Edition, tutte le nuove versioni di Windows conterranno tutte le modifiche in questo articolo.

Perché è necessaria questa modifica

La sicurezza dei controller di dominio Active Directory può essere notevolmente migliorata configurando il server per rifiutare binding LDAP SASL (Simple Authentication and Security Layer) che non richiedono la firma (verifica dell'integrità) o per rifiutare binding semplici LDAP eseguiti su una connessione non crittografata con testo non SSL/TLS. I binding SASL possono includere protocolli quali Negotiate, Kerberos, NTLM e Digest.

Il traffico di rete non firmato è suscettibile agli attacchi replay, che consentono a un intruso di intercettare il tentativo di autenticazione e l'emissione di un ticket. L'intruso potrà quindi riutilizzare il ticket per rappresentare l'utente legittimo. Inoltre, il traffico di rete non firmato è suscettibile agli attacchi man-in-the-middle (MiTM) in cui un intruso acquisisce pacchetti tra il client e il server, modifica i pacchetti e quindi li inoltra al server. Se ciò si verifica in un controller di Dominio di Active Directory, un utente malintenzionato può causare a un server di prendere decisioni basate su richieste contraffatte dal client LDAP. LDAPS usa una porta di rete distinta per connettere client e server. La porta predefinita per LDAP è la porta 389, ma LDAPS usa la porta 636 e stabilisce SSL/TLS quando ci si connette a un client.

I token di associazione dei canali contribuiscono a rendere l'autenticazione LDAP tramite SSL/TLS più sicura contro gli attacchi man-in-the-middle.

Aggiornamenti del 10 marzo 2020

Importante Gli aggiornamenti del 10 marzo 2020 non modificano i criteri predefiniti per la firma LDAP o il binding di canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Gli aggiornamenti di Windows rilasciati il 10 marzo 2020 aggiungono le funzionalità seguenti:

  • I nuovi eventi vengono registrati nel Visualizzatore eventi correlati al binding di canale LDAP. Per informazioni dettagliate su questi eventi, vedere tabella 1 e tabella 2 .

  • Un nuovo controller di dominio: i requisiti del token di binding di canale del server LDAP Criteri di gruppo per configurare il binding di canale LDAP nei dispositivi supportati.

Il mapping tra le impostazioni dei criteri di firma LDAP e le impostazioni del Registro di sistema è incluso come segue:

  • Impostazione dei criteri: "Controller di dominio: requisiti di firma server LDAP"

  • Impostazione del Registro di sistema: LDAPServerIntegrity

  • Datatype: DWORD

  • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

impostazione Criteri di gruppo

Impostazione del Registro di sistema

Nessuno

1

Richiedi firma

2

Il mapping tra le impostazioni dei criteri di associazione canale LDAP e le impostazioni del Registro di sistema è incluso come segue:

  • Impostazione dei criteri: "Controller di dominio: requisiti del token di binding di canale del server LDAP"

  • Impostazione del Registro di sistema: LdapEnforceChannelBinding

  • Datatype: DWORD

  • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

impostazione Criteri di gruppo

Impostazione del Registro di sistema

Mai

0

Se supportato

1

Sempre

2

Tabella 1: eventi di firma LDAP

Descrizione

Grilletto

2886

La sicurezza di questi controller di dominio può essere notevolmente migliorata configurando il server per applicare la convalida della firma LDAP.

Attivato ogni 24 ore, all'avvio o all'avvio del servizio se il Criteri di gruppo è impostato su Nessuno. Livello di registrazione minimo: 0 o superiore

2887

La sicurezza di questi controller di dominio può essere migliorata configurandoli per rifiutare le richieste di binding LDAP semplici e altre richieste di binding che non includono la firma LDAP.

Attivato ogni 24 ore quando Criteri di gruppo è impostato su Nessuno e è stato completato almeno un binding non protetto. Livello di registrazione minimo: 0 o superiore

2888

La sicurezza di questi controller di dominio può essere migliorata configurandoli per rifiutare le richieste di binding LDAP semplici e altre richieste di binding che non includono la firma LDAP.

Attivato ogni 24 ore quando Criteri di gruppo è impostato su Richiedi firma e almeno un binding non protetto è stato rifiutato. Livello di registrazione minimo: 0 o superiore

2889

La sicurezza di questi controller di dominio può essere migliorata configurandoli per rifiutare le richieste di binding LDAP semplici e altre richieste di binding che non includono la firma LDAP.

Attivato quando un client non usa la firma per le associazioni sulle sessioni sulla porta 389. Livello di registrazione minimo: 2 o superiore

Tabella 2: eventi CBT

Evento

Descrizione

Grilletto

3039

Il client seguente ha eseguito un binding LDAP su SSL/TLS e non è riuscita la convalida del token di binding di canale LDAP.

Attivato in una delle seguenti circostanze:

  • Quando un client tenta di eseguire l'associazione con un CBT (Channel Binding Token) formattato in modo errato se il Criteri di gruppo CBT è impostato su Quando supportato o Sempre.

  • Quando un client che supporta il binding di canale non invia un CBT se il Criteri di gruppo CBT è impostato su Quando supportato. Un client è in grado di associazione dei canali se la caratteristica EPA è installata o disponibile nel sistema operativo e non è disabilitata tramite l'impostazione del Registro di sistema SuppressExtendedProtection. Per altre informazioni, vedi KB5021989.

  • Quando un cliente non invia un CBT se il Criteri di gruppo CBT è impostato su Sempre.

Livello di registrazione minimo: 2

3040

Durante il periodo di 24 ore precedente, è stato eseguito il numero di bind LDAP non protetti.

Attivato ogni 24 ore quando il Criteri di gruppo CBT è impostato su Mai e almeno un binding non protetto è stato completato. Livello di registrazione minimo: 0

3041

La sicurezza di questo server di directory può essere notevolmente migliorata configurando il server per applicare la convalida dei token di binding di canale LDAP.

Attivato ogni 24 ore, all'avvio o all'avvio del servizio se il Criteri di gruppo CBT è impostato su Mai. Livello di registrazione minimo: 0

Per impostare il livello di registrazione nel Registro di sistema, usare un comando simile al seguente:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Per ulteriori informazioni su come configurare la registrazione eventi di diagnostica di Active Directory, vedere Come configurare la registrazione eventi di diagnostica di Active Directory e LDS.

Aggiornamenti dell'8 agosto 2023

Alcuni computer client non possono usare token di binding di canale LDAP da associare ai controller di dominio Active Directory. Microsoft rilascerà un aggiornamento della sicurezza l'8 agosto 2023. Per Windows Server 2022, questo aggiornamento aggiunge opzioni per gli amministratori per controllare questi client. Puoi abilitare gli eventi CBT 3074 e 3075 con l'origine dell'evento **Microsoft-Windows-ActiveDirectory_DomainService** nel registro eventi del servizio directory.

Importante L'aggiornamento dell'8 agosto 2023 non modifica la firma LDAP, i criteri predefiniti di binding di canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Tutte le indicazioni nella sezione degli aggiornamenti di marzo 2020 si applicano anche qui. I nuovi eventi di controllo richiederanno i criteri e le impostazioni del Registro di sistema descritti nelle indicazioni precedenti. È anche disponibile un passaggio di abilitazione per visualizzare i nuovi eventi di controllo. I nuovi dettagli di implementazione si trovano nella sezione Azioni consigliate seguente.

Tabella 3: eventi CBT

Evento

Descrizione

Grilletto

3074

Il client seguente ha eseguito un binding LDAP su SSL/TLS e non è riuscita la convalida del token di binding di canale se il server di directory è stato configurato per applicare la convalida dei token di binding di canale.

Attivato in una delle seguenti circostanze:

  • Quando un client tenta di eseguire l'associazione con un token di associazione canale (CBT) formattato in modo errato

Livello di registrazione minimo: 2

3075

Il client seguente ha eseguito un binding LDAP su SSL/TLS e non ha fornito informazioni sul binding di canale. Quando questo server di directory è configurato per applicare la convalida dei token di binding di canale, questa operazione di binding verrà rifiutata.

Attivato in una delle seguenti circostanze:

  • Quando un client in grado di binding di canale non invia un CBT

  • Un client è in grado di associazione dei canali se la caratteristica EPA è installata o disponibile nel sistema operativo e non è disabilitata tramite l'impostazione del Registro di sistema SuppressExtendedProtection. Per altre informazioni, vedi KB5021989.

Livello di registrazione minimo: 2

Nota Quando si imposta il livello di registrazione su almeno 2, viene registrato l'ID evento 3074. Gli amministratori possono usare questa opzione per controllare l'ambiente per i client che non funzionano con i token di associazione dei canali. Gli eventi conterranno le seguenti informazioni diagnostiche per identificare i client:

Client IP address: 192.168.10.5:62709 Identità del client tentato di eseguire l'autenticazione come: CONTOSO\Amministratore Il client supporta binding di canale:FALSE Client consentito in modalità supportata:TRUE Contrassegni dei risultati di controllo:0x42

Aggiornamenti del 10 ottobre 2023

Le modifiche di controllo aggiunte ad agosto 2023 sono ora disponibili in Windows Server 2019. Per questo sistema operativo, questo aggiornamento aggiunge opzioni per gli amministratori per controllare questi client. Puoi abilitare gli eventi CBT 3074 e 3075. Usare l'origine evento **Microsoft-Windows-ActiveDirectory_DomainService** nel registro eventi del servizio directory.

Importante L'aggiornamento del 10 ottobre 2023 non modifica la firma LDAP, i criteri predefiniti di binding di canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Tutte le indicazioni nella sezione degli aggiornamenti di marzo 2020 si applicano anche qui. I nuovi eventi di controllo richiederanno i criteri e le impostazioni del Registro di sistema descritti nelle indicazioni precedenti. È anche disponibile un passaggio di abilitazione per visualizzare i nuovi eventi di controllo. I nuovi dettagli di implementazione si trovano nella sezione Azioni consigliate seguente.

Aggiornamenti del 14 novembre 2023

Le modifiche di controllo aggiunte ad agosto 2023 sono ora disponibili in Windows Server 2022. Non è necessario installare gli msi o creare criteri come descritto nel passaggio 3 delle azioni consigliate.

Aggiornamenti del 9 gennaio 2024

Le modifiche di controllo aggiunte a ottobre 2023 sono ora disponibili in Windows Server 2019. Non è necessario installare gli msi o creare criteri come descritto nel passaggio 3 delle azioni consigliate.

Azioni consigliate

Consigliamo vivamente ai clienti di eseguire i passaggi seguenti al più presto:

  1. Verificare che gli aggiornamenti di Windows del 10 marzo 2020 o versione successiva siano installati nei computer con ruolo di controller di dominio. Se si desidera abilitare gli eventi di controllo Binding di canale LDAP, verificare che gli aggiornamenti dell'8 agosto 2023 o successivi siano installati nei controller di dominio di Windows Server 2022 o Server 2019.

  2. Abilitare la registrazione diagnostica degli eventi LDAP a 2 o versione successiva.

  3. Abilitare gli aggiornamenti degli eventi di controllo di agosto 2023 o ottobre 2023 usando Criteri di gruppo. È possibile ignorare questo passaggio se sono stati installati gli aggiornamenti di novembre 2023 o successivi in Windows Server 2022. Se hai installato gli aggiornamenti di gennaio 2024 o successivi in Windows Server 2019, puoi anche ignorare questo passaggio.

    • Scarica i due msi di abilitazione per versione del sistema operativo dall'Area download Microsoft:

    • Espandere gli msi per installare i nuovi file ADMX che contengono le definizioni dei criteri. Se usi l'archivio centrale per Criteri di gruppo, copia i file ADMX nell'archivio centrale.

    • Applicare i criteri corrispondenti all'unità organizzativa controller di dominio o a un sottoinsieme dei controller di dominio Server 2022 o Server 2019.

    • Riavviare il controller di dominio per rendere effettive le modifiche.

  4. Monitorare il registro eventi di Servizi directory in tutti i computer con ruolo di controller di dominio filtrati per:

    • Evento di errore di firma LDAP 2889 nella tabella 1.

    • Evento di errore di binding di canale LDAP 3039 nella tabella 2.

    • Eventi di controllo Binding di canale LDAP 3074 e 3075 nella tabella 3.

      Nota Gli eventi 3039, 3074 e 3075 possono essere generati solo quando Associazione canale è impostato su Quando supportato o Sempre.

  5. Identificare la make, il modello e il tipo di dispositivo per ogni indirizzo IP citato da:

    • Evento 2889 per effettuare chiamate LDAP non firmate

    • Evento 3039 per non utilizzo del binding di canale LDAP

    • Evento 3074 o 3075 per non essere in grado di binding di canale LDAP

Tipi di dispositivi

Raggruppa i tipi di dispositivo in 1 di 3 categorie:

  1. Accessorio o router -

    • Contatta il provider di dispositivi.

  2. Dispositivo che non viene eseguito in un sistema operativo Windows -

    • Verificare che sia il binding di canale LDAP che la firma LDAP siano supportati nel sistema operativo e nell'applicazione. A tale scopo, usare il sistema operativo e il provider di applicazioni.

  3. Dispositivo che viene eseguito in un sistema operativo Windows -

    • La firma LDAP è disponibile per l'uso da parte di tutte le applicazioni in tutte le versioni supportate di Windows. Verificare che l'applicazione o il servizio usi la firma LDAP.

    • Il binding di canale LDAP richiede che in tutti i dispositivi Windows sia installato CVE-2017-8563 . Verificare che l'applicazione o il servizio usi il binding di canale LDAP.

Usare strumenti di traccia locali, remoti, generici o specifici del dispositivo. Tra questi vi sono acquisizioni di rete, gestione processi o tracce di debug. Determinare se il sistema operativo di base, un servizio o un'applicazione esegue binding LDAP non firmati o non usa CBT.

Usare Gestione attività di Windows o un equivalente per eseguire il mapping dell'ID processo ai nomi di processi, servizi e applicazioni.

Pianificazione dell'aggiornamento della sicurezza

L'aggiornamento del 10 marzo 2020 ha aggiunto controlli per gli amministratori per la protezione avanzata delle configurazioni per il binding di canale LDAP e la firma LDAP nei controller di dominio Active Directory. Gli aggiornamenti dell'8 agosto e del 10 ottobre 2023 aggiungono agli amministratori opzioni per controllare i computer client che non possono usare token di binding di canale LDAP. Consigliamo vivamente ai clienti di eseguire le azioni consigliate in questo articolo al più presto.

Data target

Evento

Si applica a

10 marzo 2020

Obbligatorio: aggiornamento della sicurezza disponibile in Windows Update per tutte le piattaforme Windows supportate.

Nota Per le piattaforme Windows non supportate dal supporto standard, questo aggiornamento della sicurezza sarà disponibile solo tramite i programmi di supporto Extended applicabili.

Il supporto per il binding di canale LDAP è stato aggiunto da CVE-2017-8563 in Windows Server 2008 e versioni successive. I token di associazione dei canali sono supportati in Windows 10, versione 1709 e versioni successive.

Windows XP non supporta il binding di canale LDAP e ha esito negativo quando il binding di canale LDAP è configurato utilizzando un valore Always ma interagenterebbe con controller di dominio configurati per utilizzare un'impostazione di binding di canale LDAP più rilassata di Quando supportato.

Windows Server 2022

Windows 10, versione 20H2

Windows 10, versione 1909 (19H2) Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (aggiornamento della sicurezza estesa) Windows Server 2008 SP2 (Aggiornamento della sicurezza estesa)

8 agosto 2023

Aggiunge eventi di controllo del token di binding di canale LDAP (3074 & 3075). Sono disabilitati per impostazione predefinita in Windows Server 2022.

Windows Server 2022

10 ottobre 2023

Aggiunge eventi di controllo del token di binding di canale LDAP (3074 & 3075). Sono disabilitati per impostazione predefinita in Windows Server 2019.

Windows Server 2019

14 novembre 2023

Gli eventi di controllo del token di binding di canale LDAP sono disponibili in Windows Server 2022 senza installare un msi di abilitazione (come descritto nel passaggio 3 delle azioni consigliate).

Windows Server 2022

9 gennaio 2024

Gli eventi di controllo del token di binding di canale LDAP sono disponibili in Windows Server 2019 senza installare un msi di abilitazione (come descritto nel passaggio 3 delle azioni consigliate).

Windows Server 2019

Domande frequenti

Per le risposte alle domande frequenti sul binding di canale LDAP e sulla firma LDAP nei controller di dominio Active Directory, vedere:

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.