Обновлено 09.01.2024
См. новое содержимое в обновлениях от 9 января 2024 г.
Введение
Привязка канала LDAP и подписывание LDAP позволяют повысить безопасность взаимодействия между клиентами LDAP и контроллерами домена Active Directory. На контроллерах домена Active Directory существует набор небезопасных конфигураций по умолчанию для привязки канала LDAP и подписывания LDAP, которые позволяют клиентам LDAP взаимодействовать с ними без принудительной привязки канала LDAP и подписывания LDAP. Это может открыть контроллеры домена Active Directory к уязвимости повышения привилегий.
Эта уязвимость может позволить злоумышленнику- злоумышленнику в середине успешно пересылать запрос на проверку подлинности на сервер домена Майкрософт, для которого не настроено требование привязки канала, подписывания или запечатывания для входящих подключений.
Корпорация Майкрософт рекомендует администраторам внести изменения защиты, описанные в ADV190023.
10 марта 2020 г. мы устраняем эту уязвимость, предоставляя администраторам следующие варианты защиты конфигураций для привязки каналов LDAP в контроллерах домена Active Directory:
-
Контроллер домена: требования к маркеру привязки канала сервера LDAP Групповая политика.
-
События подписывания маркеров привязки каналов (CBT) 3039, 3040 и 3041 с отправителем событий Microsoft-Windows-Active Directory_DomainService в журнале событий службы каталогов.
Важно! Обновления от 10 марта 2020 г. и обновления в обозримом будущем не изменят политики по умолчанию подписывания LDAP или привязки каналов LDAP или эквивалентные им реестры на новых или существующих контроллерах домена Active Directory.
Политика подписывания LDAP Контроллер домена: требования к подписыванию сервера LDAP уже существует во всех поддерживаемых версиях Windows. Начиная с Windows Server 2022, выпуск 23H2, все новые версии Windows будут содержать все изменения, внесенные в эту статью.
Зачем нужны эти изменения?
Безопасность контроллеров домена Active Directory можно значительно повысить, настроив сервер для отклонения привязок LDAP уровня простой проверки подлинности и безопасности (SASL), которые не запрашивают подписывание (проверка целостности), или для отклонения простых привязок LDAP, выполняемых при подключении с четким текстом (не зашифрованным ssl/TLS). SASL могут включать такие протоколы, как Negotiate, Kerberos, NTLM, and Digest.
Неподписанный сетевой трафик подвержен атакам повторного воспроизведения, в ходе которых злоумышленник перехватывает попытку проверки подлинности и выдачу билета. Злоумышленник может повторно использовать билет, чтобы выдать себя за законного пользователя. Кроме того, неподписанный сетевой трафик подвержен атакам типа "злоумышленник в середине" (MiTM), в которых злоумышленник захватывает пакеты между клиентом и сервером, изменяет пакеты, а затем перенаправит их на сервер. Если это происходит на контроллере домен Active Directory, злоумышленник может заставить сервер принимать решения, основанные на поддельных запросах от клиента LDAP. LDAPS использует собственный отдельный сетевой порт для подключения клиентов и серверов. Порт ldap по умолчанию — порт 389, но LDAPS использует порт 636 и устанавливает SSL/TLS при подключении к клиенту.
Маркеры привязки каналов помогают сделать проверку подлинности LDAP по ПРОТОКОЛу SSL/TLS более безопасной от атак "злоумышленник в середине".
Обновления от 10 марта 2020 г.
Важно! Обновления от 10 марта 2020 г. не изменяют политики по умолчанию подписывания LDAP или привязки канала LDAP или эквивалентные им реестры на новых или существующих контроллерах домена Active Directory.
Обновления Windows, которые будут выпущены 10 марта 2020 г., добавляют следующие функции:
-
Новые события регистрируются в Просмотр событий, связанных с привязкой канала LDAP. Подробные сведения об этих событиях см. в таблицах 1 и 2 .
-
Новый контроллер домена: требования к маркеру привязки канала ldap-сервера групповая политика для настройки привязки канала LDAP на поддерживаемых устройствах.
Сопоставление между параметрами политики подписывания LDAP и параметрами реестра включается следующим образом:
-
Параметр политики: "Контроллер домена: требования к подписыванию сервера LDAP"
-
Параметр реестра: LDAPServerIntegrity
-
Datatype: DWORD
-
Путь к реестру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Параметр групповая политика |
Параметр реестра |
Нет |
1 |
Требовать подписывание |
2 |
Сопоставление между параметрами политики привязки каналов LDAP и параметрами реестра включается следующим образом:
-
Параметр политики: "Контроллер домена: требования к маркеру привязки канала сервера LDAP"
-
Параметр реестра: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Путь к реестру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Параметр групповая политика |
Параметр реестра |
"Никогда" |
0 |
Если поддерживается |
1 |
Всегда |
2 |
Таблица 1. События подписывания LDAP
Описание |
Триггер |
|
Безопасность этих контроллеров домена можно значительно повысить, настроив сервер для принудительной проверки подписи LDAP. |
Активируется каждые 24 часа при запуске или запуске службы, если групповая политика имеет значение Нет. Минимальный уровень ведения журнала: 0 или выше |
|
Безопасность этих контроллеров домена можно улучшить, настроив их так, чтобы они отклоняли простые запросы привязки LDAP и другие запросы привязки, не включающие подписывание LDAP. |
Активируется каждые 24 часа, когда для групповая политика задано значение Нет и выполнена по крайней мере одна незащищенная привязка. Минимальный уровень ведения журнала: 0 или выше |
|
Безопасность этих контроллеров домена можно улучшить, настроив их так, чтобы они отклоняли простые запросы привязки LDAP и другие запросы привязки, не включающие подписывание LDAP. |
Активируется каждые 24 часа, когда для групповая политика задано значение Требовать подписи, и по крайней мере одна незащищенная привязка была отклонена. Минимальный уровень ведения журнала: 0 или выше |
|
Безопасность этих контроллеров домена можно улучшить, настроив их так, чтобы они отклоняли простые запросы привязки LDAP и другие запросы привязки, не включающие подписывание LDAP. |
Активируется, если клиент не использует подписывание для привязок в сеансах на порту 389. Минимальный уровень ведения журнала: 2 или выше |
Таблица 2. События CBT
Событие |
Описание |
Триггер |
3039 |
Следующий клиент выполнил привязку LDAP по протоколу SSL/TLS и не проверил маркер привязки канала LDAP. |
Активируется в любом из следующих случаев:
Минимальный уровень ведения журнала: 2 |
3040 |
За предыдущий 24-часовой период было выполнено число незащищенных привязок LDAP. |
Активируется каждые 24 часа, когда групповая политика CBT имеет значение Никогда и по крайней мере одна незащищенная привязка была завершена. Минимальный уровень ведения журнала: 0 |
3041 |
Безопасность этого сервера каталогов можно значительно повысить, настроив сервер для принудительной проверки маркеров привязки канала LDAP. |
Активируется каждые 24 часа при запуске или запуске службы, если групповая политика CBT имеет значение Никогда. Минимальный уровень ведения журнала: 0 |
Чтобы задать уровень ведения журнала в реестре, используйте следующую команду:
Reg: добавление HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 событий интерфейса LDAP" /t REG_DWORD /d 2
Дополнительные сведения о настройке ведения журнала диагностических событий Active Directory см. в разделе Настройка ведения журнала диагностических событий Active Directory и LDS.
Обновления от 8 августа 2023 г.
Некоторые клиентские компьютеры не могут использовать маркеры привязки канала LDAP для привязки к контроллерам домена Active Directory . Корпорация Майкрософт выпустит обновление для системы безопасности 8 августа 2023 г. Для Windows Server 2022 это обновление добавляет параметры для администраторов для аудита этих клиентов. События CBT 3074 и 3075 можно включить с помощью источника событий **Microsoft-Windows-ActiveDirectory_DomainService** в журнале событий службы каталогов.
Важно! Обновление от 8 августа 2023 г. не изменяет подписывание LDAP, политики привязки канала LDAP по умолчанию или эквивалентные им реестры в новых или существующих контроллерах домена Active Directory.
Здесь также применяются все рекомендации в разделе обновлений за март 2020 г. Для новых событий аудита потребуются параметры политики и реестра, описанные в руководстве выше. Существует также шаг включения для просмотра новых событий аудита. Сведения о новой реализации см. в разделе Рекомендуемые действия ниже.
Таблица 3. События CBT
Событие |
Описание |
Триггер |
3074 |
Следующий клиент выполнил привязку LDAP по протоколу SSL/TLS и не прошел бы проверку маркера привязки канала, если бы сервер каталогов был настроен для принудительной проверки маркеров привязки каналов. |
Активируется в любом из следующих случаев:
Минимальный уровень ведения журнала: 2 |
3075 |
Следующий клиент выполнил привязку LDAP по протоколу SSL/TLS и не предоставил сведения о привязке канала. Если этот сервер каталогов настроен для принудительной проверки маркеров привязки каналов, эта операция привязки будет отклонена. |
Активируется в любом из следующих случаев:
Минимальный уровень ведения журнала: 2 |
Примечание Если для уровня ведения журнала задано не менее 2, регистрируется событие с идентификатором 3074. Администраторы могут использовать его для аудита своей среды для клиентов, которые не работают с маркерами привязки каналов. События будут содержать следующие диагностические сведения для идентификации клиентов:
Client IP address: 192.168.10.5:62709 Удостоверяйте, что клиент пытался пройти проверку подлинности следующим образом: CONTOSO\Administrator Клиент поддерживает привязку канала:FALSE Клиент разрешен в при поддерживаемом режиме:TRUE Флаги результатов аудита:0x42
Обновления от 10 октября 2023 г.
Изменения аудита, добавленные в августе 2023 г., теперь доступны в Windows Server 2019. Для этой ОС это обновление добавляет параметры для администраторов для аудита этих клиентов. Можно включить события CBT 3074 и 3075. Используйте источник событий **Microsoft-Windows-ActiveDirectory_DomainService** в журнале событий службы каталогов.
Важно! Обновление от 10 октября 2023 г. не изменяет подписывание LDAP, политики привязки канала LDAP по умолчанию или эквивалент реестра для новых или существующих контроллеров домена Active Directory.
Здесь также применяются все рекомендации в разделе обновлений за март 2020 г. Для новых событий аудита потребуются параметры политики и реестра, описанные в руководстве выше. Существует также шаг включения для просмотра новых событий аудита. Сведения о новой реализации см. в разделе Рекомендуемые действия ниже.
Обновления от 14 ноября 2023 г.
Изменения аудита, добавленные в августе 2023 г., теперь доступны в Windows Server 2022. Вам не нужно устанавливать MSIs или создавать политики, как описано в шаге 3 рекомендуемых действий.
Обновления от 9 января 2024 г.
Изменения аудита, добавленные в октябре 2023 г., теперь доступны в Windows Server 2019. Вам не нужно устанавливать MSIs или создавать политики, как описано в шаге 3 рекомендуемых действий.
Рекомендуемые действия
Мы настоятельно рекомендуем клиентам выполнить следующие действия при первой возможности:
-
Убедитесь, что на компьютерах с ролью контроллера домена (DC) установлены обновления Windows от 10 марта 2020 г. или более поздней версии. Если вы хотите включить события аудита привязки канала LDAP, убедитесь, что на контроллерах домена Windows Server 2022 или Server 2019 установлены обновления от 8 августа 2023 г. или более поздних версий.
-
Включите ведение журнала диагностики событий LDAP до 2 или более поздней версии.
-
Включите обновления событий аудита за август 2023 г. или октябрь 2023 г. с помощью групповая политика. Этот шаг можно пропустить, если установлены обновления за ноябрь 2023 г. или более поздние версии в Windows Server 2022. Если вы установили обновления за январь 2024 г. или более поздние версии в Windows Server 2019, вы также можете пропустить этот шаг.
-
Скачайте два MSIS включения для каждой версии ОС из Центра загрузки Майкрософт:
-
Разверните MSIs, чтобы установить новые файлы ADMX, содержащие определения политик. Если вы используете Центральное хранилище для групповая политика, скопируйте файлы ADMX в центральное хранилище.
-
Примените соответствующие политики к подразделению контроллеров домена или к подмножеству контроллеров домена Server 2022 или Server 2019.
-
Перезапустите контроллер домена, чтобы изменения вступили в силу.
-
-
Мониторинг журнала событий служб каталогов на всех компьютерах ролей контроллера домена, отфильтрованных по следующим параметрам:
-
Событие сбоя подписи LDAP 2889 в таблице 1.
-
Событие сбоя привязки канала LDAP 3039 в таблице 2.
-
События аудита привязки канала LDAP 3074 и 3075 в таблице 3.
Примечание События 3039, 3074 и 3075 могут создаваться только в том случае, если для привязки канала задано значение When Supported или Always.
-
-
Определите тип, модель и тип устройства для каждого IP-адреса, на который ссылается:
-
Событие 2889 для выполнения вызовов LDAP без знака
-
Событие 3039 для не использования привязки канала LDAP
-
Событие 3074 или 3075 за отсутствие возможности привязки канала LDAP
-
Типы устройств
Группирование типов устройств на 1 из 3 категорий:
-
Устройство или маршрутизатор .
-
Обратитесь к поставщику устройств.
-
-
Устройство, которое не работает в операционной системе Windows.
-
Убедитесь, что в операционной системе и приложении поддерживаются как привязка канала LDAP, так и подписывание LDAP. Это можно сделать, работая с операционной системой и поставщиком приложений.
-
-
Устройство, работающее в операционной системе Windows.
-
Подписывание LDAP доступно для использования всеми приложениями во всех поддерживаемых версиях Windows. Убедитесь, что приложение или служба использует подписывание LDAP.
-
Привязка канала LDAP требует, чтобы на всех устройствах Windows был установлен CVE-2017-8563 . Убедитесь, что приложение или служба используют привязку канала LDAP.
-
Используйте локальные, удаленные, универсальные средства трассировки или средства трассировки для конкретных устройств. К ним относятся сетевые захваты, диспетчер процессов или трассировки отладки. Определите, выполняет ли основная операционная система, служба или приложение неподписанные привязки LDAP или не использует CBT.
Используйте диспетчер задач Windows или эквивалент, чтобы сопоставить идентификатор процесса с именами процессов, служб и приложений.
Расписание обновления для системы безопасности
Обновление от 10 марта 2020 г. добавило элементы управления для администраторов для усиления конфигураций привязки канала LDAP и подписывания LDAP на контроллерах домена Active Directory. Обновления от 8 августа и 10 октября 2023 г. добавляют параметры для администраторов для аудита клиентских компьютеров, которые не могут использовать маркеры привязки канала LDAP. Мы настоятельно рекомендуем клиентам выполнить действия, рекомендованные в этой статье, при первой возможности.
Целевая дата |
Событие |
Применимо к |
10 марта 2020 г. |
Обязательно: обновление системы безопасности, доступное на клиентский компонент Центра обновления Windows для всех поддерживаемых платформ Windows. Примечание Для платформ Windows, которые не поддерживают стандартную поддержку, это обновление для системы безопасности будет доступно только через применимые программы расширенной поддержки. Поддержка привязки каналов LDAP была добавлена CVE-2017-8563 в Windows Server 2008 и более поздних версиях. Маркеры привязки каналов поддерживаются в Windows 10 версии 1709 и более поздних. Windows XP не поддерживает привязку канала LDAP и будет завершать сбой, если привязка канала LDAP настроена с помощью значения Always, но будет взаимодействовать с контроллерами домена, настроенными для использования более расслабленного параметра привязки канала LDAP значение При поддержке. |
Windows Server 2022 Windows 10, версия 20H2 Windows 10, версия 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 с пакетом обновления 1 (SP1) Windows Server 2008 с пакетом обновления 2 (SP2) (расширенное обновление для системы безопасности (ESU)) |
8 августа 2023 г. |
Добавляет события аудита маркера привязки канала LDAP (3074 & 3075). Они отключены по умолчанию в Windows Server 2022. |
Windows Server 2022 |
10 октября 2023 г. |
Добавляет события аудита маркера привязки канала LDAP (3074 & 3075). Они отключены по умолчанию в Windows Server 2019. |
Windows Server 2019 |
14 ноября 2023 г. |
События аудита маркеров привязки канала LDAP доступны в Windows Server 2022 без установки MSI включения (как описано в шаге 3 рекомендуемых действий). |
Windows Server 2022 |
9 января 2024 г. |
События аудита маркеров привязки канала LDAP доступны в Windows Server 2019 без установки MSI включения (как описано в шаге 3 рекомендуемых действий). |
Windows Server 2019 |
Вопросы и ответы
Ответы на часто задаваемые вопросы о привязке канала LDAP и подписывание LDAP на контроллерах домена Active Directory см. в следующем разделе: