Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Uppdaterad 2024-01-09

Se nytt innehåll i uppdateringarna för 9 januari 2024.

Inledning

Med LDAP-kanalbindning och LDAP-signering kan du öka säkerheten för kommunikation mellan LDAP-klienter och Active Directory-domänkontrollanter. Det finns en uppsättning osäkra standardkonfigurationer för LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter som gör att LDAP-klienter kan kommunicera med dem utan LDAP-kanalbindning och LDAP-signering. Detta kan öppna Active Directory-domänkontrollanter för en säkerhetsrisk med ökad behörighet.

Den här säkerhetsrisken kan göra det möjligt för en angripare i mitten att vidarebefordra en autentiseringsbegäran till en Microsoft-domänserver som inte har konfigurerats för att kräva kanalbindning, signering eller kontring av inkommande anslutningar.

Microsoft rekommenderar administratörer att göra de härdningsändringar som beskrivs i ADV190023.

Den 10 mars 2020 åtgärdar vi den här säkerhetsrisken genom att tillhandahålla följande alternativ för administratörer för att härda konfigurationerna för LDAP-kanalbindning på Active Directory-domänkontrollanter:

  • Domänkontrollant: LDAP-serverkanals bindningstokenkrav .

  • Kanalbindningstoken (KBT) signeringshändelser 3039, 3040 och 3041 med händelseavsändare Microsoft-Windows-Active Directory_DomainService i katalogtjänstens händelselogg.

Viktigt! Uppdateringarna från 10 mars 2020 och uppdateringarna inom överskådlig framtid ändrar inte standardprinciperna för LDAP-signering eller LDAP-kanalbindning eller deras registerekvivalenter på nya eller befintliga Active Directory-domänkontrollanter.

Principen för LDAP-signering Domänkontrollant: LDAP-serversigneringskrav finns redan i alla versioner av Windows som stöds. Från och med Windows Server 2022, 23H2 Edition, innehåller alla nya versioner av Windows alla ändringar i den här artikeln.

Varför är den här ändringen nödvändig?

Säkerheten för Active Directory-domänkontrollanter kan förbättras avsevärt genom att konfigurera servern till att avvisa SASL-LDAP-bindningar (Simple Authentication and Security Layer) som inte begär signering (integritetsverifiering) eller avvisa enkla LDAP-bindningar som utförs på en klar textanslutning (ej SSL/TLS-krypterad). SASL kan innefatta protokoll som Negotiate, Kerberos, NTLM och Digest.

Osignerad nätverkstrafik är mottaglig för repetitionsattacker där en inkräktare avlyssnar autentiseringsförsöket och utfärdandet av en biljett. Inkräktaren kan återanvända biljetten för att personifiera den legitima användaren. Dessutom är osignerad nätverkstrafik mottaglig för MiTM-attacker (man-in-the-middle) där en inkräktare fångar paket mellan klienten och servern, ändrar paketen och sedan vidarebefordrar dem till servern. Om detta inträffar på en Active Directory-domän controller kan en angripare få en server att fatta beslut som baseras på förfalskade begäranden från LDAP-klienten. LDAPS använder sin egen unika nätverksport för att ansluta klienter och servrar. Standardporten för LDAP är port 389, men LDAPS använder port 636 och upprättar SSL/TLS när du ansluter med en klient.

Kanalbindningstoken hjälper till att göra LDAP-autentisering över SSL/TLS säkrare mot man-in-the-middle-attacker.

Uppdateringar från 10 mars 2020

Viktigt! Uppdateringarna från 10 mars 2020 ändrar inte LDAP-signering eller LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-domänkontrollanter.

Windows-uppdateringar som släpps 10 mars 2020 lägger till följande funktioner:

  • Nya händelser loggas i Loggboken relaterade till LDAP-kanalbindning. Mer information om dessa händelser finns i Tabell 1 och Tabell 2 .

  • En ny domänkontrollant: LDAP-serverkanals bindningstokenkrav grupprincip för att konfigurera LDAP-kanalbindning på enheter som stöds.

Mappningen mellan LDAP-signeringsprincipinställningar och registerinställningar ingår på följande sätt:

  • Principinställning: "Domänkontrollant: LDAP-serversigneringskrav"

  • Registerinställning: LDAPServerIntegrity

  • Datatyp: DWORD

  • Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

grupprincip inställning

Registerinställning

Inga

1

Kräv signering

2

Mappningen mellan LDAP-kanalens bindande principinställningar och registerinställningarna ingår på följande sätt:

  • Principinställning: "Domänkontrollant: LDAP-serverkanal bindningstokenkrav"

  • Registerinställning: LdapEnforceChannelBinding

  • Datatyp: DWORD

  • Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

grupprincip inställning

Registerinställning

Aldrig

0

När det stöds

1

Alltid

2

Tabell 1: LDAP-signeringshändelser

Beskrivning

Utlösa

2886

Säkerheten för dessa domänkontrollanter kan förbättras avsevärt genom att konfigurera servern för att tillämpa verifiering av LDAP-signering.

Utlöstes var 24:e timme när tjänsten startades eller startades om grupprincip är inställd på Ingen. Minsta loggningsnivå: 0 eller högre

2887

Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering.

Utlöstes var 24:e timme när grupprincip är inställd på Ingen och minst en oskyddad bindning har slutförts. Minsta loggningsnivå: 0 eller högre

2888

Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering.

Utlöstes var 24:e timme när grupprincip är inställd på Kräv signering och minst en oskyddad bindning avvisades. Minsta loggningsnivå: 0 eller högre

2889

Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering.

Utlöses när en klient inte använder signering för bindningar i sessioner på port 389. Minsta loggningsnivå: 2 eller högre

Tabell 2: KBT-händelser

Händelse

Beskrivning

Utlösa

3039

Följande klient utförde en LDAP-bindning över SSL/TLS och misslyckades med verifieringen av LDAP-kanalbindningstoken.

Utlöses under någon av följande omständigheter:

  • När en klient försöker binda med en felaktigt formaterad KBT (Channel Binding Token) om KBT-grupprincip är inställd på Vid support eller Alltid.

  • När en klient som kan kanalbindning inte skickar en KBT om KBT-grupprincip är inställd på Vid support. En klient kan kanalbindning om EPA-funktionen är installerad eller tillgänglig i operativsystemet och inte inaktiveras via registerinställningen SuppressExtendedProtection. Mer information finns i KB5021989.

  • När en klient inte skickar en KBT om KBT-grupprincip är inställd på Alltid.

Minsta loggningsnivå: 2

3040

Under den föregående 24-timmarsperioden utfördes # av oskyddade LDAPs-bindningar.

Utlöstes var 24:e timme när KBT-grupprincip är inställd på Aldrig och minst en oskyddad bindning har slutförts. Minsta loggningsnivå: 0

3041

Säkerheten för den här katalogservern kan förbättras avsevärt genom att konfigurera servern för att tillämpa verifiering av LDAP-kanalbindningstoken.

Utlöstes var 24:e timme när tjänsten startades eller startades om KBT-grupprincip är inställd på Aldrig. Minsta loggningsnivå: 0

Om du vill ange loggningsnivå i registret använder du ett kommando som liknar följande:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Mer information om hur du konfigurerar loggning av diagnostikhändelser i Active Directory finns i Så här konfigurerar du loggning av diagnostikhändelser i Active Directory och LDS.

Uppdateringar från 8 augusti 2023

Vissa klientdatorer kan inte använda LDAP-kanalbindningstoken för att binda till Active Directory-domänkontrollanter (DCs). Microsoft släpper en säkerhetsuppdatering den 8 augusti 2023. För Windows Server 2022 lägger den här uppdateringen till alternativ för administratörer för granskning av dessa klienter. Du kan aktivera KBT-händelser 3074 och 3075 med händelsekällan **Microsoft-Windows-ActiveDirectory_DomainService** i katalogtjänstens händelselogg.

Viktigt! Uppdateringen från 8 augusti 2023 ändrar inte LDAP-signering, LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-DCs.

All vägledning i avsnittet om uppdateringar för mars 2020 gäller även här. För de nya granskningshändelserna krävs de princip- och registerinställningar som beskrivs i anvisningarna ovan. Det finns också ett aktiveringssteg för att se de nya granskningshändelserna. Den nya implementeringsinformationen finns i avsnittet Rekommenderade åtgärder nedan.

Tabell 3: KBT-händelser

Händelse

Beskrivning

Utlösa

3074

Följande klient utförde en LDAP-bindning över SSL/TLS och skulle ha misslyckats med valideringen av kanalbindningstoken om katalogservern var konfigurerad för verifiering av kanalbindningstoken.

Utlöses under någon av följande omständigheter:

  • När en klient försöker binda med en felaktigt formaterad KANALbindningstoken (KBT)

Minsta loggningsnivå: 2

3075

Följande klient utförde en LDAP-bindning över SSL/TLS och angav inte kanalbindningsinformation. När den här katalogservern har konfigurerats för verifiering av kanalbindningstoken avvisas den här bindningsåtgärden.

Utlöses under någon av följande omständigheter:

  • När en klient som kan kanalbindning inte skickar en KBT

  • En klient kan kanalbindning om EPA-funktionen är installerad eller tillgänglig i operativsystemet och inte inaktiveras via registerinställningen SuppressExtendedProtection. Mer information finns i KB5021989.

Minsta loggningsnivå: 2

Obs! När du anger loggningsnivån till minst 2 loggas händelse-ID 3074. Administratörer kan använda detta för att granska miljön för klienter som inte fungerar med kanalbindningstoken. Händelserna innehåller följande diagnostikinformation för att identifiera klienterna:

Client IP address: 192.168.10.5:62709 Identitet som klienten försökte autentisera som: CONTOSO\Administrator Klient stöder kanalbindning:FALSKT Klient tillåten i läge som stöds:SANT Flaggor för granskningsresultat:0x42

Uppdateringar för 10 oktober 2023

De granskningsändringar som lades till i augusti 2023 är nu tillgängliga på Windows Server 2019. I det operativsystemet lägger den här uppdateringen till alternativ för administratörer för granskning av dessa klienter. Du kan aktivera KBT-händelser 3074 och 3075. Använd händelsekällan **Microsoft-Windows-ActiveDirectory_DomainService** i katalogtjänstens händelselogg.

Viktigt! Uppdateringen från 10 oktober 2023 ändrar inte LDAP-signering, LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-DCs.

All vägledning i avsnittet om uppdateringar för mars 2020 gäller även här. För de nya granskningshändelserna krävs de princip- och registerinställningar som beskrivs i anvisningarna ovan. Det finns också ett aktiveringssteg för att se de nya granskningshändelserna. Den nya implementeringsinformationen finns i avsnittet Rekommenderade åtgärder nedan.

Uppdateringar 14 november 2023

De granskningsändringar som lades till i augusti 2023 är nu tillgängliga på Windows Server 2022. Du behöver inte installera MSI:er eller skapa principer som nämns i steg 3 i Rekommenderade åtgärder.

Uppdateringar från 9 januari 2024

De granskningsändringar som lades till i oktober 2023 är nu tillgängliga på Windows Server 2019. Du behöver inte installera MSI:er eller skapa principer som nämns i steg 3 i Rekommenderade åtgärder.

Rekommenderade åtgärder

Vi rekommenderar starkt kunderna att vidta följande åtgärder så snart som möjligt:

  1. Se till att Windows-uppdateringarna från 10 mars 2020 eller senare är installerade på domänkontrollantrolldatorer. Om du vill aktivera granskningshändelser för LDAP-kanalbindning kontrollerar du att uppdateringarna från 8 augusti 2023 eller senare installeras på Windows Server 2022- eller Server 2019-datorerna.

  2. Aktivera diagnostikloggning för LDAP-händelser till 2 eller senare.

  3. Aktivera granskningshändelseuppdateringarna för augusti 2023 eller oktober 2023 med grupprincip. Du kan hoppa över det här steget om du har installerat uppdateringarna för november 2023 eller senare på Windows Server 2022. Om du har installerat uppdateringarna för januari 2024 eller senare på Windows Server 2019 kan du också hoppa över det här steget.

  4. Övervaka händelseloggen för katalogtjänster på alla dc-rolldatorer som filtrerats efter:

    • LDAP-signeringsfelhändelse 2889 i tabell 1.

    • LDAP Channel Binding failure event 3039 in Table 2.

    • LDAP Channel Binding audit events 3074 and 3075 in Table 3.

      Obs! Händelser 3039, 3074 och 3075 kan bara genereras när Kanalbindning är inställd på Vid support eller Alltid.

  5. Identifiera märke, modell och typ av enhet för varje IP-adress som citeras av:

    • Händelse 2889 för osignerade LDAP-samtal

    • Händelse 3039 för att inte använda LDAP-kanalbindning

    • Händelse 3074 eller 3075 för att inte kunna LDAP-kanalbindning

Enhetstyper

Gruppera enhetstyper i 1 av 3 kategorier:

  1. Apparat eller router –

    • Kontakta enhetsleverantören.

  2. Enhet som inte körs på ett Windows-operativsystem –

    • Kontrollera att både LDAP-kanalbindning och LDAP-signering stöds i operativsystemet och programmet. Det gör du genom att arbeta med operativsystemet och programleverantören.

  3. Enhet som körs på ett Windows-operativsystem –

    • LDAP-signering är tillgängligt för användning av alla program i alla versioner av Windows som stöds. Kontrollera att LDAP-signering används i programmet eller tjänsten.

    • LDAP-kanalbindning kräver att alla Windows-enheter har CVE-2017-8563 installerat. Kontrollera att programmet eller tjänsten använder LDAP-kanalbindning.

Använd lokala, fjärranslutna, allmänna eller enhetsspecifika spårningsverktyg. Det kan till exempel vara nätverksinspelningar, processhanteraren eller felsökningsspårningar. Avgöra om kärnoperativsystemet, en tjänst eller ett program utför osignerade LDAP-bindningar eller inte använder KBT.

Använd Aktivitetshanteraren i Windows eller en motsvarighet för att mappa process-ID:t till process-, tjänst- och programnamn.

Schema för säkerhetsuppdatering

Uppdateringen från 10 mars 2020 lade till kontroller för administratörer för att härda konfigurationerna för LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter. 8 augusti och 10 oktober 2023-uppdateringarna lägger till alternativ för administratörer för att granska klientdatorer som inte kan använda LDAP-kanalbindningstoken. Vi rekommenderar starkt kunderna att vidta de åtgärder som rekommenderas i den här artikeln så snart som möjligt.

Måldatum

Händelse

Gäller för

den 10 mars 2020

Obligatoriskt: Säkerhetsuppdatering tillgänglig på Windows Update för alla Windows-plattformar som stöds.

Obs! För Windows-plattformar som inte har standardsupport är den här säkerhetsuppdateringen endast tillgänglig via tillämpliga utökade supportprogram.

LDAP-kanalbindningsstöd har lagts till av CVE-2017-8563 på Windows Server 2008 och senare versioner. Kanalbindningstoken stöds i Windows 10 version 1709 och senare versioner.

Windows XP stöder inte LDAP-kanalbindning och skulle misslyckas när LDAP-kanalbindning konfigureras med hjälp av värdet Alltid, men skulle fungera tillsammans med DC:er som konfigurerats för att använda en mer avslappnad LDAP-kanalbindningsinställning för Vid support.

Windows Server 2022

Windows 10 version 20H2

Windows 10 version 1909 (19H2) Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Utökade säkerhetsuppdateringar (ESU))

den 8 augusti 2023

Lägger till LDAP-kanalbindningstokengranskningshändelser (3074 & 3075). De är inaktiverade som standard i Windows Server 2022.

Windows Server 2022

10 oktober 2023

Lägger till LDAP-kanalbindningstokengranskningshändelser (3074 & 3075). De är inaktiverade som standard i Windows Server 2019.

Windows Server 2019

den 14 november 2023

Granskningshändelser för LDAP-kanalbindningstoken är tillgängliga på Windows Server 2022 utan att installera MSI för aktivering (enligt beskrivningen i steg 3 i Rekommenderade åtgärder).

Windows Server 2022

9 januari 2024

Granskningshändelser för LDAP-kanalbindningstoken är tillgängliga på Windows Server 2019 utan att installera MSI för aktivering (enligt beskrivningen i steg 3 i Rekommenderade åtgärder).

Windows Server 2019

Vanliga frågor och svar

Svar på vanliga frågor om LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter finns i:

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.