Uppdaterad 2024-01-09
Se nytt innehåll i uppdateringarna för 9 januari 2024.
Inledning
Med LDAP-kanalbindning och LDAP-signering kan du öka säkerheten för kommunikation mellan LDAP-klienter och Active Directory-domänkontrollanter. Det finns en uppsättning osäkra standardkonfigurationer för LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter som gör att LDAP-klienter kan kommunicera med dem utan LDAP-kanalbindning och LDAP-signering. Detta kan öppna Active Directory-domänkontrollanter för en säkerhetsrisk med ökad behörighet.
Den här säkerhetsrisken kan göra det möjligt för en angripare i mitten att vidarebefordra en autentiseringsbegäran till en Microsoft-domänserver som inte har konfigurerats för att kräva kanalbindning, signering eller kontring av inkommande anslutningar.
Microsoft rekommenderar administratörer att göra de härdningsändringar som beskrivs i ADV190023.
Den 10 mars 2020 åtgärdar vi den här säkerhetsrisken genom att tillhandahålla följande alternativ för administratörer för att härda konfigurationerna för LDAP-kanalbindning på Active Directory-domänkontrollanter:
-
Domänkontrollant: LDAP-serverkanals bindningstokenkrav .
-
Kanalbindningstoken (KBT) signeringshändelser 3039, 3040 och 3041 med händelseavsändare Microsoft-Windows-Active Directory_DomainService i katalogtjänstens händelselogg.
Viktigt! Uppdateringarna från 10 mars 2020 och uppdateringarna inom överskådlig framtid ändrar inte standardprinciperna för LDAP-signering eller LDAP-kanalbindning eller deras registerekvivalenter på nya eller befintliga Active Directory-domänkontrollanter.
Principen för LDAP-signering Domänkontrollant: LDAP-serversigneringskrav finns redan i alla versioner av Windows som stöds. Från och med Windows Server 2022, 23H2 Edition, innehåller alla nya versioner av Windows alla ändringar i den här artikeln.
Varför är den här ändringen nödvändig?
Säkerheten för Active Directory-domänkontrollanter kan förbättras avsevärt genom att konfigurera servern till att avvisa SASL-LDAP-bindningar (Simple Authentication and Security Layer) som inte begär signering (integritetsverifiering) eller avvisa enkla LDAP-bindningar som utförs på en klar textanslutning (ej SSL/TLS-krypterad). SASL kan innefatta protokoll som Negotiate, Kerberos, NTLM och Digest.
Osignerad nätverkstrafik är mottaglig för repetitionsattacker där en inkräktare avlyssnar autentiseringsförsöket och utfärdandet av en biljett. Inkräktaren kan återanvända biljetten för att personifiera den legitima användaren. Dessutom är osignerad nätverkstrafik mottaglig för MiTM-attacker (man-in-the-middle) där en inkräktare fångar paket mellan klienten och servern, ändrar paketen och sedan vidarebefordrar dem till servern. Om detta inträffar på en Active Directory-domän controller kan en angripare få en server att fatta beslut som baseras på förfalskade begäranden från LDAP-klienten. LDAPS använder sin egen unika nätverksport för att ansluta klienter och servrar. Standardporten för LDAP är port 389, men LDAPS använder port 636 och upprättar SSL/TLS när du ansluter med en klient.
Kanalbindningstoken hjälper till att göra LDAP-autentisering över SSL/TLS säkrare mot man-in-the-middle-attacker.
Uppdateringar från 10 mars 2020
Viktigt! Uppdateringarna från 10 mars 2020 ändrar inte LDAP-signering eller LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-domänkontrollanter.
Windows-uppdateringar som släpps 10 mars 2020 lägger till följande funktioner:
-
Nya händelser loggas i Loggboken relaterade till LDAP-kanalbindning. Mer information om dessa händelser finns i Tabell 1 och Tabell 2 .
-
En ny domänkontrollant: LDAP-serverkanals bindningstokenkrav grupprincip för att konfigurera LDAP-kanalbindning på enheter som stöds.
Mappningen mellan LDAP-signeringsprincipinställningar och registerinställningar ingår på följande sätt:
-
Principinställning: "Domänkontrollant: LDAP-serversigneringskrav"
-
Registerinställning: LDAPServerIntegrity
-
Datatyp: DWORD
-
Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
grupprincip inställning |
Registerinställning |
Inga |
1 |
Kräv signering |
2 |
Mappningen mellan LDAP-kanalens bindande principinställningar och registerinställningarna ingår på följande sätt:
-
Principinställning: "Domänkontrollant: LDAP-serverkanal bindningstokenkrav"
-
Registerinställning: LdapEnforceChannelBinding
-
Datatyp: DWORD
-
Registersökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
grupprincip inställning |
Registerinställning |
Aldrig |
0 |
När det stöds |
1 |
Alltid |
2 |
Tabell 1: LDAP-signeringshändelser
Beskrivning |
Utlösa |
|
Säkerheten för dessa domänkontrollanter kan förbättras avsevärt genom att konfigurera servern för att tillämpa verifiering av LDAP-signering. |
Utlöstes var 24:e timme när tjänsten startades eller startades om grupprincip är inställd på Ingen. Minsta loggningsnivå: 0 eller högre |
|
Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering. |
Utlöstes var 24:e timme när grupprincip är inställd på Ingen och minst en oskyddad bindning har slutförts. Minsta loggningsnivå: 0 eller högre |
|
Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering. |
Utlöstes var 24:e timme när grupprincip är inställd på Kräv signering och minst en oskyddad bindning avvisades. Minsta loggningsnivå: 0 eller högre |
|
Säkerheten för dessa domänkontrollanter kan förbättras genom att konfigurera dem för att avvisa enkla LDAP-bindningsförfrågningar och andra bindningsförfrågningar som inte inkluderar LDAP-signering. |
Utlöses när en klient inte använder signering för bindningar i sessioner på port 389. Minsta loggningsnivå: 2 eller högre |
Tabell 2: KBT-händelser
Händelse |
Beskrivning |
Utlösa |
3039 |
Följande klient utförde en LDAP-bindning över SSL/TLS och misslyckades med verifieringen av LDAP-kanalbindningstoken. |
Utlöses under någon av följande omständigheter:
Minsta loggningsnivå: 2 |
3040 |
Under den föregående 24-timmarsperioden utfördes # av oskyddade LDAPs-bindningar. |
Utlöstes var 24:e timme när KBT-grupprincip är inställd på Aldrig och minst en oskyddad bindning har slutförts. Minsta loggningsnivå: 0 |
3041 |
Säkerheten för den här katalogservern kan förbättras avsevärt genom att konfigurera servern för att tillämpa verifiering av LDAP-kanalbindningstoken. |
Utlöstes var 24:e timme när tjänsten startades eller startades om KBT-grupprincip är inställd på Aldrig. Minsta loggningsnivå: 0 |
Om du vill ange loggningsnivå i registret använder du ett kommando som liknar följande:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Mer information om hur du konfigurerar loggning av diagnostikhändelser i Active Directory finns i Så här konfigurerar du loggning av diagnostikhändelser i Active Directory och LDS.
Uppdateringar från 8 augusti 2023
Vissa klientdatorer kan inte använda LDAP-kanalbindningstoken för att binda till Active Directory-domänkontrollanter (DCs). Microsoft släpper en säkerhetsuppdatering den 8 augusti 2023. För Windows Server 2022 lägger den här uppdateringen till alternativ för administratörer för granskning av dessa klienter. Du kan aktivera KBT-händelser 3074 och 3075 med händelsekällan **Microsoft-Windows-ActiveDirectory_DomainService** i katalogtjänstens händelselogg.
Viktigt! Uppdateringen från 8 augusti 2023 ändrar inte LDAP-signering, LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-DCs.
All vägledning i avsnittet om uppdateringar för mars 2020 gäller även här. För de nya granskningshändelserna krävs de princip- och registerinställningar som beskrivs i anvisningarna ovan. Det finns också ett aktiveringssteg för att se de nya granskningshändelserna. Den nya implementeringsinformationen finns i avsnittet Rekommenderade åtgärder nedan.
Tabell 3: KBT-händelser
Händelse |
Beskrivning |
Utlösa |
3074 |
Följande klient utförde en LDAP-bindning över SSL/TLS och skulle ha misslyckats med valideringen av kanalbindningstoken om katalogservern var konfigurerad för verifiering av kanalbindningstoken. |
Utlöses under någon av följande omständigheter:
Minsta loggningsnivå: 2 |
3075 |
Följande klient utförde en LDAP-bindning över SSL/TLS och angav inte kanalbindningsinformation. När den här katalogservern har konfigurerats för verifiering av kanalbindningstoken avvisas den här bindningsåtgärden. |
Utlöses under någon av följande omständigheter:
Minsta loggningsnivå: 2 |
Obs! När du anger loggningsnivån till minst 2 loggas händelse-ID 3074. Administratörer kan använda detta för att granska miljön för klienter som inte fungerar med kanalbindningstoken. Händelserna innehåller följande diagnostikinformation för att identifiera klienterna:
Client IP address: 192.168.10.5:62709 Identitet som klienten försökte autentisera som: CONTOSO\Administrator Klient stöder kanalbindning:FALSKT Klient tillåten i läge som stöds:SANT Flaggor för granskningsresultat:0x42
Uppdateringar för 10 oktober 2023
De granskningsändringar som lades till i augusti 2023 är nu tillgängliga på Windows Server 2019. I det operativsystemet lägger den här uppdateringen till alternativ för administratörer för granskning av dessa klienter. Du kan aktivera KBT-händelser 3074 och 3075. Använd händelsekällan **Microsoft-Windows-ActiveDirectory_DomainService** i katalogtjänstens händelselogg.
Viktigt! Uppdateringen från 10 oktober 2023 ändrar inte LDAP-signering, LDAP-kanalbindande standardprinciper eller deras registerekvivalenter på nya eller befintliga Active Directory-DCs.
All vägledning i avsnittet om uppdateringar för mars 2020 gäller även här. För de nya granskningshändelserna krävs de princip- och registerinställningar som beskrivs i anvisningarna ovan. Det finns också ett aktiveringssteg för att se de nya granskningshändelserna. Den nya implementeringsinformationen finns i avsnittet Rekommenderade åtgärder nedan.
Uppdateringar 14 november 2023
De granskningsändringar som lades till i augusti 2023 är nu tillgängliga på Windows Server 2022. Du behöver inte installera MSI:er eller skapa principer som nämns i steg 3 i Rekommenderade åtgärder.
Uppdateringar från 9 januari 2024
De granskningsändringar som lades till i oktober 2023 är nu tillgängliga på Windows Server 2019. Du behöver inte installera MSI:er eller skapa principer som nämns i steg 3 i Rekommenderade åtgärder.
Rekommenderade åtgärder
Vi rekommenderar starkt kunderna att vidta följande åtgärder så snart som möjligt:
-
Se till att Windows-uppdateringarna från 10 mars 2020 eller senare är installerade på domänkontrollantrolldatorer. Om du vill aktivera granskningshändelser för LDAP-kanalbindning kontrollerar du att uppdateringarna från 8 augusti 2023 eller senare installeras på Windows Server 2022- eller Server 2019-datorerna.
-
Aktivera diagnostikloggning för LDAP-händelser till 2 eller senare.
-
Aktivera granskningshändelseuppdateringarna för augusti 2023 eller oktober 2023 med grupprincip. Du kan hoppa över det här steget om du har installerat uppdateringarna för november 2023 eller senare på Windows Server 2022. Om du har installerat uppdateringarna för januari 2024 eller senare på Windows Server 2019 kan du också hoppa över det här steget.
-
Ladda ned de två MSI:er för aktivering per OS-version från Microsoft Download Center:
-
Expandera MSI:erna för att installera de nya ADMX-filerna som innehåller principdefinitionerna. Om du använder Central Store för grupprincip kopierar du ADMX-filerna till Central Store.
-
Tillämpa motsvarande principer på domänkontrollanternas OU eller på en delmängd av DCs för Server 2022 eller Server 2019.
-
Starta om domänkontrollanten för att ändringarna ska börja gälla.
-
-
Övervaka händelseloggen för katalogtjänster på alla dc-rolldatorer som filtrerats efter:
-
Identifiera märke, modell och typ av enhet för varje IP-adress som citeras av:
-
Händelse 2889 för osignerade LDAP-samtal
-
Händelse 3039 för att inte använda LDAP-kanalbindning
-
Händelse 3074 eller 3075 för att inte kunna LDAP-kanalbindning
-
Enhetstyper
Gruppera enhetstyper i 1 av 3 kategorier:
-
Apparat eller router –
-
Kontakta enhetsleverantören.
-
-
Enhet som inte körs på ett Windows-operativsystem –
-
Kontrollera att både LDAP-kanalbindning och LDAP-signering stöds i operativsystemet och programmet. Det gör du genom att arbeta med operativsystemet och programleverantören.
-
-
Enhet som körs på ett Windows-operativsystem –
-
LDAP-signering är tillgängligt för användning av alla program i alla versioner av Windows som stöds. Kontrollera att LDAP-signering används i programmet eller tjänsten.
-
LDAP-kanalbindning kräver att alla Windows-enheter har CVE-2017-8563 installerat. Kontrollera att programmet eller tjänsten använder LDAP-kanalbindning.
-
Använd lokala, fjärranslutna, allmänna eller enhetsspecifika spårningsverktyg. Det kan till exempel vara nätverksinspelningar, processhanteraren eller felsökningsspårningar. Avgöra om kärnoperativsystemet, en tjänst eller ett program utför osignerade LDAP-bindningar eller inte använder KBT.
Använd Aktivitetshanteraren i Windows eller en motsvarighet för att mappa process-ID:t till process-, tjänst- och programnamn.
Schema för säkerhetsuppdatering
Uppdateringen från 10 mars 2020 lade till kontroller för administratörer för att härda konfigurationerna för LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter. 8 augusti och 10 oktober 2023-uppdateringarna lägger till alternativ för administratörer för att granska klientdatorer som inte kan använda LDAP-kanalbindningstoken. Vi rekommenderar starkt kunderna att vidta de åtgärder som rekommenderas i den här artikeln så snart som möjligt.
Måldatum |
Händelse |
Gäller för |
den 10 mars 2020 |
Obligatoriskt: Säkerhetsuppdatering tillgänglig på Windows Update för alla Windows-plattformar som stöds. Obs! För Windows-plattformar som inte har standardsupport är den här säkerhetsuppdateringen endast tillgänglig via tillämpliga utökade supportprogram. LDAP-kanalbindningsstöd har lagts till av CVE-2017-8563 på Windows Server 2008 och senare versioner. Kanalbindningstoken stöds i Windows 10 version 1709 och senare versioner. Windows XP stöder inte LDAP-kanalbindning och skulle misslyckas när LDAP-kanalbindning konfigureras med hjälp av värdet Alltid, men skulle fungera tillsammans med DC:er som konfigurerats för att använda en mer avslappnad LDAP-kanalbindningsinställning för Vid support. |
Windows Server 2022 Windows 10 version 20H2 Windows 10 version 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Utökade säkerhetsuppdateringar (ESU)) |
den 8 augusti 2023 |
Lägger till LDAP-kanalbindningstokengranskningshändelser (3074 & 3075). De är inaktiverade som standard i Windows Server 2022. |
Windows Server 2022 |
10 oktober 2023 |
Lägger till LDAP-kanalbindningstokengranskningshändelser (3074 & 3075). De är inaktiverade som standard i Windows Server 2019. |
Windows Server 2019 |
den 14 november 2023 |
Granskningshändelser för LDAP-kanalbindningstoken är tillgängliga på Windows Server 2022 utan att installera MSI för aktivering (enligt beskrivningen i steg 3 i Rekommenderade åtgärder). |
Windows Server 2022 |
9 januari 2024 |
Granskningshändelser för LDAP-kanalbindningstoken är tillgängliga på Windows Server 2019 utan att installera MSI för aktivering (enligt beskrivningen i steg 3 i Rekommenderade åtgärder). |
Windows Server 2019 |
Vanliga frågor och svar
Svar på vanliga frågor om LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter finns i: