Atjaunināts 09.01.2024.
Skatiet jaunu saturu 2024. gada 9. janvāra atjauninājumos.
Ievads
LDAP kanālu saistīšana un LDAP parakstīšana nodrošina veidus, kā palielināt sakaru drošību starp LDAP klientiem un Active Directory domēnu kontrolleriem. Nedrošu noklusējuma konfigurāciju kopa LDAP kanāla saistīšanai un LDAP parakstīšanai pastāv Active Directory domēna kontrolleros, kas ļauj LDAP klientiem sazināties ar viņiem, nesācot LDAP kanāla saistīšanu un LDAP pierakstīšanos. Tādējādi var atvērt Active Directory domēna kontrollerus, lai paplašinātu privilēģiju ievainojamību.
Šī ievainojamība var atļaut starpnieku uzbrukumam sekmīgi pārsūtīt autentifikācijas pieprasījumu Microsoft domēna serverim, kas nav konfigurēts pieprasīt kanāla saistīšanu, pierakstīšanos vai apzīmogošanu ienākošajiem savienojumiem.
Microsoft iesaka administratoriem veikt šajā rakstā ADV190023.
2020. gada 10. martā mēs risinām šo ievainojamību, nodrošinot administratoriem tālāk norādītās opcijas, lai administratoriem paplašinātu LDAP kanālu saistīšanas konfigurāciju Active Directory domēna kontrolleros:
-
Domēna kontrolleris: LDAP servera kanāla saistīšanas pilnvaru prasības Grupas politika.
-
Kanāla saistīšanas marķieru (CBT) parakstīšanas notikumi 3039, 3040 un 3041 ar notikumu sūtītāju Microsoft-Windows-Active Directory_DomainService direktorija pakalpojuma notikumu žurnālā.
Svarīgi! 2020. gada 10. marta atjauninājumi un atjauninājumi paredzamajā nākotnē nemainīs LDAP pierakstīšanos vai LDAP kanālu saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory domēnu kontrolleriem.
LDAP parakstīšanas domēna kontrolleris LDAP serveru parakstīšanas prasību politika jau pastāv visās atbalstītās Windows versijās. Sākot ar Windows Server 2022, 23H2 Edition, visās jaunajās Windows versijās būs visas šajā rakstā ietvertās izmaiņas.
Kāpēc šīs izmaiņas ir nepieciešamas
Active Directory domēnu kontrolleru drošību var ievērojami uzlabot, konfigurējot serveri, lai noraidītu vienkāršās autentifikācijas un drošības slāņa (SASL) LDAP piesaisti, ar kurām netiek pieprasīta parakstīšana (integritātes pārbaude) vai noraidītu LDAP vienkāršos saistījumus, kas tiek veikti ar notīrītu teksta (ne SSL/TLS šifrētu) savienojumu. SASL var būt iekļauti protokoli, piemēram, Negotiate, Kerberos, NTLM un Digest protokoli.
Neparakstīts tīkla trafiks ir jutīgs pret atkārtotiem uzbrukumiem, kuros iebrucējs pārtver autentifikācijas mēģinājumu un biļetes izdošanu. Iebrucējs var atkārtoti izmantot biļeti, lai uzdotos par likumīgu lietotāju. Turklāt neparakstīts tīkla trafiks ir noderīgs tiem, kas atrodas vidū (MiTM) uzbrukumos, kuros neparakstīts tīkla trafiks tver paketes starp klientu un serveri, maina paketes un pēc tam tās pārsūtiet uz serveri. Ja tā notiek Active Directory domēna kontrollerī, uzbrucējs var izraisīt servera pieņemt lēmumus, pamatojoties uz LDAP klienta viltotajiem pieprasījumiem. LDAPS izmanto savu atsevišķu tīkla portu, lai savienotu klientus un serverus. LDAP noklusējuma ports ir ports 389, bet LDAPS izmanto portu 636 un izveido SSL/TLS, izveidojot savienojumu ar klientu.
Kanālu saistīšanas marķieri palīdz padarīt LDAP autentifikāciju, izmantojot SSL/TLS, drošāku pret man-in-the-middle uzbrukumiem.
2020. gada 10. marta atjauninājumi
Svarīgi 2020. gada 10. marta atjauninājumi nemaina LDAP pierakstīšanos vai LDAP kanāla saistījuma noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory domēna kontrolleriem.
Windows atjauninājumi, kas izlaisti 2020. gada 10. martā, pievieno šādus līdzekļus:
-
Ar LDAP kanāla saistījumu Notikumu skatītājs jauni notikumi. Detalizētu informāciju par šiem notikumiem skatiet 1 . tabulā un 2 . tabulā.
-
Jauns domēna kontrolleris: LDAP servera kanāla saistīšanas prasības, kas grupas politika LDAP kanāla saistīšanas konfigurēšana atbalstītās ierīcēs.
Kartēšana starp LDAP parakstīšanas politikas iestatījumiem un reģistra iestatījumiem ir iekļauta tālāk:
-
Politikas iestatījums: "Domēna kontrolleris: LDAP servera parakstīšanas prasības"
-
Reģistra iestatījums: LDAPServerIntegrity
-
DataType: DWORD
-
Reģistra ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
grupas politika iestatījums |
Reģistra iestatījums |
Neviens |
1 |
Pieprasīt pierakstīšanos |
2 |
Kartēšana starp LDAP kanāla saistīšanas politikas iestatījumiem un reģistra iestatījumiem ir šāda:
-
Politikas iestatījums: "Domēna kontrolleris: LDAP servera kanāla saistīšanas pilnvaru prasības"
-
Reģistra iestatījums: LdapEnforceChannelBinding
-
DataType: DWORD
-
Reģistra ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
grupas politika iestatījums |
Reģistra iestatījums |
Nekad |
0 |
Ja tiek atbalstīts |
1 |
Vienmēr |
2 |
1. tabula: LDAP parakstīšanas notikumi
Apraksts |
Trigeris |
|
Šo domēna kontrolleru drošību var ievērojami uzlabot, konfigurējot serveri, lai ieviestu LDAP parakstīšanas validāciju. |
Aktivizē ik pēc 24 stundām, startējot vai sākot pakalpojumu, grupas politika iestatījums ir Nav. Minimālais reģistrēšanas līmenis: 0 vai lielāks |
|
Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos. |
Aktivizēja ik pēc 24 stundām, grupas politika iestatīta uz Nav un tika pabeigta vismaz viena neaizsargāta saistīšana. Minimālais reģistrēšanas līmenis: 0 vai lielāks |
|
Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos. |
Aktivizēja ik pēc 24 stundām, grupas politika iestatīta uz Pieprasīt pierakstīšanos, un vismaz viena neaizsargāta saistīšana tika noraidīta. Minimālais reģistrēšanas līmenis: 0 vai lielāks |
|
Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos. |
Izraisīta, ja klients neizmanto pierakstīšanos saistīšanai 389. porta sesijās. Minimālais reģistrēšanas līmenis: 2 vai lielāks |
2. tabula: CBT notikumi
Notikums |
Apraksts |
Trigeris |
3039 |
Tālāk redzamais klients veica LDAP saistīšanu ar SSL/TLS un neizdevās LDAP kanāla saistīšanas pilnvaras validācija. |
Izraisīta jebkurā no šiem apstākļiem:
Minimālais reģistrēšanas līmenis: 2 |
3040 |
Iepriekšējā 24 stundu periodā tika veiktas # no neaizsargātām LDAP. |
Aktivizēja ik pēc 24 stundām, grupas politika CBT aktivizēšanu uz Nekad un tika pabeigta vismaz viena neaizsargāta saistīšana. Minimālais reģistrēšanas līmenis: 0 |
3041 |
Šī direktorija servera drošību var ievērojami uzlabot, konfigurējot serveri, lai ieviestu LDAP kanāla saistīšanas marķieru validāciju. |
Aktivizē ik pēc 24 stundām, startējot vai sākot pakalpojumu, ja CBT grupas politika iestatīta uz Nekad. Minimālais reģistrēšanas līmenis: 0 |
Lai iestatītu reģistrēšanas līmeni reģistrā, izmantojiet komandu, kas ir līdzīga tālāk redzamai komandai.
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Papildinformāciju par Active Directory diagnostikas notikumu reģistrēšanas konfigurēšanu skatiet rakstā Active Directory un LDS diagnostikas notikumu reģistrēšanas konfigurēšana.
2023. gada 8. augusta atjauninājumi
Daži klientu datori nevar izmantot LDAP kanālu saistīšanas pilnvaras, lai saistītu ar Active Directory domēna kontrolleriem (Active Directory domain controllers — DC). Microsoft izlaidīs 2023. gada 8. augusta drošības atjauninājumu. Ja jums ir Windows Server 2022, šis atjauninājums pievieno opcijas administratoriem auditēšanas šiem klientiem. Varat iespējot CBT notikumus 3074 un 3075 ar notikuma avotu **Microsoft-Windows-ActiveDirectory_DomainService** direktorija pakalpojuma notikumu žurnālā.
Svarīgi 2023. gada 8. augusta atjauninājums nemaina LDAP pierakstīšanos, LDAP kanālu saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory DC.
Šeit ir spēkā arī visi 2020. gada marta atjauninājumu sadaļā sniegtie norādījumi. Jaunajiem auditēšanas notikumiem būs nepieciešama iepriekš minētajos norādījumos izklāstītā politika un reģistra iestatījumi. Ir arī iespējošanas darbība, lai skatītu jaunos audita notikumus. Jaunā detalizētā informācija par ieviešanu ir sniegta tālāk sadaļā Ieteicamās darbības.
3. tabula: CBT notikumi
Notikums |
Apraksts |
Trigeris |
3074 |
Tālāk redzamais klients veica LDAP saistīšanu pār SSL/TLS un nav veicis kanāla saistīšanas pilnvaras validāciju, ja direktorija serveris ir konfigurēts ieviest kanāla saistīšanas marķieru validāciju. |
Izraisīta jebkurā no šiem apstākļiem:
Minimālais reģistrēšanas līmenis: 2 |
3075 |
Tālāk redzamais klients veica LDAP saistīšanu ar SSL/TLS un nesniedza kanāla saistīšanas informāciju. Kad šis direktorija serveris ir konfigurēts, lai ieviestu kanāla saistīšanas marķieru validāciju, šī saistīšanas darbība tiks noraidīta. |
Izraisīta jebkurā no šiem apstākļiem:
Minimālais reģistrēšanas līmenis: 2 |
Piezīme Iestatot reģistrēšanas līmeni vismaz 2, tiek reģistrēts notikuma ID 3074. Administratori to var izmantot, lai auditēt savu vidi klientiem, kas nedarbojas ar kanālu saistīšanas marķieriem. Notikumi saturēs šādu diagnostikas informāciju, lai identificētu klientus:
Client IP address: 192.168.10.5:62709 Identitāte, kuru klients mēģināja autentificēt kā: CONTOSO\Administrators Klients atbalsta kanāla saistīšanu:FALSE Klients atļauts, ja tiek atbalstīts režīms:TRUE Audita rezultātu karodziņi:0x42
2023. gada 10. oktobra atjauninājumi
2023. gada augustā pievienotās auditēšanas izmaiņas tagad ir pieejamas sistēmā Windows Server 2019. Attiecībā uz šo OS šis atjauninājums pievieno administratoru opcijas auditam šos klientus. Varat iespējot CBT notikumus 3074 un 3075. Izmantojiet notikuma avotu **Microsoft-Windows-ActiveDirectory_DomainService** direktorija pakalpojuma notikumu žurnālā.
Svarīgi 2023. gada 10. oktobra atjauninājums nemaina LDAP pierakstīšanos, LDAP kanāla saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunos vai esošos Active Directory DC datoros.
Šeit ir spēkā arī visi 2020. gada marta atjauninājumu sadaļā sniegtie norādījumi. Jaunajiem auditēšanas notikumiem būs nepieciešama iepriekš minētajos norādījumos izklāstītā politika un reģistra iestatījumi. Ir arī iespējošanas darbība, lai skatītu jaunos audita notikumus. Jaunā detalizētā informācija par ieviešanu ir sniegta tālāk sadaļā Ieteicamās darbības.
2023. gada 14. novembra atjauninājumi
2023. gada augustā pievienotās auditēšanas izmaiņas tagad ir pieejamas sistēmā Windows Server 2022. Jums nav jāinstalē MSI vai jāizveido politikas, kā minēts ieteicamo darbību 3. darbībā.
2024. gada 9. janvāra atjauninājumi
2023. gada oktobrī pievienotās auditēšanas izmaiņas tagad ir pieejamas operētājsistēmā Windows Server 2019. Jums nav jāinstalē MSI vai jāizveido politikas, kā minēts ieteicamo darbību 3. darbībā.
Ieteicamās darbības
Mēs stingri iesakām klientiem agrākā iespēja veikt šādas darbības:
-
Pārliecinieties, vai domēna kontrollera (DC) lomu datoros ir instalēti 2020. gada 10. marta vai jaunākas versijas Windows atjauninājumi. Ja vēlaties iespējot LDAP kanāla saistīšanas audita notikumus, pārliecinieties, vai Windows Server 2022 vai Server 2019 DC ir instalēti 2023. gada 8. augusta vai jaunākas versijas atjauninājumi.
-
Iespējojiet LDAP notikumu diagnostikas reģistrēšanu uz 2 vai jaunāku versiju.
-
Iespējojiet 2023. gada augusta vai 2023. gada oktobra auditēšanas notikumu atjauninājumus, izmantojot grupas politika. Šo darbību varat izlaist, ja esat instalējis 2023. gada novembra vai jaunāku windows Server 2022 atjauninājumu. Ja esat instalējis 2024. gada janvāra vai jaunāku versiju atjauninājumus operētājsistēmā Windows Server 2019, varat arī izlaist šo darbību.
-
Lejupielādējiet abus iespējotos MSI katrai operētājsistēmas versijai no Microsoft lejupielādes centra:
-
Izvērsiet MSI, lai instalētu jaunos ADMX failus, kas satur politikas definīcijas. Ja izmantojat centralizēto veikalu grupas politika, kopējiet ADMX failus centrālajā veikalā.
-
Lietojiet atbilstošās politikas savam domēnu kontrolleru OU vai jūsu Server 2022 vai Server 2019 DC apakškopai.
-
Lai izmaiņas stātos spēkā, restartējiet DC.
-
-
Direktorija pakalpojumu notikumu žurnāla pārraudzība visos dc lomu datoros, kas filtrēti:
-
Identificējiet marku, modeli un ierīces tipu katrai IP adresei, uz ko norāda:
-
Notikums 2889 neparakstītu LDAP izsaukumu veikšanai
-
Notikums 3039 nemanot LDAP kanāla saistījumu
-
Event 3074 vai 3075, ja nav spējīgs LDAP kanāla saistījums
-
Ierīču tipi
Grupējat ierīču tipus 1 no 3 kategorijām:
-
Iekārtu vai maršrutētāju —
-
Sazinieties ar ierīces nodrošinātāju.
-
-
Ierīce, kas nedarbojas operētājsistēmā Windows —
-
Pārliecinieties, vai operētājsistēmā un lietojumprogrammā tiek atbalstīta gan LDAP kanāla saistīšana, gan LDAP parakstīšana. Lai to paveiktu, strādājot ar operētājsistēmas un lietojumprogrammas nodrošinātāju.
-
-
Ierīce, kas darbojas operētājsistēmā Windows —
-
LDAP parakstīšana ir pieejama lietošanai visās lietojumprogrammās visās atbalstītās Windows versijās. Pārliecinieties, vai jūsu lietojumprogramma vai pakalpojums izmanto LDAP pierakstīšanos.
-
LDAP kanāla saistīšanai ir nepieciešams, lai visās Windows ierīcēs būtu instalēta CVE-2017-8563 . Pārbaudiet, vai jūsu lietojumprogramma vai pakalpojums izmanto LDAP kanāla saistījumu.
-
Izmantojiet lokālus, attālus, vispārīgus vai ierīcei specifiskus trasēšanas rīkus. Tie ietver tīkla tveršanu, procesu pārvaldnieku vai atkļūdošanas izsekošanu. Nosakiet, vai pamata operētājsistēma, pakalpojums vai lietojumprogramma veic neparakstītu LDAP piesaisti vai nelieto CBT.
Izmantojiet Windows uzdevumu pārvaldnieku vai ekvivalentu, lai kartētu procesa ID procesā, pakalpojumā un lietojumprogrammu nosaukumos.
Drošības atjauninājumu grafiks
2020. gada 10. marta atjauninājumā pievienotas vadīklas administratoriem, lai administratoriem sarūdītu LDAP kanālu saistīšanas un LDAP parakstīšanas Active Directory domēna kontrolleros konfigurācijas. 2023. gada 8. augusta un 10. oktobra atjauninājumi pievieno administratoru opcijas audita klientu datoriem, kas nevar izmantot LDAP kanāla saistīšanas marķierus. Mēs stingri iesakām klientiem agrākā iespēja veikt šajā rakstā ieteiktās darbības.
Mērķa datums |
Notikums |
Attiecas uz |
2020. gada 10. marts |
Obligāti: drošības atjauninājums ir Windows Update visās atbalstītās Windows platformās. Piezīme Windows platformām, kurām netiek nodrošināts standarta atbalsts, šis drošības atjauninājums būs pieejams tikai attiecīgajās paplašinātā atbalsta programmās. LDAP kanālu saistīšanas atbalstu pievienoja CVE-2017-8563 operētājsistēmā Windows Server 2008 un jaunākās versijās. Kanālu saistīšanas pilnvaras tiek atbalstītas Windows 10 versijā 1709 un jaunākās versijās. Windows XP neatbalsta LDAP kanāla saistīšanu un neizdosies, ja LDAP kanāla saistīšana ir konfigurēta, izmantojot Always vērtību, bet krustoties ar DCs, kas konfigurēti izmantot atslābinošāku LDAP kanāla saistīšanas iestatījumu Ja tiek atbalstīts. |
Windows Server 2022 Windows 10, versija 20H2 Windows 10, versija 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (paplašinātais drošības atjauninājums (ESU)) |
2023. gada 8. augusts |
Pievieno LDAP kanāla saistīšanas pilnvaru auditēšanas notikumus (3074 & 3075). Pēc noklusējuma tie ir atspējoti sistēmā Windows Server 2022. |
Windows Server 2022 |
2023. gada 10. oktobris |
Pievieno LDAP kanāla saistīšanas pilnvaru auditēšanas notikumus (3074 & 3075). Pēc noklusējuma tie ir atspējoti operētājsistēmā Windows Server 2019. |
Windows Server 2019 |
2023. gada 14. novembris |
LDAP kanāla saistīšanas auditēšanas notikumi ir pieejami operētājsistēmā Windows Server 2022 bez iespējošanas MSI instalēšanas (kā aprakstīts sadaļā Ieteicamās darbības 3. darbība). |
Windows Server 2022 |
2024. gada 9. janvāris |
LDAP kanāla saistīšanas auditēšanas notikumi ir pieejami operētājsistēmā Windows Server 2019 bez iespējošanas MSI instalēšanas (kā aprakstīts sadaļā Ieteicamās darbības 3. darbība). |
Windows Server 2019 |
Bieži uzdotie jautājumi
Atbildes uz bieži uzdotiem jautājumiem par LDAP kanālu saistīšanu un LDAP pierakstīšanos Active Directory domēna kontrolleros skatiet tālāk redzamajā rakstā.