อัปเดตเมื่อ 1/09/2024
ดูเนื้อหาใหม่ในการอัปเดตของวันที่ 9 มกราคม 2024
บทนำ
การผูกช่องทาง LDAP และการลงชื่อ LDAP ให้วิธีในการเพิ่มความปลอดภัยสําหรับการสื่อสารระหว่างไคลเอ็นต์ LDAP และตัวควบคุมโดเมน Active Directory ชุดการกําหนดค่าเริ่มต้นที่ไม่ปลอดภัยสําหรับการผูกช่องทาง LDAP และการรับรอง LDAP มีอยู่ในตัวควบคุมโดเมน Active Directory ที่ช่วยให้ไคลเอ็นต์ LDAP สามารถสื่อสารกับไคลเอ็นต์ได้โดยไม่ต้องบังคับใช้การผูกช่องทาง LDAP และการลงชื่อ LDAP ซึ่งสามารถเปิดตัวควบคุมโดเมน Active Directory เพื่อยกระดับสิทธิ์ของช่องโหว่
ช่องโหว่นี้อาจทําให้ผู้โจมตีแบบ man-in-the-middle ส่งต่อการร้องขอการรับรองความถูกต้องไปยังเซิร์ฟเวอร์โดเมนของ Microsoft ที่ไม่ได้ถูกกําหนดค่าให้จําเป็นต้องมีการผูกช่องทาง การเซ็นชื่อ หรือการปิดผนึกในการเชื่อมต่อขาเข้าได้สําเร็จ
Microsoft ขอแนะนําให้ผู้ดูแลระบบทําการเปลี่ยนแปลงการชุบแข็งตามที่อธิบายไว้ใน ADV190023
ในวันที่ 10 มีนาคม 2020 เรากําลังแก้ไขช่องโหว่นี้โดยให้ตัวเลือกต่อไปนี้สําหรับผู้ดูแลระบบเพื่อเพิ่มการกําหนดค่าสําหรับการผูกช่องทาง LDAP บนตัวควบคุมโดเมน Active Directory:
-
ตัวควบคุมโดเมน: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP นโยบายกลุ่ม
-
เหตุการณ์การรับรองโทเค็นการผูกข้อมูลแชนเนล (CBT) 3039, 3040 และ 3041 ที่มี Directory_DomainService Microsoft-Windows-Active ของผู้ส่งเหตุการณ์ในบันทึกเหตุการณ์ Directory Service
สิ่งสําคัญ: การอัปเดตและการอัปเดตของวันที่ 10 มีนาคม 2020 ในอนาคตที่คาดการณ์ได้จะไม่เปลี่ยนแปลงการรับรอง LDAP หรือแชนเนล LDAP ที่ผูกกับนโยบายเริ่มต้น หรือรีจิสทรีที่เทียบเท่ากับตัวควบคุมโดเมน Active Directory ใหม่หรือที่มีอยู่
ตัวควบคุมโดเมนการรับรอง LDAP: นโยบายข้อกําหนดในการเซ็นชื่อเซิร์ฟเวอร์ LDAP มีอยู่แล้วใน Windows ทุกเวอร์ชันที่ได้รับการสนับสนุน เริ่มต้นด้วย Windows Server 2022 รุ่น 23H2 Windows รุ่นใหม่ทั้งหมดจะมีการเปลี่ยนแปลงทั้งหมดในบทความนี้
ทำไมจึงต้องมีการเปลี่ยนแปลงนี้
ความปลอดภัยของตัวควบคุมโดเมน Active Directory สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์ให้ปฏิเสธการผูก LDAP ของการรับรองความถูกต้องแบบง่ายและชั้นความปลอดภัย (SASL) ที่ไม่ร้องขอการลงชื่อ (การตรวจสอบความสมบูรณ์) หรือปฏิเสธการผูกข้อมูลแบบง่ายของ LDAP ที่ดําเนินการกับการเชื่อมต่อข้อความธรรมดา (ไม่ใช่ SSL/TLS-เข้ารหัสลับ) SASL อาจมีโปรโตคอลต่างๆ เช่น โปรโตคอล Negotiate, Kerberos, NTLM และ Digest
การรับส่งข้อมูลบนเครือข่ายที่ไม่มีการรับรองนั้นมีความเปราะบางต่อการโจมตีที่ผู้บุกรุกจะขัดขวางความพยายามในการตรวจสอบสิทธิ์และการออกบัตรแสดงการรับรองความถูกต้อง ผู้บุกรุกสามารถนำบัตรแสดงการรับรองความถูกต้องกลับมาใช้ใหม่เพื่อปลอมตัวเป็นผู้ใช้ที่ถูกต้อง นอกจากนี้ การรับส่งข้อมูลบนเครือข่ายที่ไม่มีการรับรองมีความอ่อนไหวต่อการโจมตีแบบ man-in-the-middle (MiTM) ซึ่งผู้บุกรุกจะจับแพคเก็ตระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ เปลี่ยนแพคเก็ต แล้วส่งต่อไปยังเซิร์ฟเวอร์ หากเกิดกรณีนี้ขึ้นในตัวควบคุมโดเมนของ Active Directory ผู้โจมตีสามารถทําให้เซิร์ฟเวอร์ตัดสินใจตามคําขอที่ปลอมจากไคลเอ็นต์ LDAP LDAPS ใช้พอร์ตเครือข่ายที่แตกต่างกันของตนเองเพื่อเชื่อมต่อไคลเอ็นต์และเซิร์ฟเวอร์ พอร์ตเริ่มต้นสําหรับ LDAP คือพอร์ต 389 แต่ LDAPS ใช้พอร์ต 636 และสร้าง SSL/TLS เมื่อเชื่อมต่อกับไคลเอ็นต์
โทเค็นการผูกแชนเนลช่วยให้การรับรองความถูกต้อง LDAP ผ่าน SSL/TLS มีความปลอดภัยมากขึ้นจากการโจมตีแบบ man-in-the-middle
การอัปเดตวันที่ 10 มีนาคม 2020
สำคัญ การอัปเดตของวันที่ 10 มีนาคม 2020 จะไม่เปลี่ยนแปลงนโยบายเริ่มต้นที่ผูกกับแชนเนล LDAP หรือการผูกกับนโยบายเริ่มต้นของ LDAP หรือรีจิสทรีที่เทียบเท่ากับตัวควบคุมโดเมน Active Directory ใหม่หรือที่มีอยู่
การอัปเดต Windows ที่จะเผยแพร่ในวันที่ 10 มีนาคม 2020 จะเพิ่มฟีเจอร์ต่อไปนี้:
-
เหตุการณ์ใหม่จะถูกบันทึกในตัวแสดงเหตุการณ์ที่เกี่ยวข้องกับการผูกแชนเนล LDAP ดู ตาราง 1 และ ตาราง 2 สําหรับรายละเอียดของเหตุการณ์เหล่านี้
-
ตัวควบคุมโดเมนใหม่: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP นโยบายกลุ่มกําหนดค่าการผูกช่องทาง LDAP บนอุปกรณ์ที่สนับสนุน
การแมประหว่างการตั้งค่านโยบายการเซ็นชื่อ LDAP และการตั้งค่ารีจิสทรีมีดังนี้:
-
การตั้งค่านโยบาย: "ตัวควบคุมโดเมน: ข้อกําหนดการเซ็นชื่อเซิร์ฟเวอร์ LDAP"
-
การตั้งค่ารีจิสทรี: LDAPServerIntegrity
-
ชนิดข้อมูล: DWORD
-
เส้นทางรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
การตั้งค่านโยบายกลุ่ม |
การตั้งค่ารีจิสทรี |
ไม่มี |
1 |
จําเป็นต้องมีการเซ็นชื่อ |
2 |
การแมประหว่างการตั้งค่านโยบายการผูกข้อมูลช่องทาง LDAP และการตั้งค่ารีจิสทรีมีดังนี้:
-
การตั้งค่านโยบาย: "ตัวควบคุมโดเมน: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP"
-
การตั้งค่ารีจิสทรี: LdapEnforceChannelBinding
-
ชนิดข้อมูล: DWORD
-
เส้นทางรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
การตั้งค่านโยบายกลุ่ม |
การตั้งค่ารีจิสทรี |
ไม่ใช้ |
0 |
เมื่อได้รับการสนับสนุน |
1 |
ทุกครั้ง |
2 |
ตารางที่ 1: เหตุการณ์การเซ็นชื่อ LDAP
คำอธิบาย |
ทริก เกอร์ |
|
ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์เพื่อบังคับใช้การตรวจสอบความถูกต้องของการเซ็นชื่อ LDAP |
ทริกเกอร์ทุก 24 ชั่วโมง เมื่อเริ่มต้นหรือเริ่มต้นบริการ ถ้านโยบายกลุ่มถูกตั้งค่าเป็น ไม่มี ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า |
|
ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP |
ทริกเกอร์ทุก 24 ชั่วโมงเมื่อนโยบายกลุ่มถูกตั้งค่าเป็น ไม่มี และมีการรวมที่ไม่มีการป้องกันอย่างน้อยหนึ่งรายการเสร็จสมบูรณ์ ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า |
|
ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP |
ทริกเกอร์ทุกๆ 24 ชั่วโมงเมื่อนโยบายกลุ่มถูกตั้งค่าเป็น จําเป็นต้องมีการเซ็นชื่อ และมีอย่างน้อยหนึ่งการผูกที่ไม่มีการป้องกันถูกปฏิเสธ ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า |
|
ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP |
ทริกเกอร์เมื่อไคลเอ็นต์ไม่ใช้การลงชื่อสําหรับการผูกข้อมูลบนเซสชันบนพอร์ต 389 ระดับการบันทึกขั้นต่ํา: 2 หรือสูงกว่า |
ตารางที่ 2: เหตุการณ์ CBT
เหตุการณ์ |
คำอธิบาย |
ทริก เกอร์ |
3039 |
ไคลเอ็นต์ต่อไปนี้ดําเนินการผูก LDAP ผ่าน SSL/TLS และล้มเหลวในการตรวจสอบความถูกต้องของโทเค็นการผูกช่องทาง LDAP |
ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:
ระดับการบันทึกขั้นต่ํา: 2 |
3040 |
ในระหว่างช่วงเวลา 24 ชั่วโมงก่อนหน้า # ของการผูก LDAP ที่ไม่มีการป้องกันถูกดําเนินการ |
ทริกเกอร์ทุก 24 ชั่วโมงเมื่อนโยบายกลุ่ม CBT ถูกตั้งค่าเป็น ไม่ใช้งาน และมีอย่างน้อยหนึ่งการผูกที่ไม่มีการป้องกันเสร็จสมบูรณ์ ระดับการบันทึกขั้นต่ํา: 0 |
3041 |
ความปลอดภัยของเซิร์ฟเวอร์ไดเรกทอรีนี้สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์เพื่อบังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกช่องทาง LDAP |
ทริกเกอร์ทุก 24 ชั่วโมง เมื่อเริ่มต้นระบบหรือเริ่มต้นบริการ หากนโยบายกลุ่ม CBT ถูกตั้งค่าเป็น ไม่ใช้งาน ระดับการบันทึกขั้นต่ํา: 0 |
เมื่อต้องการตั้งค่าระดับการบันทึกในรีจิสทรี ให้ใช้คําสั่งที่คล้ายกับต่อไปนี้:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกําหนดค่าการบันทึกเหตุการณ์การวินิจฉัย Active Directory ให้ดู วิธีการกําหนดค่าการบันทึกเหตุการณ์การวินิจฉัย Active Directory และ LDS
การอัปเดตของวันที่ 8 สิงหาคม 2023
เครื่องไคลเอ็นต์บางเครื่องไม่สามารถใช้โทเค็นการผูกช่องทาง LDAP เพื่อผูกกับตัวควบคุมโดเมน (DC) ของ Active Directory ได้ Microsoft จะเผยแพร่การอัปเดตความปลอดภัยในวันที่ 8 สิงหาคม 2023 สําหรับ Windows Server 2022 การอัปเดตนี้จะเพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบไคลเอ็นต์เหล่านี้ คุณสามารถเปิดใช้งานเหตุการณ์ CBT 3074 และ 3075 ด้วยแหล่งเหตุการณ์ **Microsoft-Windows-ActiveDirectory_DomainService** ในบันทึกเหตุการณ์บริการไดเรกทอรี
สำคัญ การอัปเดตของวันที่ 8 สิงหาคม 2023 จะไม่เปลี่ยนแปลงการลงชื่อ LDAP, นโยบายเริ่มต้นการผูกช่องทาง LDAP หรือรีจิสทรีเทียบเท่ากับดีวีดี Active Directory ใหม่หรือที่มีอยู่
คําแนะนําทั้งหมดในส่วนการอัปเดตเดือนมีนาคม 2020 จะนําไปใช้ที่นี่เช่นกัน เหตุการณ์การตรวจสอบใหม่จะต้องมีการตั้งค่านโยบายและรีจิสทรีที่ระบุไว้ในคําแนะนําด้านบน นอกจากนี้ยังมีขั้นตอนการเปิดใช้งานเพื่อดูเหตุการณ์การตรวจสอบใหม่ รายละเอียดการใช้งานใหม่อยู่ในส่วน การดําเนินการที่แนะนํา ด้านล่าง
ตารางที่ 3: เหตุการณ์ CBT
เหตุการณ์ |
คำอธิบาย |
ทริก เกอร์ |
3074 |
ไคลเอ็นต์ต่อไปนี้ดําเนินการผูก LDAP ผ่าน SSL/TLS และอาจล้มเหลวในการตรวจสอบความถูกต้องของโทเค็นการผูกแชนเนล ถ้าเซิร์ฟเวอร์ไดเรกทอรีได้รับการกําหนดค่าให้บังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกข้อมูลแชนเนล |
ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:
ระดับการบันทึกขั้นต่ํา: 2 |
3075 |
ไคลเอ็นต์ต่อไปนี้ทําการผูก LDAP ผ่าน SSL/TLS และไม่มีข้อมูลการผูกแชนเนล เมื่อเซิร์ฟเวอร์ไดเรกทอรีนี้ถูกกําหนดค่าให้บังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกข้อมูลแชนเนล การดําเนินการผูกนี้จะถูกปฏิเสธ |
ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:
ระดับการบันทึกขั้นต่ํา: 2 |
หมายเหตุ เมื่อคุณตั้งค่าระดับการบันทึกเป็นอย่างน้อย 2 ID เหตุการณ์ 3074 จะถูกบันทึก ผู้ดูแลระบบสามารถใช้ข้อมูลนี้เพื่อตรวจสอบสภาพแวดล้อมของตนเองสําหรับลูกค้าที่ไม่ทํางานกับโทเค็นการผูกแชนเนล เหตุการณ์จะมีข้อมูลการวินิจฉัยต่อไปนี้เพื่อระบุไคลเอ็นต์:
Client IP address: 192.168.10.5:62709 ข้อมูลประจําตัวที่ไคลเอ็นต์พยายามรับรองความถูกต้องเป็น: CONTOSO\Administrator ไคลเอ็นต์สนับสนุนการเข้าเล่มช่องทาง:FALSE ไคลเอ็นต์อนุญาตเมื่อโหมดที่สนับสนุน:TRUE ค่าสถานะผลลัพธ์การตรวจสอบ:0x42
การอัปเดตของวันที่ 10 ตุลาคม 2023
การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนสิงหาคม 2023 พร้อมใช้งานบน Windows Server 2019 แล้ว สําหรับระบบปฏิบัติการดังกล่าว การอัปเดตนี้จะเพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบไคลเอ็นต์เหล่านี้ คุณสามารถเปิดใช้งานเหตุการณ์ CBT 3074 และ 3075 ใช้แหล่งเหตุการณ์ **Microsoft-Windows-ActiveDirectory_DomainService** ในบันทึกเหตุการณ์ของบริการไดเรกทอรี
สำคัญ การอัปเดตในวันที่ 10 ตุลาคม 2023 จะไม่เปลี่ยนแปลงการลงชื่อ LDAP ช่องทาง LDAP ที่ผูกกับนโยบายเริ่มต้น หรือรีจิสทรีเทียบเท่ากับ DC ใหม่หรือที่มีอยู่ของ Active Directory
คําแนะนําทั้งหมดในส่วนการอัปเดตเดือนมีนาคม 2020 จะนําไปใช้ที่นี่เช่นกัน เหตุการณ์การตรวจสอบใหม่จะต้องมีการตั้งค่านโยบายและรีจิสทรีที่ระบุไว้ในคําแนะนําด้านบน นอกจากนี้ยังมีขั้นตอนการเปิดใช้งานเพื่อดูเหตุการณ์การตรวจสอบใหม่ รายละเอียดการใช้งานใหม่อยู่ในส่วน การดําเนินการที่แนะนํา ด้านล่าง
การอัปเดตวันที่ 14 พฤศจิกายน 2023
การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนสิงหาคม 2023 พร้อมใช้งานบน Windows Server 2022 แล้ว คุณไม่จําเป็นต้องติดตั้ง MSIs หรือสร้างนโยบายตามที่ระบุไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา
การอัปเดตวันที่ 9 มกราคม 2024
การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนตุลาคม 2023 พร้อมใช้งานบน Windows Server 2019 แล้ว คุณไม่จําเป็นต้องติดตั้ง MSIs หรือสร้างนโยบายตามที่ระบุไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา
การดำเนินการที่แนะนำ
เราขอแนะนําให้ลูกค้าทําตามขั้นตอนต่อไปนี้โดยเร็วที่สุด:
-
ตรวจสอบให้แน่ใจว่าการอัปเดต Windows วันที่ 10 มีนาคม 2020 หรือใหม่กว่าได้รับการติดตั้งบนคอมพิวเตอร์บทบาทตัวควบคุมโดเมน (DC) หากคุณต้องการเปิดใช้งานเหตุการณ์การตรวจสอบการผูกช่องทาง LDAP ตรวจสอบให้แน่ใจว่าการอัปเดตวันที่ 8 สิงหาคม 2023 หรือใหม่กว่าได้รับการติดตั้งบน Windows Server 2022 หรือ Server 2019 DC
-
เปิดใช้งานการบันทึกการวินิจฉัยเหตุการณ์ LDAP เป็น 2 หรือสูงกว่า
-
เปิดใช้งานการอัปเดตเหตุการณ์การตรวจสอบประจําเดือนสิงหาคม 2023 หรือตุลาคม 2023 โดยใช้นโยบายกลุ่ม คุณสามารถข้ามขั้นตอนนี้ได้ถ้าคุณได้ติดตั้งการอัปเดตเดือนพฤศจิกายน 2023 หรือใหม่กว่าบน Windows Server 2022 หากคุณได้ติดตั้งการอัปเดตประจําเดือนมกราคม 2024 หรือใหม่กว่าบน Windows Server 2019 คุณสามารถข้ามขั้นตอนนี้ได้
-
ดาวน์โหลดการเปิดใช้งาน MSIs สองรายการต่อเวอร์ชันของระบบปฏิบัติการจากศูนย์ดาวน์โหลด Microsoft:
-
ขยาย MSI เพื่อติดตั้งไฟล์ ADMX ใหม่ที่มีข้อกําหนดของนโยบาย หากคุณใช้ Central Store สําหรับนโยบายกลุ่ม ให้คัดลอกไฟล์ ADMX ไปยัง Central Store
-
ปรับใช้นโยบายที่สอดคล้องกับ OU ของตัวควบคุมโดเมนของคุณหรือชุดย่อยของ DC Server 2022 หรือ Server 2019 ของคุณ
-
รีสตาร์ต DC เพื่อให้การเปลี่ยนแปลงมีผล
-
-
ตรวจสอบแฟ้มบันทึกเหตุการณ์ของบริการไดเรกทอรีบนคอมพิวเตอร์บทบาท DC ทั้งหมดที่ถูกกรองสําหรับ:
-
เหตุการณ์ความล้มเหลวในการเซ็นชื่อ LDAP 2889 ในตาราง 1
-
LDAP Channel Binding failure event 3039 in Table 2.
-
เหตุการณ์การตรวจสอบการผูกช่องทาง LDAP 3074 และ 3075 ในตารางที่ 3
หมายเหตุ เหตุการณ์ 3039, 3074 และ 3075 จะถูกสร้างขึ้นเมื่อการเข้าเล่มแชนเนลถูกตั้งค่าเป็น เมื่อสนับสนุน หรือ เสมอ เท่านั้น
-
-
ระบุผู้ผลิต รุ่น และชนิดของอุปกรณ์สําหรับที่อยู่ IP แต่ละที่อยู่ที่อ้างถึงโดย:
-
เหตุการณ์ 2889 สําหรับการโทร LDAP ที่ไม่มีลายเซ็น
-
เหตุการณ์ 3039 สําหรับการไม่ใช้การผูกช่องทาง LDAP
-
เหตุการณ์ 3074 หรือ 3075 สําหรับไม่สามารถเข้าเล่มช่องทาง LDAP ได้
-
ชนิดอุปกรณ์
จัดกลุ่มชนิดอุปกรณ์ออกเป็น 1 จาก 3 ประเภท:
-
เครื่องใช้หรือเราเตอร์ -
-
ติดต่อผู้ให้บริการอุปกรณ์
-
-
อุปกรณ์ที่ไม่ได้ทํางานบนระบบปฏิบัติการ Windows -
-
ตรวจสอบว่าทั้งการผูกช่องทาง LDAP และการลงชื่อ LDAP ได้รับการสนับสนุนบนระบบปฏิบัติการและแอปพลิเคชัน ทําเช่นนี้โดยทํางานกับระบบปฏิบัติการและผู้ให้บริการแอปพลิเคชัน
-
-
อุปกรณ์ที่ทํางานบนระบบปฏิบัติการ Windows -
-
การลงชื่อ LDAP พร้อมใช้งานโดยแอปพลิเคชันทั้งหมดบน Windows ทุกเวอร์ชันที่ได้รับการสนับสนุน ตรวจสอบว่าแอปพลิเคชันหรือบริการของคุณกําลังใช้การรับรอง LDAP
-
การผูกช่องทาง LDAP จําเป็นต้องติดตั้งอุปกรณ์ Windows ทั้งหมดที่มี CVE-2017-8563 ตรวจสอบว่าแอปพลิเคชันหรือบริการของคุณกําลังใช้การผูกช่องทาง LDAP
-
ใช้เครื่องมือติดตามเฉพาะที่ ระยะไกล ทั่วไป หรืออุปกรณ์ ซึ่งรวมถึงการจับภาพเครือข่าย ตัวจัดการกระบวนการ หรือการติดตามการแก้จุดบกพร่อง กําหนดว่าระบบปฏิบัติการหลัก บริการ หรือแอปพลิเคชันกําลังดําเนินการผูก LDAP ที่ไม่มีลายเซ็นหรือไม่ หรือไม่ได้ใช้ CBT
ใช้ตัวจัดการงานของ Windows หรือเทียบเท่าเพื่อแมปรหัสกระบวนการเพื่อประมวลผล บริการ และชื่อแอปพลิเคชัน
กำหนดการของการอัปเดตความปลอดภัย
การอัปเดตวันที่ 10 มีนาคม 2020 ได้เพิ่มตัวควบคุมสําหรับผู้ดูแลระบบเพื่อทําให้การกําหนดค่าสําหรับการผูกช่องทาง LDAP และการลงชื่อ LDAP บนตัวควบคุมโดเมน Active Directory เข้มงวดขึ้น การอัปเดตวันที่ 8 สิงหาคม 2023 และ 10 ตุลาคม 2023 เพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบเครื่องไคลเอ็นต์ที่ไม่สามารถใช้โทเค็นการผูกช่องทาง LDAP ได้ เราขอแนะนําให้ลูกค้าดําเนินการตามที่แนะนําในบทความนี้โดยเร็วที่สุด
วันที่เป้าหมาย |
เหตุการณ์ |
นําไปใช้กับ |
วันที่ 10 มีนาคม 2563 |
จําเป็น: การอัปเดตความปลอดภัยพร้อมใช้งานบน Windows Update สําหรับแพลตฟอร์ม Windows ที่ได้รับการสนับสนุนทั้งหมด หมายเหตุ สําหรับแพลตฟอร์ม Windows ที่ไม่อยู่ในการสนับสนุนมาตรฐาน การอัปเดตความปลอดภัยนี้จะพร้อมใช้งานผ่านโปรแกรมการสนับสนุนที่ขยายเวลาที่เกี่ยวข้องเท่านั้น การสนับสนุนการผูกช่องทาง LDAP ถูกเพิ่มโดย CVE-2017-8563 บน Windows Server 2008 และเวอร์ชันที่ใหม่กว่า โทเค็นที่ผูกกับแชนเนลได้รับการสนับสนุนใน Windows 10 เวอร์ชัน 1709 และเวอร์ชันที่ใหม่กว่า Windows XP ไม่สนับสนุนการผูกช่องทาง LDAP และจะล้มเหลวเมื่อการผูกช่องทาง LDAP ได้รับการกําหนดค่าโดยใช้ค่า เสมอ แต่จะทํางานร่วมกับ DC ที่กําหนดค่าให้ใช้การตั้งค่าการผูกช่อง LDAP ที่ผ่อนคลายมากขึ้นของ เมื่อได้รับการสนับสนุน |
Windows Server 2022 Windows 10 เวอร์ชัน 20H2 Windows 10 เวอร์ชัน 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (การอัปเดตความปลอดภัยที่ขยายเวลา (ESU)) |
วันที่ 8 สิงหาคม 2566 |
เพิ่มเหตุการณ์การตรวจสอบโทเค็นที่ผูกกับแชนเนล LDAP (3074 & 3075) โดยจะถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server 2022 |
Windows Server 2022 |
10 ตุลาคม 2023 |
เพิ่มเหตุการณ์การตรวจสอบโทเค็นที่ผูกกับแชนเนล LDAP (3074 & 3075) โดยจะถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server 2019 |
Windows Server 2019 |
วันที่ 14 พฤศจิกายน 2566 |
เหตุการณ์การตรวจสอบโทเค็นการผูกข้อมูลช่องทาง LDAP จะพร้อมใช้งานบน Windows Server 2022 โดยไม่ต้องติดตั้งการเปิดใช้งาน MSI (ตามที่อธิบายไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา) |
Windows Server 2022 |
9 มกราคม 2024 |
เหตุการณ์การตรวจสอบโทเค็นการผูกข้อมูลช่องทาง LDAP จะพร้อมใช้งานบน Windows Server 2019 โดยไม่ต้องติดตั้งการเปิดใช้งาน MSI (ตามที่อธิบายไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา) |
Windows Server 2019 |
คำถามที่ถามบ่อย
สําหรับคําตอบของคําถามที่ถามบ่อยเกี่ยวกับการผูกช่องทาง LDAP และการรับรอง LDAP บนตัวควบคุมโดเมน Active Directory ให้ดู: