Actualizat la 09.01.2024
Vedeți conținut nou în actualizările din 9 ianuarie 2024.
Introducere
Legarea canalului LDAP și semnarea LDAP oferă modalități de a crește securitatea comunicațiilor între clienții LDAP și controlerele de domeniu Active Directory. Un set de configurații implicite nesigure pentru legarea canalului LDAP și semnarea LDAP există pe controlerele de domeniu Active Directory care permit clienților LDAP să comunice cu aceștia fără a impune legarea canalului LDAP și semnarea LDAP. Acest lucru poate deschide controlerele de domeniu Active Directory la o vulnerabilitate de sporire a privilegiilor.
Această vulnerabilitate poate permite unui atacator de tip intermediar să redirecționeze cu succes o solicitare de autentificare către un server de domeniu Microsoft care nu a fost configurat să solicite legarea, semnarea sau închiderea canalului în conexiunile de intrare.
Microsoft recomandă administratorilor să efectueze modificările de consolidare descrise în ADV190023.
Pe 10 martie 2020, remediem această vulnerabilitate, furnizând următoarele opțiuni pentru ca administratorii să inițieze configurațiile pentru legarea canalului LDAP pe controlerele de domeniu Active Directory:
-
Controler de domeniu: cerințele simbolului de legare a canalului de server LDAP Politică de grup.
-
Evenimentele de semnare a tokenurilor de legare a canalelor (CBT) 3039, 3040 și 3041 cu expeditorul evenimentului Microsoft-Windows-Active Directory_DomainService în jurnalul de evenimente al serviciului Directory.
Important: actualizările din 10 martie 2020 și actualizările din viitorul apropiat nu vor modifica politicile implicite de legare a canalului LDAP sau semnarea LDAP sau echivalentul lor de registry pe controlerele de domeniu Active Directory noi sau existente.
Politica privind cerințele de semnare a serverului LDAP pentru controlerul de domeniu: LDAP există deja în toate versiunile acceptate de Windows. Începând cu Windows Server 2022, 23H2 Edition, toate versiunile noi de Windows vor conține toate modificările din acest articol.
De ce este necesară această modificare
Securitatea controlerelor de domeniu Active Directory poate fi îmbunătățită semnificativ prin configurarea serverului pentru a respinge LDAP autentificare simplă și securitate (SASL) care nu solicită semnarea (verificarea integrității) sau pentru a respinge legăturile simple LDAP efectuate pe o conexiune de text clar (non-SSL/TLS-criptată). SASL-urile pot include protocoale de negociere, Kerberos, NTLM și Digest.
Traficul de rețea nesemnat este susceptibil să reia atacurile în care un intrus interceptează încercarea de autentificare și emiterea unui tichet. Intrusul poate reutiliza tichetul pentru a imita utilizatorul legitim. În plus, traficul de rețea nesemnat este sensibil la atacurile om-în-mijloc (MiTM), în care un intrus capturează pachete între client și server, modifică pachetele, apoi le redirecționează către server. Dacă acest lucru se întâmplă pe un controler de domeniu Active Directory, un atacator poate determina un server să ia decizii care se bazează pe solicitări falsificate de la clientul LDAP. LDAPS utilizează propriul său port de rețea distinct pentru a conecta clienții și serverele. Portul implicit pentru LDAP este portul 389, dar LDAPS utilizează portul 636 și stabilește SSL/TLS la conectarea cu un client.
Simbolurile de legare a canalului fac autentificarea LDAP prin SSL/TLS mai sigură împotriva atacurilor de tip intermediar.
Actualizările din 10 martie 2020
Important Actualizările din 10 martie 2020 nu modifică politicile implicite pentru legarea canalului LDAP sau semnarea LDAP sau echivalentul lor de registry pe controlerele de domeniu Active Directory noi sau existente.
Actualizările Windows care vor fi lansate pe 10 martie 2020 adaugă următoarele caracteristici:
-
Evenimentele noi sunt înregistrate în Vizualizator evenimente legate de legătura canal LDAP. Consultați Tabelul 1 și Tabelul 2 pentru detalii despre aceste evenimente.
-
Un controler de domeniu nou: Cerințele simbolului de legare a canalului de server LDAP Politică de grup pentru a configura legătura canal LDAP pe dispozitivele acceptate.
Maparea între setările politicii de semnare LDAP și setările de registry sunt incluse după cum urmează:
-
Setare politică: "Controler de domeniu: Cerințe de semnare a serverului LDAP"
-
Setare registry: LDAPServerIntegrity
-
Datatype: DWORD
-
Cale registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Setare Politică de grup |
Setare registry |
Niciunul |
1 |
Solicitare semnare |
2 |
Maparea între setările politicii de legare a canalului LDAP și setările de registry sunt incluse după cum urmează:
-
Setare politică: "Controler de domeniu: cerințele simbolului de legare a canalului de server LDAP"
-
Setare registry: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Cale registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Setare Politică de grup |
Setare registry |
Niciodată |
0 |
Când se acceptă |
1 |
Întotdeauna |
2 |
Tabelul 1: Evenimente de semnare LDAP
Descriere |
Declanşa |
|
Securitatea acestor controlere de domeniu poate fi îmbunătățită semnificativ prin configurarea serverului pentru a impune validarea semnării LDAP. |
Declanșat la fiecare 24 de ore, la pornire sau la începutul serviciului, dacă Politică de grup este setată la Fără. Nivel minim de înregistrare în jurnal: 0 sau mai mare |
|
Securitatea acestor controlere de domeniu poate fi îmbunătățită prin configurarea lor pentru a respinge solicitările simple de legare LDAP și alte solicitări de legare care nu includ semnarea LDAP. |
Declanșat la fiecare 24 de ore, când Politică de grup este setată la Fără și cel puțin o legătură neprotejată a fost finalizată. Nivel minim de înregistrare în jurnal: 0 sau mai mare |
|
Securitatea acestor controlere de domeniu poate fi îmbunătățită prin configurarea lor pentru a respinge solicitările simple de legare LDAP și alte solicitări de legare care nu includ semnarea LDAP. |
Declanșat la fiecare 24 de ore, când Politică de grup este setată la Solicitare semnare și cel puțin o legătură neprotejată a fost respinsă. Nivel minim de înregistrare în jurnal: 0 sau mai mare |
|
Securitatea acestor controlere de domeniu poate fi îmbunătățită prin configurarea lor pentru a respinge solicitările simple de legare LDAP și alte solicitări de legare care nu includ semnarea LDAP. |
Declanșat atunci când un client nu utilizează semnarea pentru legare la sesiunile de pe portul 389. Nivel minim de înregistrare în jurnal: 2 sau mai mare |
Tabelul 2: evenimente CBT
Eveniment |
Descriere |
Declanşa |
3039 |
Următorul client a efectuat o legare LDAP prin SSL/TLS și nu a reușit validarea simbolului de legare a canalului LDAP. |
Declanșat în oricare dintre următoarele circumstanțe:
Nivel minim de înregistrare în jurnal: 2 |
3040 |
În perioada anterioară de 24 de ore, s-au efectuat # legături LDAPs neprotejate. |
Declanșat la fiecare 24 de ore, când CBT Politică de grup este setată la Niciodată și cel puțin o legătură neprotejată a fost finalizată. Nivel minim de înregistrare în jurnal: 0 |
3041 |
Securitatea acestui server director poate fi îmbunătățită semnificativ prin configurarea serverului pentru a impune validarea simbolurilor de legare a canalului LDAP. |
Declanșat la fiecare 24 de ore, la pornire sau la începutul serviciului dacă Politică de grup CBT este setată la Niciodată. Nivel minim de înregistrare în jurnal: 0 |
Pentru a seta nivelul de înregistrare în jurnal din registry, utilizați o comandă care seamănă cu următoarea:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Pentru mai multe informații despre configurarea înregistrării evenimentelor de diagnosticare Active Directory, consultați Cum se configurează înregistrarea în jurnal a evenimentelor de diagnosticare Active Directory și LDS.
Actualizările din 8 august 2023
Unele computere client nu pot utiliza simboluri de legare a canalului LDAP pentru a se lega la controlerele de domeniu Active Directory (DCs). Microsoft va lansa o actualizare de securitate pe 8 august 2023. Pentru Windows Server 2022, această actualizare adaugă opțiuni pentru ca administratorii să auditeze acești clienți. Puteți activa evenimentele CBT 3074 și 3075 cu sursa de evenimente **Microsoft-Windows-ActiveDirectory_DomainService** în jurnalul de evenimente al serviciului director.
Important Actualizarea din 8 august 2023 nu modifică semnarea LDAP, politicile implicite de legare a canalului LDAP sau echivalentul lor de registry pe PC-uri Active Directory noi sau existente.
Toate instrucțiunile din secțiunea Actualizări din martie 2020 se aplică și aici. Noile evenimente de auditare vor necesita setările de politică și de registry evidențiate în instrucțiunile de mai sus. De asemenea, există un pas de activare pentru a vedea noile evenimente de auditare. Detaliile despre noua implementare se află în secțiunea Acțiuni recomandate de mai jos.
Tabelul 3: evenimente CBT
Eveniment |
Descriere |
Declanşa |
3074 |
Următorul client a efectuat o legare LDAP prin SSL/TLS și ar fi eșuat validarea simbolului de legare a canalului dacă serverul director a fost configurat să impună validarea simbolurilor de legare a canalului. |
Declanșat în oricare dintre următoarele circumstanțe:
Nivel minim de înregistrare în jurnal: 2 |
3075 |
Următorul client a efectuat o legare LDAP prin SSL/TLS și nu a furnizat informații de legare a canalului. Când acest server director este configurat să impună validarea simbolurilor de legare a canalului, această operațiune de legare va fi respinsă. |
Declanșat în oricare dintre următoarele circumstanțe:
Nivel minim de înregistrare în jurnal: 2 |
Notă Atunci când setați nivelul de înregistrare în jurnal la cel puțin 2, ID-ul de eveniment 3074 este înregistrat în jurnal. Administratorii îl pot utiliza pentru a-și audita mediul pentru clienții care nu funcționează cu tokenurile de legare a canalului. Evenimentele vor conține următoarele informații de diagnosticare pentru a identifica clienții:
Client IP address: 192.168.10.5:62709 Identitate pe care clientul a încercat să o autentifice ca: CONTOSO\Administrator Clientul acceptă legarea canalului:FALSE Client permis în modul acceptat:TRUE Semnalizări rezultate audit:0x42
Actualizările din 10 octombrie 2023
Modificările de auditare adăugate în august 2023 sunt acum disponibile pe Windows Server 2019. Pentru acel sistem de operare, această actualizare adaugă opțiuni pentru ca administratorii să auditeze acești clienți. Puteți activa evenimentele CBT 3074 și 3075. Utilizați sursa evenimentului **Microsoft-Windows-ActiveDirectory_DomainService** în jurnalul de evenimente al serviciului director.
Important Actualizarea din 10 octombrie 2023 nu modifică semnarea LDAP, politicile implicite de legare a canalului LDAP sau echivalentul lor de registry pe PC-uri Active Directory noi sau existente.
Toate instrucțiunile din secțiunea Actualizări din martie 2020 se aplică și aici. Noile evenimente de auditare vor necesita setările de politică și de registry evidențiate în instrucțiunile de mai sus. De asemenea, există un pas de activare pentru a vedea noile evenimente de auditare. Detaliile despre noua implementare se află în secțiunea Acțiuni recomandate de mai jos.
Actualizările din 14 noiembrie 2023
Modificările de auditare adăugate în august 2023 sunt acum disponibile pe Windows Server 2022. Nu trebuie să instalați MSI-uri sau să creați politici așa cum se menționează în Pasul 3 din Acțiuni recomandate.
Actualizările din 9 ianuarie 2024
Modificările de audit adăugate în octombrie 2023 sunt acum disponibile pe Windows Server 2019. Nu trebuie să instalați MSI-uri sau să creați politici așa cum se menționează în Pasul 3 din Acțiuni recomandate.
Acțiuni recomandate
Recomandăm insistent clienților să efectueze următorii pași cu prima ocazie:
-
Asigurați-vă că actualizările Windows din 10 martie 2020 sau mai recente sunt instalate pe computerele cu rol de controler de domeniu (DC). Dacă doriți să activați evenimentele de auditare ale legăturii canal LDAP, asigurați-vă că actualizările din 8 august 2023 sau mai recente sunt instalate pe PC-urile Windows Server 2022 sau Server 2019.
-
Activați înregistrarea în jurnalul de diagnosticare a evenimentelor LDAP la 2 sau mai mult.
-
Activați actualizările evenimentului de auditare din august 2023 sau octombrie 2023 utilizând Politică de grup. Puteți omite acest pas dacă ați instalat actualizările din noiembrie 2023 sau mai recente pe Windows Server 2022. Dacă ați instalat actualizările din ianuarie 2024 sau mai recente pe Windows Server 2019, puteți, de asemenea, să omiteți acest pas.
-
Descărcați cele două MSI-uri de activare per versiune de sistem de operare de la Centrul de descărcare Microsoft:
-
Extindeți MSI-urile pentru a instala noile fișiere ADMX care conțin definițiile de politică. Dacă utilizați Magazinul central pentru Politică de grup, copiați fișierele ADMX în Magazinul central.
-
Aplicați politicile corespunzătoare la OU controlerele de domeniu sau la un subset de PC-uri Server 2022 sau Server 2019.
-
Reporniți DC pentru ca modificările să aibă efect.
-
-
Monitorizați jurnalul de evenimente servicii director pe toate computerele cu rol DC filtrate pentru:
-
Evenimentul de eroare semnare LDAP 2889 din Tabelul 1.
-
Evenimentul de eroare 3039 de legare a canalului LDAP din Tabelul 2.
-
Evenimentele de auditare a legăturii canal LDAP 3074 și 3075 din tabelul 3.
Notă Evenimentele 3039, 3074 și 3075 pot fi generate doar atunci când Legătura canal este setată la Când este acceptată sau Întotdeauna.
-
-
Identificați marca, modelul și tipul dispozitivului pentru fiecare adresă IP citată de:
-
Evenimentul 2889 pentru efectuarea apelurilor LDAP nesemnate
-
Evenimentul 3039 pentru a nu utiliza legătura canal LDAP
-
Evenimentul 3074 sau 3075 pentru că nu este capabil de legătura canal LDAP
-
Tipuri de dispozitive
Grupați tipurile de dispozitive în 1 din 3 categorii:
-
Aparat sau ruter -
-
Contactați furnizorul dispozitivului.
-
-
Dispozitiv care nu rulează pe un sistem de operare Windows -
-
Verificați dacă atât legătura canal LDAP, cât și semnarea LDAP sunt acceptate în sistemul de operare și în aplicație. Faceți acest lucru lucrând cu sistemul de operare și cu furnizorul aplicației.
-
-
Dispozitiv care rulează pe un sistem de operare Windows -
-
Semnarea LDAP este disponibilă pentru utilizare de către toate aplicațiile din toate versiunile acceptate de Windows. Verificați dacă aplicația sau serviciul utilizează semnarea LDAP.
-
Legarea canalului LDAP necesită ca toate dispozitivele Windows să aibă CVE-2017-8563 instalat. Verificați dacă aplicația sau serviciul utilizează legătura canal LDAP.
-
Utilizați instrumente de urmărire locale, la distanță, generice sau specifice dispozitivului. Printre acestea se numără capturile de rețea, managerul de procese sau urmăririle de depanare. Determinați dacă sistemul de operare de bază, un serviciu sau o aplicație efectuează o legătură LDAP nesemnată sau nu utilizează CBT.
Utilizați Managerul de activități Windows sau un echivalent pentru a mapa ID-ul de proces la numele de proces, servicii și aplicații.
Planificare pentru actualizări de securitate
Actualizarea din 10 martie 2020 a adăugat controale pentru administratori, pentru a intari configurațiile pentru legarea canalului LDAP și semnarea LDAP pe controlerele de domeniu Active Directory. Actualizările din 8 august și 10 octombrie 2023 adaugă opțiuni pentru administratori la auditarea computerelor client care nu pot utiliza simbolurile de legare a canalului LDAP. Recomandăm insistent clienților să efectueze cu prima ocazie acțiunile recomandate în acest articol.
Dată țintă |
Eveniment |
Se aplică la |
10 martie 2020 |
Obligatoriu: Actualizare de securitate disponibilă pe Windows Update pentru toate platformele Windows acceptate. Notă Pentru platformele Windows care nu mai beneficiază de asistență standard, această actualizare de securitate va fi disponibilă doar prin intermediul programelor de suport extins aplicabile. Suportul pentru legarea canalului LDAP a fost adăugat de CVE-2017-8563 pe Windows Server 2008 și versiunile mai recente. Simbolurile de legare a canalului sunt acceptate în Windows 10, versiunea 1709 și versiunile mai recente. Windows XP nu acceptă legarea canalului LDAP și ar eșua atunci când legarea canalului LDAP este configurată utilizând o valoare Always, dar ar interopera cu DCS-uri configurate să utilizeze setarea de legare a canalului LDAP mai relaxată, Atunci când este acceptată. |
Windows Server 2022 Windows 10, versiunea 20H2 Windows 10, versiunea 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Actualizare de securitate extinsă (ESU)) |
8 august 2023 |
Adaugă evenimente de auditare a tokenului de legătură de canal LDAP (3074 & 3075). Acestea sunt dezactivate în mod implicit pe Windows Server 2022. |
Windows Server 2022 |
10 octombrie 2023 |
Adaugă evenimente de auditare a tokenului de legătură de canal LDAP (3074 & 3075). Acestea sunt dezactivate în mod implicit pe Windows Server 2019. |
Windows Server 2019 |
14 noiembrie 2023 |
Evenimentele de auditare a simbolurilor de legare a canalului LDAP sunt disponibile pe Windows Server 2022 fără a instala un MSI de activare (așa cum este descris în Pasul 3 din Acțiuni recomandate). |
Windows Server 2022 |
9 ianuarie 2024 |
Evenimentele de auditare a simbolurilor de legare a canalului LDAP sunt disponibile pe Windows Server 2019 fără a instala un MSI de activare (așa cum este descris în Pasul 3 din Acțiuni recomandate). |
Windows Server 2019 |
Întrebări frecvente
Pentru răspunsuri la întrebări frecvente despre legarea canalului LDAP și semnarea LDAP pe controlerele de domeniu Active Directory, consultați: