Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

อัปเดตเมื่อ 1/09/2024

ดูเนื้อหาใหม่ในการอัปเดตของวันที่ 9 มกราคม 2024

บทนำ

การผูกช่องทาง LDAP และการลงชื่อ LDAP ให้วิธีในการเพิ่มความปลอดภัยสําหรับการสื่อสารระหว่างไคลเอ็นต์ LDAP และตัวควบคุมโดเมน Active Directory ชุดการกําหนดค่าเริ่มต้นที่ไม่ปลอดภัยสําหรับการผูกช่องทาง LDAP และการรับรอง LDAP มีอยู่ในตัวควบคุมโดเมน Active Directory ที่ช่วยให้ไคลเอ็นต์ LDAP สามารถสื่อสารกับไคลเอ็นต์ได้โดยไม่ต้องบังคับใช้การผูกช่องทาง LDAP และการลงชื่อ LDAP ซึ่งสามารถเปิดตัวควบคุมโดเมน Active Directory เพื่อยกระดับสิทธิ์ของช่องโหว่

ช่องโหว่นี้อาจทําให้ผู้โจมตีแบบ man-in-the-middle ส่งต่อการร้องขอการรับรองความถูกต้องไปยังเซิร์ฟเวอร์โดเมนของ Microsoft ที่ไม่ได้ถูกกําหนดค่าให้จําเป็นต้องมีการผูกช่องทาง การเซ็นชื่อ หรือการปิดผนึกในการเชื่อมต่อขาเข้าได้สําเร็จ

Microsoft ขอแนะนําให้ผู้ดูแลระบบทําการเปลี่ยนแปลงการชุบแข็งตามที่อธิบายไว้ใน ADV190023

ในวันที่ 10 มีนาคม 2020 เรากําลังแก้ไขช่องโหว่นี้โดยให้ตัวเลือกต่อไปนี้สําหรับผู้ดูแลระบบเพื่อเพิ่มการกําหนดค่าสําหรับการผูกช่องทาง LDAP บนตัวควบคุมโดเมน Active Directory:

  • ตัวควบคุมโดเมน: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP นโยบายกลุ่ม

  • เหตุการณ์การรับรองโทเค็นการผูกข้อมูลแชนเนล (CBT) 3039, 3040 และ 3041 ที่มี Directory_DomainService Microsoft-Windows-Active ของผู้ส่งเหตุการณ์ในบันทึกเหตุการณ์ Directory Service

สิ่งสําคัญ: การอัปเดตและการอัปเดตของวันที่ 10 มีนาคม 2020 ในอนาคตที่คาดการณ์ได้จะไม่เปลี่ยนแปลงการรับรอง LDAP หรือแชนเนล LDAP ที่ผูกกับนโยบายเริ่มต้น หรือรีจิสทรีที่เทียบเท่ากับตัวควบคุมโดเมน Active Directory ใหม่หรือที่มีอยู่

ตัวควบคุมโดเมนการรับรอง LDAP: นโยบายข้อกําหนดในการเซ็นชื่อเซิร์ฟเวอร์ LDAP มีอยู่แล้วใน Windows ทุกเวอร์ชันที่ได้รับการสนับสนุน เริ่มต้นด้วย Windows Server 2022 รุ่น 23H2 Windows รุ่นใหม่ทั้งหมดจะมีการเปลี่ยนแปลงทั้งหมดในบทความนี้

ทำไมจึงต้องมีการเปลี่ยนแปลงนี้

ความปลอดภัยของตัวควบคุมโดเมน Active Directory สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์ให้ปฏิเสธการผูก LDAP ของการรับรองความถูกต้องแบบง่ายและชั้นความปลอดภัย (SASL) ที่ไม่ร้องขอการลงชื่อ (การตรวจสอบความสมบูรณ์) หรือปฏิเสธการผูกข้อมูลแบบง่ายของ LDAP ที่ดําเนินการกับการเชื่อมต่อข้อความธรรมดา (ไม่ใช่ SSL/TLS-เข้ารหัสลับ) SASL อาจมีโปรโตคอลต่างๆ เช่น โปรโตคอล Negotiate, Kerberos, NTLM และ Digest

การรับส่งข้อมูลบนเครือข่ายที่ไม่มีการรับรองนั้นมีความเปราะบางต่อการโจมตีที่ผู้บุกรุกจะขัดขวางความพยายามในการตรวจสอบสิทธิ์และการออกบัตรแสดงการรับรองความถูกต้อง ผู้บุกรุกสามารถนำบัตรแสดงการรับรองความถูกต้องกลับมาใช้ใหม่เพื่อปลอมตัวเป็นผู้ใช้ที่ถูกต้อง นอกจากนี้ การรับส่งข้อมูลบนเครือข่ายที่ไม่มีการรับรองมีความอ่อนไหวต่อการโจมตีแบบ man-in-the-middle (MiTM) ซึ่งผู้บุกรุกจะจับแพคเก็ตระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ เปลี่ยนแพคเก็ต แล้วส่งต่อไปยังเซิร์ฟเวอร์ หากเกิดกรณีนี้ขึ้นในตัวควบคุมโดเมนของ Active Directory ผู้โจมตีสามารถทําให้เซิร์ฟเวอร์ตัดสินใจตามคําขอที่ปลอมจากไคลเอ็นต์ LDAP LDAPS ใช้พอร์ตเครือข่ายที่แตกต่างกันของตนเองเพื่อเชื่อมต่อไคลเอ็นต์และเซิร์ฟเวอร์ พอร์ตเริ่มต้นสําหรับ LDAP คือพอร์ต 389 แต่ LDAPS ใช้พอร์ต 636 และสร้าง SSL/TLS เมื่อเชื่อมต่อกับไคลเอ็นต์

โทเค็นการผูกแชนเนลช่วยให้การรับรองความถูกต้อง LDAP ผ่าน SSL/TLS มีความปลอดภัยมากขึ้นจากการโจมตีแบบ man-in-the-middle

การอัปเดตวันที่ 10 มีนาคม 2020

สำคัญ การอัปเดตของวันที่ 10 มีนาคม 2020 จะไม่เปลี่ยนแปลงนโยบายเริ่มต้นที่ผูกกับแชนเนล LDAP หรือการผูกกับนโยบายเริ่มต้นของ LDAP หรือรีจิสทรีที่เทียบเท่ากับตัวควบคุมโดเมน Active Directory ใหม่หรือที่มีอยู่

การอัปเดต Windows ที่จะเผยแพร่ในวันที่ 10 มีนาคม 2020 จะเพิ่มฟีเจอร์ต่อไปนี้:

  • เหตุการณ์ใหม่จะถูกบันทึกในตัวแสดงเหตุการณ์ที่เกี่ยวข้องกับการผูกแชนเนล LDAP ดู ตาราง 1 และ ตาราง 2 สําหรับรายละเอียดของเหตุการณ์เหล่านี้

  • ตัวควบคุมโดเมนใหม่: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP นโยบายกลุ่มกําหนดค่าการผูกช่องทาง LDAP บนอุปกรณ์ที่สนับสนุน

การแมประหว่างการตั้งค่านโยบายการเซ็นชื่อ LDAP และการตั้งค่ารีจิสทรีมีดังนี้:

  • การตั้งค่านโยบาย: "ตัวควบคุมโดเมน: ข้อกําหนดการเซ็นชื่อเซิร์ฟเวอร์ LDAP"

  • การตั้งค่ารีจิสทรี: LDAPServerIntegrity

  • ชนิดข้อมูล: DWORD

  • เส้นทางรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

การตั้งค่านโยบายกลุ่ม

การตั้งค่ารีจิสทรี

ไม่มี

1

จําเป็นต้องมีการเซ็นชื่อ

2

การแมประหว่างการตั้งค่านโยบายการผูกข้อมูลช่องทาง LDAP และการตั้งค่ารีจิสทรีมีดังนี้:

  • การตั้งค่านโยบาย: "ตัวควบคุมโดเมน: ข้อกําหนดโทเค็นการผูกแชนเนลเซิร์ฟเวอร์ LDAP"

  • การตั้งค่ารีจิสทรี: LdapEnforceChannelBinding

  • ชนิดข้อมูล: DWORD

  • เส้นทางรีจิสทรี: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

การตั้งค่านโยบายกลุ่ม

การตั้งค่ารีจิสทรี

ไม่ใช้

0

เมื่อได้รับการสนับสนุน

1

ทุกครั้ง

2

ตารางที่ 1: เหตุการณ์การเซ็นชื่อ LDAP

คำอธิบาย

ทริก เกอร์

2886

ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์เพื่อบังคับใช้การตรวจสอบความถูกต้องของการเซ็นชื่อ LDAP

ทริกเกอร์ทุก 24 ชั่วโมง เมื่อเริ่มต้นหรือเริ่มต้นบริการ ถ้านโยบายกลุ่มถูกตั้งค่าเป็น ไม่มี ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า

2887

ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP

ทริกเกอร์ทุก 24 ชั่วโมงเมื่อนโยบายกลุ่มถูกตั้งค่าเป็น ไม่มี และมีการรวมที่ไม่มีการป้องกันอย่างน้อยหนึ่งรายการเสร็จสมบูรณ์ ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า

2888

ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP

ทริกเกอร์ทุกๆ 24 ชั่วโมงเมื่อนโยบายกลุ่มถูกตั้งค่าเป็น จําเป็นต้องมีการเซ็นชื่อ และมีอย่างน้อยหนึ่งการผูกที่ไม่มีการป้องกันถูกปฏิเสธ ระดับการบันทึกขั้นต่ํา: 0 หรือสูงกว่า

2889

ความปลอดภัยของตัวควบคุมโดเมนเหล่านี้สามารถปรับปรุงได้โดยการกําหนดค่าให้ปฏิเสธการร้องขอการผูกข้อมูล LDAP แบบง่ายและการร้องขอการผูกข้อมูลอื่นๆ ที่ไม่มีการรับรอง LDAP

ทริกเกอร์เมื่อไคลเอ็นต์ไม่ใช้การลงชื่อสําหรับการผูกข้อมูลบนเซสชันบนพอร์ต 389 ระดับการบันทึกขั้นต่ํา: 2 หรือสูงกว่า

ตารางที่ 2: เหตุการณ์ CBT

เหตุการณ์

คำอธิบาย

ทริก เกอร์

3039

ไคลเอ็นต์ต่อไปนี้ดําเนินการผูก LDAP ผ่าน SSL/TLS และล้มเหลวในการตรวจสอบความถูกต้องของโทเค็นการผูกช่องทาง LDAP

ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:

  • เมื่อไคลเอ็นต์พยายามผูกกับโทเค็นการผูกช่องทาง (CBT) ที่มีการจัดรูปแบบไม่ถูกต้อง ถ้านโยบายกลุ่ม CBT ถูกตั้งค่าเป็น เมื่อได้รับการสนับสนุน หรือ เสมอ

  • เมื่อไคลเอ็นต์ที่สามารถทําการผูกข้อมูลช่องทางไม่ได้ส่ง CBT ถ้ามีการตั้งค่านโยบายกลุ่ม CBT เป็น เมื่อสนับสนุน ไคลเอ็นต์ สามารถทําการผนวกช่องทางได้หากมีการติดตั้งหรือใช้งานคุณลักษณะ EPA ในระบบปฏิบัติการ และไม่ได้ปิดใช้งานผ่านการตั้งค่ารีจิสทรี SuppressExtendedProtection ดูข้อมูลเพิ่มเติมได้ที่ KB5021989

  • เมื่อลูกค้าไม่ส่ง CBT ถ้านโยบายกลุ่ม CBT ถูกตั้งค่าเป็น เสมอ

ระดับการบันทึกขั้นต่ํา: 2

3040

ในระหว่างช่วงเวลา 24 ชั่วโมงก่อนหน้า # ของการผูก LDAP ที่ไม่มีการป้องกันถูกดําเนินการ

ทริกเกอร์ทุก 24 ชั่วโมงเมื่อนโยบายกลุ่ม CBT ถูกตั้งค่าเป็น ไม่ใช้งาน และมีอย่างน้อยหนึ่งการผูกที่ไม่มีการป้องกันเสร็จสมบูรณ์ ระดับการบันทึกขั้นต่ํา: 0

3041

ความปลอดภัยของเซิร์ฟเวอร์ไดเรกทอรีนี้สามารถปรับปรุงได้อย่างมากโดยการกําหนดค่าเซิร์ฟเวอร์เพื่อบังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกช่องทาง LDAP

ทริกเกอร์ทุก 24 ชั่วโมง เมื่อเริ่มต้นระบบหรือเริ่มต้นบริการ หากนโยบายกลุ่ม CBT ถูกตั้งค่าเป็น ไม่ใช้งาน ระดับการบันทึกขั้นต่ํา: 0

เมื่อต้องการตั้งค่าระดับการบันทึกในรีจิสทรี ให้ใช้คําสั่งที่คล้ายกับต่อไปนี้:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกําหนดค่าการบันทึกเหตุการณ์การวินิจฉัย Active Directory ให้ดู วิธีการกําหนดค่าการบันทึกเหตุการณ์การวินิจฉัย Active Directory และ LDS

การอัปเดตของวันที่ 8 สิงหาคม 2023

เครื่องไคลเอ็นต์บางเครื่องไม่สามารถใช้โทเค็นการผูกช่องทาง LDAP เพื่อผูกกับตัวควบคุมโดเมน (DC) ของ Active Directory ได้ Microsoft จะเผยแพร่การอัปเดตความปลอดภัยในวันที่ 8 สิงหาคม 2023 สําหรับ Windows Server 2022 การอัปเดตนี้จะเพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบไคลเอ็นต์เหล่านี้ คุณสามารถเปิดใช้งานเหตุการณ์ CBT 3074 และ 3075 ด้วยแหล่งเหตุการณ์ **Microsoft-Windows-ActiveDirectory_DomainService** ในบันทึกเหตุการณ์บริการไดเรกทอรี

สำคัญ การอัปเดตของวันที่ 8 สิงหาคม 2023 จะไม่เปลี่ยนแปลงการลงชื่อ LDAP, นโยบายเริ่มต้นการผูกช่องทาง LDAP หรือรีจิสทรีเทียบเท่ากับดีวีดี Active Directory ใหม่หรือที่มีอยู่

คําแนะนําทั้งหมดในส่วนการอัปเดตเดือนมีนาคม 2020 จะนําไปใช้ที่นี่เช่นกัน เหตุการณ์การตรวจสอบใหม่จะต้องมีการตั้งค่านโยบายและรีจิสทรีที่ระบุไว้ในคําแนะนําด้านบน นอกจากนี้ยังมีขั้นตอนการเปิดใช้งานเพื่อดูเหตุการณ์การตรวจสอบใหม่ รายละเอียดการใช้งานใหม่อยู่ในส่วน การดําเนินการที่แนะนํา ด้านล่าง

ตารางที่ 3: เหตุการณ์ CBT

เหตุการณ์

คำอธิบาย

ทริก เกอร์

3074

ไคลเอ็นต์ต่อไปนี้ดําเนินการผูก LDAP ผ่าน SSL/TLS และอาจล้มเหลวในการตรวจสอบความถูกต้องของโทเค็นการผูกแชนเนล ถ้าเซิร์ฟเวอร์ไดเรกทอรีได้รับการกําหนดค่าให้บังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกข้อมูลแชนเนล

ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:

  • เมื่อไคลเอ็นต์พยายามผูกกับโทเค็นการผูกช่องทาง (CBT) ที่มีการจัดรูปแบบไม่ถูกต้อง

ระดับการบันทึกขั้นต่ํา: 2

3075

ไคลเอ็นต์ต่อไปนี้ทําการผูก LDAP ผ่าน SSL/TLS และไม่มีข้อมูลการผูกแชนเนล เมื่อเซิร์ฟเวอร์ไดเรกทอรีนี้ถูกกําหนดค่าให้บังคับใช้การตรวจสอบความถูกต้องของโทเค็นการผูกข้อมูลแชนเนล การดําเนินการผูกนี้จะถูกปฏิเสธ

ถูกทริกเกอร์ในสถานการณ์ต่อไปนี้:

  • เมื่อไคลเอ็นต์ที่สามารถทําการผูกช่องทางไม่ได้ส่ง CBT

  • ไคลเอ็นต์สามารถทําการผนวกช่องทางได้หากมีการติดตั้งหรือใช้งานคุณลักษณะ EPA ในระบบปฏิบัติการ และไม่ได้ปิดใช้งานผ่านการตั้งค่ารีจิสทรี SuppressExtendedProtection ดูข้อมูลเพิ่มเติมได้ที่ KB5021989

ระดับการบันทึกขั้นต่ํา: 2

หมายเหตุ เมื่อคุณตั้งค่าระดับการบันทึกเป็นอย่างน้อย 2 ID เหตุการณ์ 3074 จะถูกบันทึก ผู้ดูแลระบบสามารถใช้ข้อมูลนี้เพื่อตรวจสอบสภาพแวดล้อมของตนเองสําหรับลูกค้าที่ไม่ทํางานกับโทเค็นการผูกแชนเนล เหตุการณ์จะมีข้อมูลการวินิจฉัยต่อไปนี้เพื่อระบุไคลเอ็นต์:

Client IP address: 192.168.10.5:62709 ข้อมูลประจําตัวที่ไคลเอ็นต์พยายามรับรองความถูกต้องเป็น: CONTOSO\Administrator ไคลเอ็นต์สนับสนุนการเข้าเล่มช่องทาง:FALSE ไคลเอ็นต์อนุญาตเมื่อโหมดที่สนับสนุน:TRUE ค่าสถานะผลลัพธ์การตรวจสอบ:0x42

การอัปเดตของวันที่ 10 ตุลาคม 2023

การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนสิงหาคม 2023 พร้อมใช้งานบน Windows Server 2019 แล้ว สําหรับระบบปฏิบัติการดังกล่าว การอัปเดตนี้จะเพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบไคลเอ็นต์เหล่านี้ คุณสามารถเปิดใช้งานเหตุการณ์ CBT 3074 และ 3075 ใช้แหล่งเหตุการณ์ **Microsoft-Windows-ActiveDirectory_DomainService** ในบันทึกเหตุการณ์ของบริการไดเรกทอรี

สำคัญ การอัปเดตในวันที่ 10 ตุลาคม 2023 จะไม่เปลี่ยนแปลงการลงชื่อ LDAP ช่องทาง LDAP ที่ผูกกับนโยบายเริ่มต้น หรือรีจิสทรีเทียบเท่ากับ DC ใหม่หรือที่มีอยู่ของ Active Directory

คําแนะนําทั้งหมดในส่วนการอัปเดตเดือนมีนาคม 2020 จะนําไปใช้ที่นี่เช่นกัน เหตุการณ์การตรวจสอบใหม่จะต้องมีการตั้งค่านโยบายและรีจิสทรีที่ระบุไว้ในคําแนะนําด้านบน นอกจากนี้ยังมีขั้นตอนการเปิดใช้งานเพื่อดูเหตุการณ์การตรวจสอบใหม่ รายละเอียดการใช้งานใหม่อยู่ในส่วน การดําเนินการที่แนะนํา ด้านล่าง

การอัปเดตวันที่ 14 พฤศจิกายน 2023

การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนสิงหาคม 2023 พร้อมใช้งานบน Windows Server 2022 แล้ว คุณไม่จําเป็นต้องติดตั้ง MSIs หรือสร้างนโยบายตามที่ระบุไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา

การอัปเดตวันที่ 9 มกราคม 2024

การเปลี่ยนแปลงการตรวจสอบที่เพิ่มเข้ามาในเดือนตุลาคม 2023 พร้อมใช้งานบน Windows Server 2019 แล้ว คุณไม่จําเป็นต้องติดตั้ง MSIs หรือสร้างนโยบายตามที่ระบุไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา

การดำเนินการที่แนะนำ

เราขอแนะนําให้ลูกค้าทําตามขั้นตอนต่อไปนี้โดยเร็วที่สุด:

  1. ตรวจสอบให้แน่ใจว่าการอัปเดต Windows วันที่ 10 มีนาคม 2020 หรือใหม่กว่าได้รับการติดตั้งบนคอมพิวเตอร์บทบาทตัวควบคุมโดเมน (DC) หากคุณต้องการเปิดใช้งานเหตุการณ์การตรวจสอบการผูกช่องทาง LDAP ตรวจสอบให้แน่ใจว่าการอัปเดตวันที่ 8 สิงหาคม 2023 หรือใหม่กว่าได้รับการติดตั้งบน Windows Server 2022 หรือ Server 2019 DC

  2. เปิดใช้งานการบันทึกการวินิจฉัยเหตุการณ์ LDAP เป็น 2 หรือสูงกว่า

  3. เปิดใช้งานการอัปเดตเหตุการณ์การตรวจสอบประจําเดือนสิงหาคม 2023 หรือตุลาคม 2023 โดยใช้นโยบายกลุ่ม คุณสามารถข้ามขั้นตอนนี้ได้ถ้าคุณได้ติดตั้งการอัปเดตเดือนพฤศจิกายน 2023 หรือใหม่กว่าบน Windows Server 2022 หากคุณได้ติดตั้งการอัปเดตประจําเดือนมกราคม 2024 หรือใหม่กว่าบน Windows Server 2019 คุณสามารถข้ามขั้นตอนนี้ได้

    • ดาวน์โหลดการเปิดใช้งาน MSIs สองรายการต่อเวอร์ชันของระบบปฏิบัติการจากศูนย์ดาวน์โหลด Microsoft:

    • ขยาย MSI เพื่อติดตั้งไฟล์ ADMX ใหม่ที่มีข้อกําหนดของนโยบาย หากคุณใช้ Central Store สําหรับนโยบายกลุ่ม ให้คัดลอกไฟล์ ADMX ไปยัง Central Store

    • ปรับใช้นโยบายที่สอดคล้องกับ OU ของตัวควบคุมโดเมนของคุณหรือชุดย่อยของ DC Server 2022 หรือ Server 2019 ของคุณ

    • รีสตาร์ต DC เพื่อให้การเปลี่ยนแปลงมีผล

  4. ตรวจสอบแฟ้มบันทึกเหตุการณ์ของบริการไดเรกทอรีบนคอมพิวเตอร์บทบาท DC ทั้งหมดที่ถูกกรองสําหรับ:

    • เหตุการณ์ความล้มเหลวในการเซ็นชื่อ LDAP 2889 ในตาราง 1

    • LDAP Channel Binding failure event 3039 in Table 2.

    • เหตุการณ์การตรวจสอบการผูกช่องทาง LDAP 3074 และ 3075 ในตารางที่ 3

      หมายเหตุ เหตุการณ์ 3039, 3074 และ 3075 จะถูกสร้างขึ้นเมื่อการเข้าเล่มแชนเนลถูกตั้งค่าเป็น เมื่อสนับสนุน หรือ เสมอ เท่านั้น

  5. ระบุผู้ผลิต รุ่น และชนิดของอุปกรณ์สําหรับที่อยู่ IP แต่ละที่อยู่ที่อ้างถึงโดย:

    • เหตุการณ์ 2889 สําหรับการโทร LDAP ที่ไม่มีลายเซ็น

    • เหตุการณ์ 3039 สําหรับการไม่ใช้การผูกช่องทาง LDAP

    • เหตุการณ์ 3074 หรือ 3075 สําหรับไม่สามารถเข้าเล่มช่องทาง LDAP ได้

ชนิดอุปกรณ์

จัดกลุ่มชนิดอุปกรณ์ออกเป็น 1 จาก 3 ประเภท:

  1. เครื่องใช้หรือเราเตอร์ -

    • ติดต่อผู้ให้บริการอุปกรณ์

  2. อุปกรณ์ที่ไม่ได้ทํางานบนระบบปฏิบัติการ Windows -

    • ตรวจสอบว่าทั้งการผูกช่องทาง LDAP และการลงชื่อ LDAP ได้รับการสนับสนุนบนระบบปฏิบัติการและแอปพลิเคชัน ทําเช่นนี้โดยทํางานกับระบบปฏิบัติการและผู้ให้บริการแอปพลิเคชัน

  3. อุปกรณ์ที่ทํางานบนระบบปฏิบัติการ Windows -

    • การลงชื่อ LDAP พร้อมใช้งานโดยแอปพลิเคชันทั้งหมดบน Windows ทุกเวอร์ชันที่ได้รับการสนับสนุน ตรวจสอบว่าแอปพลิเคชันหรือบริการของคุณกําลังใช้การรับรอง LDAP

    • การผูกช่องทาง LDAP จําเป็นต้องติดตั้งอุปกรณ์ Windows ทั้งหมดที่มี CVE-2017-8563 ตรวจสอบว่าแอปพลิเคชันหรือบริการของคุณกําลังใช้การผูกช่องทาง LDAP

ใช้เครื่องมือติดตามเฉพาะที่ ระยะไกล ทั่วไป หรืออุปกรณ์ ซึ่งรวมถึงการจับภาพเครือข่าย ตัวจัดการกระบวนการ หรือการติดตามการแก้จุดบกพร่อง กําหนดว่าระบบปฏิบัติการหลัก บริการ หรือแอปพลิเคชันกําลังดําเนินการผูก LDAP ที่ไม่มีลายเซ็นหรือไม่ หรือไม่ได้ใช้ CBT

ใช้ตัวจัดการงานของ Windows หรือเทียบเท่าเพื่อแมปรหัสกระบวนการเพื่อประมวลผล บริการ และชื่อแอปพลิเคชัน

กำหนดการของการอัปเดตความปลอดภัย

การอัปเดตวันที่ 10 มีนาคม 2020 ได้เพิ่มตัวควบคุมสําหรับผู้ดูแลระบบเพื่อทําให้การกําหนดค่าสําหรับการผูกช่องทาง LDAP และการลงชื่อ LDAP บนตัวควบคุมโดเมน Active Directory เข้มงวดขึ้น การอัปเดตวันที่ 8 สิงหาคม 2023 และ 10 ตุลาคม 2023 เพิ่มตัวเลือกสําหรับผู้ดูแลระบบเพื่อตรวจสอบเครื่องไคลเอ็นต์ที่ไม่สามารถใช้โทเค็นการผูกช่องทาง LDAP ได้ เราขอแนะนําให้ลูกค้าดําเนินการตามที่แนะนําในบทความนี้โดยเร็วที่สุด

วันที่เป้าหมาย

เหตุการณ์

นําไปใช้กับ

วันที่ 10 มีนาคม 2563

จําเป็น: การอัปเดตความปลอดภัยพร้อมใช้งานบน Windows Update สําหรับแพลตฟอร์ม Windows ที่ได้รับการสนับสนุนทั้งหมด

หมายเหตุ สําหรับแพลตฟอร์ม Windows ที่ไม่อยู่ในการสนับสนุนมาตรฐาน การอัปเดตความปลอดภัยนี้จะพร้อมใช้งานผ่านโปรแกรมการสนับสนุนที่ขยายเวลาที่เกี่ยวข้องเท่านั้น

การสนับสนุนการผูกช่องทาง LDAP ถูกเพิ่มโดย CVE-2017-8563 บน Windows Server 2008 และเวอร์ชันที่ใหม่กว่า โทเค็นที่ผูกกับแชนเนลได้รับการสนับสนุนใน Windows 10 เวอร์ชัน 1709 และเวอร์ชันที่ใหม่กว่า

Windows XP ไม่สนับสนุนการผูกช่องทาง LDAP และจะล้มเหลวเมื่อการผูกช่องทาง LDAP ได้รับการกําหนดค่าโดยใช้ค่า เสมอ แต่จะทํางานร่วมกับ DC ที่กําหนดค่าให้ใช้การตั้งค่าการผูกช่อง LDAP ที่ผ่อนคลายมากขึ้นของ เมื่อได้รับการสนับสนุน

Windows Server 2022

Windows 10 เวอร์ชัน 20H2

Windows 10 เวอร์ชัน 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (การอัปเดตความปลอดภัยที่ขยายเวลา (ESU))

วันที่ 8 สิงหาคม 2566

เพิ่มเหตุการณ์การตรวจสอบโทเค็นที่ผูกกับแชนเนล LDAP (3074 & 3075) โดยจะถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server 2022

Windows Server 2022

10 ตุลาคม 2023

เพิ่มเหตุการณ์การตรวจสอบโทเค็นที่ผูกกับแชนเนล LDAP (3074 & 3075) โดยจะถูกปิดใช้งานตามค่าเริ่มต้นบน Windows Server 2019

Windows Server 2019

วันที่ 14 พฤศจิกายน 2566

เหตุการณ์การตรวจสอบโทเค็นการผูกข้อมูลช่องทาง LDAP จะพร้อมใช้งานบน Windows Server 2022 โดยไม่ต้องติดตั้งการเปิดใช้งาน MSI (ตามที่อธิบายไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา)

Windows Server 2022

9 มกราคม 2024

เหตุการณ์การตรวจสอบโทเค็นการผูกข้อมูลช่องทาง LDAP จะพร้อมใช้งานบน Windows Server 2019 โดยไม่ต้องติดตั้งการเปิดใช้งาน MSI (ตามที่อธิบายไว้ในขั้นตอนที่ 3 ของการดําเนินการที่แนะนํา)

Windows Server 2019

คำถามที่ถามบ่อย

สําหรับคําตอบของคําถามที่ถามบ่อยเกี่ยวกับการผูกช่องทาง LDAP และการรับรอง LDAP บนตัวควบคุมโดเมน Active Directory ให้ดู:

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย