Posodobljeno 09. 1. 2024
Oglejte si novo vsebino v posodobitvah z dne 9. januarja 2024.
Uvod
Povezovanje kanalov LDAP in podpisovanje LDAP zagotavljata načine za povečanje varnosti za komunikacijo med odjemalci LDAP in krmilniki domene imenika Active Directory. Nabor nevarnih privzetih konfiguracij za povezovanje kanalov LDAP in podpisovanje s pravilnikom LDAP obstaja v krmilnikih domene imenika Active Directory, ki odjemalcem LDAP omogočajo komunikacijo z njimi, ne da bi vsilili povezovanje kanalov LDAP in podpisovanje LDAP. S tem lahko odprete krmilnike domene imenika Active Directory in tako ranljivost pri prisvojivi pravic.
Ta ranljivost lahko povzroči, da človek-v-sredinski napadalec uspešno posreduje zahtevo za preverjanje pristnosti v Microsoftov domenski strežnik, ki ni bil konfiguriran tako, da zahteva povezovanje kanalov, podpisovanje ali zapiranje dohodnih povezav.
Microsoft skrbnikom priporoča, da spremembe za utrjevanje, ki so opisane v ADV190023.
10. marca 2020 obravnavamo to ranljivost, saj skrbnikom zagotavljamo te možnosti za utrjevanje konfiguracij za povezovanje kanalov LDAP v krmilnikih domene imenika Active Directory:
-
Krmilnik domene: Zahteve žetonov za povezovanje kanala v strežniku LDAP Pravilnik skupine.
-
Dogodki, ki podpisovanju žetonov za vezavo kanala (CBT) 3039, 3040 in 3041 s pošiljateljem dogodkov Microsoft-Windows-Active Directory_DomainService dnevniku dogodkov imeniške storitve.
Pomembno: posodobitve iz 10. marca 2020 in posodobitve v bližnji prihodnosti ne bodo spremenile privzetih pravilnikov za podpisovanje s strani LDAP ali kanala LDAP ali njihovega enakovrednega registra v novih ali obstoječih krmilnikih domene imenika Active Directory.
Krmilnik domene, ki podpisuje LDAP: pravilnik o podpisovanju strežnikov LDAP že obstaja v vseh podprtih različicah sistema Windows. Od izdaje Windows Server 2022, 23H2 Edition naprej bodo vse nove različice sistema Windows vsebovale vse spremembe v tem članku.
Zakaj je ta sprememba potrebna
Varnost krmilnikov domene imenika Active Directory lahko znatno izboljšate tako, da konfigurirate strežnik tako, da zavrne protokol LDAP (Simple Authentication and Security Layer) (SASL), ki ne zahteva podpisovanja (preverjanja celovitosti) ali da zavrne preprosta vezja protokola LDAP, ki se izvedejo v povezavi z jasnim besedilom (ki ni šifrirana s protokolom SSL/TLS). Preverjanja pristnosti in ravni zaščite lahko vključujejo protokole, kot so Negotiate, Kerberos, NTLM in Digest.
Nepodprt omrežni promet je dovzeten za ponovitev napadov, v katerih vsiljivec prestreže poskus preverjanja pristnosti in izdajo vstopnice. Vsiljivec lahko vozovnico ponovno uporabi za poosebljanje legitimnega uporabnika. Poleg tega je nepodpisani omrežni promet dovzeten za napade »man-in-the-middle« (MiTM), v katerih vsiljivec zajame pakete med odjemalcem in strežnikom, spremeni pakete in jih nato posreduje strežniku. Če se to zgodi v krmilniku domene imenika Active Directory, lahko napadalec povzroči, da strežnik sprejema odločitve, ki temeljijo na skevtih zahtevah odjemalca LDAP. LDAPS uporablja svoja posebna omrežna vrata za povezovanje odjemalcev in strežnikov. Privzeta vrata za LDAP so vrata 389, vendar LDAPS uporablja vrata 636 in določi SSL/TLS pri vzpostavljanju povezave z odjemalcem.
Žetoni za povezovanje kanalov pomagajo, da je preverjanje pristnosti protokola LDAP prek protokola SSL/TLS varnejše pred napadi sredine.
Posodobitve z dne 10. marca 2020
Pomembno Posodobitve z dne 10. marca 2020 ne spremenijo privzetih pravilnikov za podpisovanje LDAP ali povezovanje kanala LDAP ali njihovih enakovrednih registra v novih ali obstoječih krmilnikih domene imenika Active Directory.
Posodobitve sistema Windows, ki bodo izdane 10. marca 2020, dodajo te funkcije:
-
Novi dogodki so zabeleženi v Pregledovalnik dogodkov povezani z vezavo kanalov LDAP. Za podrobnosti o teh dogodkihglejte tabelo 1 in tabelo 2.
-
Nov krmilnik domene: zahteve za vezavo kanalov v strežniku LDAP pravilnik skupine konfigurirati vezavo kanala LDAP v podprtih napravah.
Preslikava med nastavitvami pravilnika za podpisovanje LDAP in nastavitvami registra je vključena tako:
-
Nastavitev pravilnika: »Krmilnik domene: zahteve za podpisovanje strežnika LDAP«
-
Nastavitev registra: LDAPServerIntegrity
-
Datatype: DWORD
-
Pot registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
pravilnik skupine nastavitev |
Nastavitev registra |
Brez |
1 |
Zahtevaj podpisovanje |
2 |
Preslikava med nastavitvami pravilnika za povezovanje kanalov LDAP in nastavitvami registra je vključena tako:
-
Nastavitev pravilnika: »Domain controller: LDAP server channel binding token requirements«
-
Nastavitev registra: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Pot registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
pravilnik skupine nastavitev |
Nastavitev registra |
Nikoli |
0 |
Če je podprto |
1 |
Vedno |
2 |
Tabela 1: Dogodki podpisovanja LDAP
Opis |
Sproži |
|
Varnost teh krmilnikov domene lahko znatno izboljšate tako, da konfigurirate strežnik tako, da vsili preverjanje podpisovanja LDAP. |
Sproženo vsakih 24 ur ob zagonu ali zagonu storitve, če je pravilnik skupine nastavljena na Brez. Najmanjša raven pisanja dnevnika: 0 ali novejša |
|
Varnost teh krmilnikov domene lahko izboljšate tako, da jih konfigurirate tako, da zavrnejo preproste zahteve, vezane na LDAP, in druge zahteve, ki ne vključujejo podpisovanja LDAP. |
Sproženo vsakih 24 ur, pravilnik skupine je nastavljeno na Brez in je bilo dokončano vsaj eno nezaščiteno vezano. Najmanjša raven pisanja dnevnika: 0 ali novejša |
|
Varnost teh krmilnikov domene lahko izboljšate tako, da jih konfigurirate tako, da zavrnejo preproste zahteve, vezane na LDAP, in druge zahteve, ki ne vključujejo podpisovanja LDAP. |
Sproženo vsakih 24 ur, pravilnik skupine je nastavljeno na Zahtevaj podpisovanje in je bilo zavrnjeno vsaj eno nezaščiteno vezano besedilo. Najmanjša raven pisanja dnevnika: 0 ali novejša |
|
Varnost teh krmilnikov domene lahko izboljšate tako, da jih konfigurirate tako, da zavrnejo preproste zahteve, vezane na LDAP, in druge zahteve, ki ne vključujejo podpisovanja LDAP. |
Sproženo, ko odjemalec ne uporablja podpisovanja za povezave v sejah v pristaniščih 389. Najmanjša raven pisanja dnevnika: 2 ali novejša |
Tabela 2: Dogodki CBT
Dogodek |
Opis |
Sproži |
3039 |
Ta odjemalec je izvedel povezovanje protokola LDAP prek PROTOKOLA SSL/TLS in ni uspel preverjanja veljavnosti žetona za vezavo kanala protokola LDAP. |
Sproženo v katerem koli od naslednjih primerov:
Minimalna raven pisanja dnevnika: 2 |
3040 |
V prejšnjem 24-urnem obdobju je bilo izvedeno # nezaščitenih LDAPs vezati. |
Sproženo vsakih 24 ur, ko je vrednost cbt pravilnik skupine nastavljena na Nikoli in dokončano je bilo vsaj eno nezaščiteno vezano. Najmanjša raven pisanja dnevnika: 0 |
3041 |
Varnost tega imeniskega strežnika je mogoče znatno izboljšati tako, da konfigurirate strežnik tako, da vsili preverjanje veljavnosti žetonov za vezavo kanala LDAP. |
Sproženo vsakih 24 ur, ob zagonu ali začetku storitve, če je vrednost CBT pravilnik skupine nastavljena na Nikoli. Najmanjša raven pisanja dnevnika: 0 |
Če želite nastaviti raven pisanja dnevnika v registru, uporabite ukaz, podoben tem:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Če želite več informacij o konfiguraciji pisanja dnevnika diagnostičnih dogodkov v imeniku Active Directory, glejte Konfiguracija pisanja dnevnika diagnostičnih dogodkov imenika Active Directory in LDS.
Posodobitve z dne 8. avgusta 2023
Nekateri odjemalski računalniki ne morejo uporabiti žetonov za povezovanje kanalov LDAP za povezovanje s krmilniki domene imenika Active Directory. Microsoft bo izdal varnostno posodobitev 8. avgusta 2023. Za Windows Server 2022 ta posodobitev doda možnosti za skrbnike za nadzor teh odjemalcev. Dogodke CBT 3074 in 3075 lahko omogočite z virom dogodka **Microsoft-Windows-ActiveDirectory_DomainService** v dnevniku dogodkov imeniške storitve.
Pomembno Posodobitev z dne 8. avgusta 2023 ne spremeni podpisovanja pravilnikov LDAP, privzetih pravilnikov za povezovanje kanalov LDAP ali njihovih enakovrednih pravilnikov registra v novih ali obstoječih DCS-jih imenika Active Directory.
Tukaj veljajo tudi vsa navodila v razdelku s posodobitvami iz marca 2020. Za nove dogodke nadzora bodo potrebni pravilniki in nastavitve registra, opisane v zgornjih navodilih. Na voljo je tudi korak za omogočanje ogleda novih dogodkov nadzora. Nove podrobnosti o izvajanju so navedene v spodnjem razdelku Priporočeni ukrepi.
Tabela 3: Dogodki CBT
Dogodek |
Opis |
Sproži |
3074 |
Ta odjemalec je izvedel povezovanje protokola LDAP prek SSL/TLS in ne bi uspel preverjanja veljavnosti žetona za vezavo kanala, če je bil imeniški strežnik konfiguriran za uveljavljanje preverjanja veljavnosti žetonov za vezavo kanala. |
Sproženo v katerem koli od naslednjih primerov:
Minimalna raven pisanja dnevnika: 2 |
3075 |
Ta odjemalec je izvedel povezavo protokola LDAP prek PROTOKOLA SSL/TLS in ni zagotovil informacij o vezavu kanala. Ko je ta imeniški strežnik konfiguriran tako, da vsili preverjanje veljavnosti žetonov za vezavo kanala, bo ta postopek povezovanja zavrnjen. |
Sproženo v katerem koli od naslednjih primerov:
Minimalna raven pisanja dnevnika: 2 |
Opomba Ko raven pisanja dnevnika nastavite na najmanj 2, je zabeležen ID dogodka 3074. Skrbniki lahko to uporabijo za nadzor okolja za odjemalce, ki ne delujejo z žetoni za vezavo kanalov. Dogodki bodo vsebovali te diagnostične podatke za identifikacijo odjemalcev:
Client IP address: 192.168.10.5:62709 Identiteta, ki jo je odjemalec poskušal preveriti kot: CONTOSO\Skrbnik Odjemalec podpira povezovanje kanalov:FALSE Odjemalec, ki je dovoljen v podprtem načinu:TRUE Zastavice rezultatov nadzora:0x42
Posodobitve z dne 10. oktobra 2023
Spremembe nadzora, dodane avgusta 2023, so zdaj na voljo v sistemu Windows Server 2019. Za ta operacijski sistem ta posodobitev doda možnosti za skrbnike za nadzor teh odjemalcev. Dogodke CBT lahko omogočite 3074 in 3075. Uporabite vir dogodka **Microsoft-Windows-ActiveDirectory_DomainService** v dnevniku dogodkov imeniške storitve.
Pomembno Posodobitev z dne 10. oktobra 2023 ne spremeni podpisovanja pravilnikov LDAP, privzetih pravilnikov za povezovanje kanalov LDAP ali njihovih enakovrednih registrskih pravilnikov v novih ali obstoječih DCS-jih imenika Active Directory.
Tukaj veljajo tudi vsa navodila v razdelku s posodobitvami iz marca 2020. Za nove dogodke nadzora bodo potrebni pravilniki in nastavitve registra, opisane v zgornjih navodilih. Na voljo je tudi korak za omogočanje ogleda novih dogodkov nadzora. Nove podrobnosti o izvajanju so navedene v spodnjem razdelku Priporočeni ukrepi.
Posodobitve z dne 14. novembra 2023
Spremembe nadzora, dodane avgusta 2023, so zdaj na voljo v sistemu Windows Server 2022. MsIs ni treba namestiti ali ustvarjati pravilnikov, kot je navedeno v 3. koraku priporočenih dejanj.
Posodobitve z dne 9. januarja 2024
Spremembe nadzora, dodane oktobra 2023, so zdaj na voljo v sistemu Windows Server 2019. MsIs ni treba namestiti ali ustvarjati pravilnikov, kot je navedeno v 3. koraku priporočenih dejanj.
Priporočena dejanja
Strankam toplo priporočamo, da ob prvi priložnosti morajo izvesti te korake:
-
Prepričajte se, da so posodobitve sistema Windows z dne 10. marca 2020 ali novejše nameščene v računalnikih z vlogo krmilnika domene. Če želite omogočiti dogodke nadzora LDAP Channel Binding, se prepričajte, da so posodobitve z dne 8. avgusta 2023 ali novejše posodobitve nameščene v računalnikih s sistemom Windows Server 2022 ali Server 2019.
-
Omogočite diagnostično pisanje dnevnika dogodkov LDAP na 2 ali novejšo različico.
-
Omogočite posodobitve dogodka nadzora v avgustu 2023 ali oktobra 2023 s pravilnik skupine. Ta korak lahko preskočite, če ste v sistem Windows Server 2022 namestili posodobitve iz novembra 2023 ali novejše. Če ste v sistem Windows Server 2019 namestili posodobitve iz januarja 2024 ali novejše, lahko ta korak preskočite.
-
Prenesite dve MSI-ji za omogočanje na različico operacijskega sistema iz Microsoftovega centra za prenose:
-
Razširite MSIs, da namestite nove datoteke ADMX, ki vsebujejo definicije pravilnika. Če za shranjevanje uporabljate pravilnik skupine, kopirajte datoteke ADMX v osrednjo trgovino.
-
Uporabite ustrezne pravilnike za krmilnike domene OU ali za podnabor krmilnikov strežnika Server 2022 ali Server 2019.
-
Znova zaženite DC, da bodo spremembe uveljavile.
-
-
Spremljajte dnevnik dogodkov imeniških storitev v vseh računalnikih z vlogo DC, filtriranih za:
-
Dogodek neuspelega podpisovanja LDAP 2889 v tabeli 1.
-
Dogodek neuspele vezave kanala LDAP 3039 v tabeli 2.
-
Dogodka nadzora vezave kanala LDAP 3074 in 3075 sta v preglednici 3.
Opomba Dogodke 3039, 3074 in 3075 je mogoče ustvariti le, če je možnost Vezava kanala nastavljena na Ko je podprto ali Vedno.
-
-
Določite proizvajalca, model in vrsto naprave za vsak naslov IP, ki ga citi navaja:
-
Dogodek 2889 za opravljanje nepodpisanih klicev LDAP
-
Event 3039 for not using LDAP Channel Binding
-
Dogodek 3074 ali 3075, ki ne podpira vezave kanalov LDAP
-
Vrste naprav
Združite vrste naprav v 1 od 3 kategorij:
-
Naprava ali usmerjevalnik –
-
Obrnite se na ponudnika naprave.
-
-
Naprava, ki se ne izvaja v operacijskem sistemu Windows –
-
Preverite, ali operacijski sistem in aplikacija podpirata povezovanje kanalov LDAP in podpisovanje LDAP. To naredite tako, da sodelujete z operacijskim sistemom in ponudnikom aplikacij.
-
-
Naprava, ki se izvaja v operacijskem sistemu Windows –
-
Podpisovanje s kode LDAP lahko uporabljajo vse aplikacije v vseh podprtih različicah sistema Windows. Preverite, ali vaša aplikacija ali storitev uporablja podpisovanje LDAP.
-
Za povezovanje kanalov LDAP mora biti v vseh napravah s sistemom Windows nameščen CVE-2017-8563 . Preverite, ali vaša aplikacija ali storitev uporablja povezovanje kanalov LDAP.
-
Uporabite lokalna, oddaljena, splošna orodja ali orodja za sledenje, ki so značilna za napravo. Mednje spadajo posnetki omrežja, upravitelj procesov ali sledenja za iskanje napak. Določite, ali osnovni operacijski sistem, storitev ali aplikacija izvaja nepodpisani LDAP, se veže ali ne uporablja cbt.
Uporabite Upravitelja opravil sistema Windows ali enakovredno preslikavo ID-ja procesa za obdelavo, storitev in imena aplikacij.
Razpored varnostnih posodobitev
Posodobitev z dne 10. marca 2020 je dodala kontrolnike za skrbnike za utrjevanje konfiguracij za povezovanje kanalov LDAP in podpisovanje LDAP v krmilnikih domene imenika Active Directory. Posodobitve z dne 8. avgusta in 10. oktobra 2023 dodajo možnosti za skrbnike za nadzor odjemalskih računalnikov, ki ne morejo uporabljati žetonov za povezovanje kanalov LDAP. Toplo priporočamo, da stranke ob prvi priložnosti ukrepajo, kot je priporočeno v tem članku.
Ciljni datum |
Dogodek |
Velja za |
10. marec 2020 |
Zahtevano: Varnostna posodobitev je na voljo Windows Update za vse podprte platforme sistema Windows. Opomba Za platforme sistema Windows, ki so zunaj standardne podpore, bo ta varnostna posodobitev na voljo le prek veljavnih programov razširjene podpore. Podporo za povezovanje kanalov LDAP je cve-2017-8563 dodal v sistemu Windows Server 2008 in novejših različicah. Žetoni za povezovanje kanalov so podprti v Windows 10 različici 1709 in novejših različicah. Windows XP ne podpira vezave kanala LDAP in ne bi uspel, če bi bila vezava kanala LDAP konfigurirana z vrednostjo Always, vendar bi interoperabilno z DCs-ji, konfiguriranimi za uporabo bolj sproščene nastavitve LDAP-ja za povezovanje kanalov, ki je če je podprt. |
Windows Server 2022 Windows 10, različica 20H2 Windows 10, različica 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 s servisnim paketom SP1 (ESU) Windows Server 2008 s servisnim paketom SP2 (razširjena varnostna posodobitev (ESU)) |
8. avgust 2023 |
Doda dogodke nadzora žetonov za povezovanje kanalov LDAP (3074 & 3075). V sistemu Windows Server 2022 so privzeto onemogočeni. |
Windows Server 2022 |
10. oktober 2023 |
Doda dogodke nadzora žetonov za povezovanje kanalov LDAP (3074 & 3075). V sistemu Windows Server 2019 so privzeto onemogočeni. |
Windows Server 2019 |
14. november 2023 |
Dogodki nadzora žetonov za povezovanje kanalov LDAP so na voljo v sistemu Windows Server 2022, ne da bi morali namestiti MSI za omogočanje (kot je opisano v 3. koraku priporočenih dejanj). |
Windows Server 2022 |
9. januar 2024 |
Dogodki nadzora žetonov za povezovanje kanalov LDAP so na voljo v sistemu Windows Server 2019, ne da bi morali namestiti MSI za omogočanje (kot je opisano v 3. koraku priporočenih dejanj). |
Windows Server 2019 |
Pogosta vprašanja
Če želite odgovore na pogosta vprašanja o vpenjanjem kanalov LDAP in podpisovanju LDAP v krmilnikih domene imenika Active Directory, glejte: