2020, 2023 a 2024 Požadavky na vazby kanálů LDAP a podepisování LDAP pro Windows (KB4520412)

Úvod

Vazby kanálů LDAP a podepisování LDAP poskytují způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory. Na řadičích domény služby Active Directory existuje sada nebezpečných výchozích konfigurací pro vazbu kanálů LDAP a podepisování LDAP, které umožňují klientům LDAP komunikovat s nimi bez vynucení vazby kanálů LDAP a podepisování LDAP. Řadiče domény služby Active Directory tak můžou být ohroženy zvýšením oprávnění.

Tato chyba zabezpečení by mohla umožnit útočníkovi typu man-in-the-middle úspěšně předat žádost o ověření na server domény Microsoftu, který není nakonfigurovaný tak, aby vyžadoval vazbu kanálu, podepisování nebo zapečetění příchozích připojení.

Microsoft doporučuje správcům provést změny posílení zabezpečení popsané v ADV190023.

10. března 2020 jsme tuto chybu zabezpečení vyřešili tím, že správcům poskytli následující možnosti pro posílení konfigurace pro vazby kanálů LDAP na řadičích domény služby Active Directory:

Řadič domény: Požadavky na token vazby kanálu serveru LDAP ”.
Tokeny CBT (Channel Binding Tokens) podepisování událostí 3039, 3040 a 3041 s odesílatelem události Microsoft-Windows-Active Directory_DomainService v protokolu událostí adresářové služby.

Důležité: Aktualizace a aktualizace z 10. března 2020 v dohledné budoucnosti nezmění výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo stávajících řadičích domény služby Active Directory.

Podpis LDAP Řadič domény: Zásady požadavků na podepisování serveru LDAP již existují ve všech podporovaných verzích Windows. Počínaje verzí Windows Server 2022, 23H2 Edition budou všechny nové verze systému Windows obsahovat všechny změny v tomto článku.

Proč byla tato změna nutná

Zabezpečení řadičů domény služby Active Directory je možné výrazně zlepšit konfigurací serveru tak, aby odmítal vazby PROTOKOLU LDAP sasl (Simple Authentication and Security Layer), které nevyžadují podepisování (ověření integrity), nebo odmítá jednoduché vazby LDAP, které se provádějí u nešifrovaného připojení (nešifrovaného protokolem SSL/TLS). SASL může zahrnovat protokoly, jako jsou protokoly Negotiate, Kerberos, NTLM a Digest.

Nepodepsané přenosy v síti jsou náchylné k útokům přehráním (Replay Attacks), při nichž útočník zachytí pokus o ověření a vydání lístku. Narušitel může lístek znovu použít a vydávat se za legitimního uživatele. Nepodepsaný síťový provoz je navíc náchylný k útokům MiTM (man-in-the-middle), při kterých vetřelec zachytává pakety mezi klientem a serverem, mění pakety a předává je na server. Pokud k tomu dojde u kontroleru Doména služby Active Directory, útočník může způsobit, že server bude rozhodovat na základě zfašlovaných požadavků z klienta LDAP. LDAPS používá vlastní jedinečný síťový port pro připojení klientů a serverů. Výchozím portem protokolu LDAP je port 389, ale LDAPS používá port 636 a při připojení s klientem naváže protokol SSL/TLS.

Tokeny vazeb kanálů pomáhají zajistit lepší zabezpečení ověřování PROTOKOLU LDAP přes PROTOKOL SSL/TLS proti útokům man-in-the-middle.

Aktualizace z 10. března 2020

Důležité: Aktualizace z 10. března 2020 nezměnily výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.

Aktualizace Windows vydané 10. března 2020 přidaly následující funkce:

Nové události se protokolují v Prohlížeč událostí související s vazbou kanálu LDAP. Podrobnosti o těchto událostech najdete v tabulce 1 a tabulce 2 .
Nový řadič domény: Požadavky na token vazby kanálu serveru LDAP Zásady skupiny ke konfiguraci vazby kanálu LDAP na podporovaných zařízeních.

Mapování mezi nastavením zásad podepisování LDAP a nastavením registru je zahrnuto takto:

Nastavení zásad: "Řadič domény: Požadavky na podepisování serveru LDAP"
Nastavení registru: LDAPServerIntegrity
Datatype: DWORD
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavení Zásady skupiny	Nastavení registru
Žádné	1
Vyžadovat podepsání	2

Mapování mezi nastavením zásad vazby kanálu LDAP a nastavením registru je zahrnuto takto:

Nastavení zásad: "Řadič domény: Požadavky na token vazby kanálu serveru LDAP"
Nastavení registru: LdapEnforceChannelBinding
Datatype: DWORD
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavení Zásady skupiny	Nastavení registru
Nikdy	0
Pokud je podporováno	1
Vždy	2

Tabulka 1: Události podepisování LDAP

	Popis	Spoušť
2886	Zabezpečení těchto řadičů domény lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování podepisování LDAP.	Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny nastavená na Hodnotu Žádný. Minimální úroveň protokolování: 0 nebo vyšší
2887	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Žádné a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0 nebo vyšší
2888	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Vyžadovat podepisování a nejméně jedna nechráněná vazba byla odmítnuta. Minimální úroveň protokolování: 0 nebo vyšší
2889	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se, když klient nepoužívá podepisování pro vazby relací na portu 389. Minimální úroveň protokolování: 2 nebo vyšší

Tabulka 2: Události CBT

Událost	Popis	Spoušť
3039	Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a nepovedlo se ověřit token vazby kanálu LDAP.	Aktivuje se za některé z následujících okolností: Když se klient pokusí vytvořit vazbu s nesprávně formátovaným tokenem cbt (Channel Binding Token), pokud je Zásady skupiny CBT nastavena na při podporovaném nebo vždy. Když klient, který je schopen vazby kanálů, neodesílá CBT, pokud je Zásady skupiny CBT nastavena na při podporování. Klient je schopen vytvořit vazbu kanálu, pokud je funkce EPA nainstalovaná nebo dostupná v operačním systému a není zakázána prostřednictvím nastavení registru SuppressExtendedProtection. Další informace najdete v tématu KB5021989. Pokud klient neodesílá CBT, pokud je Zásady skupiny CBT nastavená na Vždy. Minimální úroveň protokolování: 2
3040	Během předchozích 24 hodin byl proveden počet nechráněných vazeb LDAP.	Aktivuje se každých 24 hodin, když je Zásady skupiny CBT nastavená na Nikdy a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0
3041	Zabezpečení tohoto adresářového serveru lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování tokenů vazeb kanálů LDAP.	Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny CBT nastavená na Nikdy. Minimální úroveň protokolování: 0

Pokud chcete nastavit úroveň protokolování v registru, použijte příkaz podobný následujícímu:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 událostí rozhraní LDAP" /t REG_DWORD /d 2

Další informace o konfiguraci protokolování diagnostických událostí služby Active Directory najdete v tématu Konfigurace protokolování diagnostických událostí služby Active Directory a LDS.

Aktualizace z 8. srpna 2023

Některé klientské počítače nemohly použít tokeny vazby kanálu LDAP k vytvoření vazby na řadiče domény služby Active Directory. Společnost Microsoft vydala aktualizaci zabezpečení 8. srpna 2023. Pro Windows Server 2022 tato aktualizace přidala možnosti auditování těchto klientů pro správce. Události CBT 3074 a 3075 můžete povolit se zdrojem událostí **Microsoft-Windows-ActiveDirectory_DomainService** v protokolu událostí adresářové služby.

Důležité: Aktualizace z 8. srpna 2023 nezměnila podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo stávajících řadičích domény služby Active Directory.

Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici byl také krok povolení, který umožňuje zobrazit nové události auditu. Aktualizace ze 14. listopadu 2023 ale tento krok povolení odebraly. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.

Tabulka 3: Události CBT

Událost

Popis

Spoušť

3074

Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a ověření tokenu vazby kanálu by selhalo, pokud byl adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu.

Aktivuje se za některé z následujících okolností:

Když se klient pokusí vytvořit vazbu s nesprávně formátovaným tokenem vazby kanálu (CBT)

Minimální úroveň protokolování: 2

3075

Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a neposkytl informace o vazbě kanálu. Pokud je tento adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu, bude tato operace vazby odmítnuta.

Aktivuje se za některé z následujících okolností:

Když klient, který je schopen vazby kanálu, neodešle CBT
Klient je schopen vytvořit vazbu kanálu, pokud je funkce EPA nainstalovaná nebo dostupná v operačním systému a není zakázána prostřednictvím nastavení registru SuppressExtendedProtection. Další informace najdete v tématu KB5021989.

Minimální úroveň protokolování: 2

Poznámka: Pokud nastavíte úroveň protokolování alespoň na hodnotu 2, zaprotokoluje se ID události 3074. Správci můžou tuto možnost použít k auditování svého prostředí pro klienty, kteří nefungují s tokeny vazeb kanálů. Události budou obsahovat následující diagnostické informace pro identifikaci klientů:

Client IP address: 192.168.10.5:62709 Identita, ve které se klient pokusil ověřit: CONTOSO\Administrator Klient podporuje vazbu kanálu:FALSE Klient povolený v režimu podpory: TRUE Příznaky výsledků auditu:0x42

Aktualizace z 10. října 2023

Změny auditování přidané v srpnu 2023 jsou teď dostupné Windows Server 2019. Pro tento operační systém aktualizace přidala možnosti, které správci můžou auditovat tyto klienty. Můžete povolit události CBT 3074 a 3075. V protokolu událostí adresářové služby použijte zdroj událostí **Microsoft-Windows-ActiveDirectory_DomainService**.

Důležité: Aktualizace z 10. října 2023 nezměnila podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.

Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici byl také krok povolení, který umožňuje zobrazit nové události auditu. Aktualizace z 9. ledna 2024 ale tento krok povolení odebraly. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.

Aktualizace z 14. listopadu 2023

Změny auditování přidané v srpnu 2023 jsou teď k dispozici na Windows Server 2022 bez nutnosti ručního kroku povolení. Postupujte podle kroků v části Doporučené akce.

Aktualizace z 9. ledna 2024

Změny auditování přidané v říjnu 2023 jsou teď dostupné v Windows Server 2019, aniž by bylo nutné provádět ruční povolení. Postupujte podle kroků v části Doporučené akce.

Doporučené akce

Důrazně doporučujeme zákazníkům, aby při nejbližší příležitosti provedli následující kroky:

Ujistěte se, že jsou na počítačích rolí řadiče domény nainstalované aktualizace systému Windows z 10. března 2020 nebo novější. Pokud chcete povolit události auditu vazby kanálů LDAP, ujistěte se, že jsou na řadičích domény Windows Server 2022 nebo Server 2019 nainstalované aktualizace ze 14. listopadu 2023 nebo novější.
Povolte protokolování diagnostiky událostí LDAP na 2 nebo vyšší.
Monitorujte protokol událostí adresářových služeb na všech počítačích rolí DC filtrovaných pro:
- Událost selhání podepisování LDAP 2889 v tabulce 1
- Událost selhání vazby kanálu LDAP 3039 v tabulce 2
- Události auditu vazeb kanálu LDAP 3074 a 3075 v tabulce 3
  
  Poznámka: Události 3039, 3074 a 3075 se dají vygenerovat jenom v případě, že je vazba kanálu nastavená na při podporovaném nebo vždy.
Určete výrobce, model a typ zařízení pro každou IP adresu citované uživatelem:
- Událost 2889 pro volání protokolu LDAP bez znaménka
- Událost 3039 pro nepoužívání vazby kanálu LDAP
- Událost 3074 nebo 3075 pro nemožnost vazby kanálu LDAP

Typy zařízení

Seskupte typy zařízení do 1 ze 3 kategorií:

Zařízení nebo směrovač –
- Obraťte se na poskytovatele zařízení.
Zařízení, které neběží v operačním systému Windows –
- Ověřte, že operační systém i aplikace podporují vazby kanálů LDAP i podepisování LDAP. Můžete to udělat ve spolupráci s operačním systémem a poskytovatelem aplikace.
Zařízení, které běží v operačním systému Windows –
- Podepisování LDAP je k dispozici pro všechny aplikace ve všech podporovaných verzích Windows. Ověřte, že vaše aplikace nebo služba používá podepisování LDAP.
- Vazba kanálu LDAP vyžaduje, aby všechna zařízení s Windows měla nainstalovanou aktualizaci CVE-2017-8563 . Ověřte, že vaše aplikace nebo služba používá vazbu kanálu LDAP.

Používejte místní, vzdálené, obecné nástroje nebo nástroje pro trasování specifické pro zařízení. Patří mezi ně zachytávání sítě, správce procesů nebo trasování ladění. Určete, jestli základní operační systém, služba nebo aplikace provádí vazby bez znaménka LDAP nebo jestli nepoužívá CBT.

Pomocí Správce úloh systému Windows nebo ekvivalentního objektu namapujte ID procesu na názvy procesů, služeb a aplikací.

Plán aktualizace zabezpečení

Aktualizace z 10. března 2020 přidala ovládací prvky pro správce, které zpřísní konfiguraci vazeb kanálů LDAP a podepisování LDAP na řadičích domény služby Active Directory. Aktualizace z 8. srpna a 10. října 2023 přidaly možnosti pro správce auditovat klientské počítače, které nemůžou používat tokeny vazby kanálu LDAP. Důrazně doporučujeme zákazníkům, aby co nejdříve provedli akce doporučené v tomto článku.

Cílové datum	Událost	Platí pro
10. března 2020	Povinné: Aktualizace zabezpečení dostupná na služba Windows Update pro všechny podporované platformy Windows. Poznámka: Pro platformy Windows, které nemají standardní podporu, bude tato aktualizace zabezpečení dostupná pouze prostřednictvím příslušných programů rozšířené podpory. Podpora vazeb kanálu LDAP byla přidána cve-2017-8563 Windows Server 2008 a novějších verzích. Tokeny vazeb kanálů se podporují v Windows 10 verze 1709 a novějších verzích. Systém Windows XP nepodporuje vazbu kanálu LDAP a selže, pokud je vazba kanálu LDAP nakonfigurována pomocí hodnoty Always, ale spolupracuje s řadiči domény nakonfigurovanými tak, aby používaly uvolněnější nastavení vazby kanálu LDAP v části Když je podporováno.	Windows Server 2022 Windows 10, verze 20H2 Windows 10 verze 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (rozšířená aktualizace zabezpečení))
úterý 8. srpna 2023	Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve výchozím nastavení jsou ve Windows Server 2022 zakázané.	Windows Server 2022
10. října 2023	Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve výchozím nastavení jsou ve Windows Server 2019 zakázané.	Windows Server 2019
úterý 14. listopadu 2023	Události auditování tokenů vazeb kanálu LDAP jsou k dispozici v Windows Server 2022 bez nutnosti ručního kroku povolení.	Windows Server 2022
9. ledna 2024	Události auditování tokenů vazeb kanálu LDAP jsou k dispozici v Windows Server 2019 bez nutnosti ručního kroku povolení.	Windows Server 2019

Časté otázky

Odpovědi na nejčastější dotazy týkající se vazeb kanálů LDAP a podepisování LDAP na řadičích domény Služby Active Directory najdete tady: