Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Ažurirano 03. 01. 2025.

Uklonjene su reference na korak ručnog omogućivanja. Taj je korak bio potreban prije 14. studenog 2023. za Windows Server 2022. i 9. siječnja 2024. za Windows Server 2019.

Uvod

Povezivanje kanala LDAP i potpisivanje LDAP nude načine za povećanje sigurnosti za komunikaciju između LDAP klijenata i domenskog kontrolera servisa Active Directory. Skup nesigurnih zadanih konfiguracija za povezivanje kanala LDAP i potpisivanje LDAP postoje na domenski kontrolerima servisa Active Directory koji omogućuju LDAP klijentima komunikaciju s njima bez nametanje povezivanja kanala LDAP i potpisivanja LDAP. To može otvoriti domenske kontrolere servisa Active Directory radi ranjivosti povećanja ovlasti.

Ta ranjivost može omogućiti napadaču u sredini da uspješno proslijedi zahtjev za provjeru autentičnosti na Poslužitelj domene tvrtke Microsoft koji nije konfiguriran tako da zahtijeva povezivanje, potpisivanje ili brtvljenje kanala na dolaznim vezama.

Microsoft preporučuje administratorima da unesete promjene koje su opisane u članku ADV190023.

10. ožujka 2020. riješili smo tu ranjivost pružanjem sljedećih mogućnosti administratorima da otežu konfiguracije povezivanja kanala LDAP na domenskim kontrolerima servisa Active Directory:

  • Kontrolor domene: preduvjeti tokena za povezivanje kanala LDAP poslužitelja Pravilnik grupe.

  • Događaji potpisivanja tokena povezivanja kanala (CBT) 3039, 3040 i 3041 s pošiljateljem događaja Microsoft-Windows-Active Directory_DomainService u zapisniku događaja imeničkog servisa.

Važno: ažuriranja i ažuriranja od 10. ožujka 2020. u doglednoj budućnosti neće promijeniti zadane pravilnike za potpisivanje LDAP-a ni povezivanje kanala LDAP ili njihove ekvivalente registra na novim ili postojećim kontrolorima domena servisa Active Directory.

LDAP potpisivanje Domenski kontroler: Pravila za potpisivanje LDAP poslužitelja već postoji u svim podržanim verzijama sustava Windows. Počevši od Windows Server 2022, 23H2 Edition, sve nove verzije sustava Windows sadržavat će sve promjene u ovom članku.

Zašto je ta promjena bila potrebna

Sigurnost domenskog kontrolera servisa Active Directory može se znatno poboljšati konfiguriranjem poslužitelja tako da odbije LDAP (Simple Authentication and Security Layer) LDAP veze koje ne zahtijevaju potpisivanje (provjeru integriteta) ili odbacivanje jednostavnih veza LDAP koji se izvode na jasnom tekstu (ne-SSL/TLS šifrirana) vezi. SASLs može obuhvaćati protokole kao što su Pregovori, Kerberos, NTLM i Digest protokoli.

Nepotpisani mrežni promet osjetljiv je na reprize napada u kojima uljez može presresti pokušaj provjere autentičnosti i izdavanje potvrde za provjeru autentičnosti. Uljez može ponovno koristiti potvrdu za provjeru autentičnosti za oponašanje legitimnog korisnika. Osim toga, nepotpisan mrežni promet osjetljiv je na napade muškarca u sredini (MiTM) u kojima uljez snima pakete između klijenta i poslužitelja, mijenja pakete, a zatim ih prosljeđuje poslužitelju. Ako se to dogodi na kontroloru domene servisa Active Directory, napadač može uzrokovati da poslužitelj donosi odluke koje se temelje na zahtjevima LDAP klijenta. LDAPS koristi vlastiti zasebni mrežni priključak za povezivanje klijenata i poslužitelja. Zadani je priključak za LDAP priključak 389, ali LDAPS koristi priključak 636 i uspostavlja SSL/TLS nakon povezivanja s klijentom.

Tokeni povezivanja kanala olakšavaju sigurnost LDAP provjere autentičnosti putem SSL-a/TLS-a od napada muškarca u sredini.

Ažuriranja od 10. ožujka 2020.

Važno Ažuriranja od 10. ožujka 2020. nisu mijenjala zadane pravilnike za potpisivanje LDAP ili povezivanje kanala LDAP ili njihove ekvivalente registra na novim ili postojećim domenski kontrolerima servisa Active Directory.

Ažuriranja sustava Windows objavljena 10. ožujka 2020., dodala su sljedeće značajke:

  • Novi se događaji zapisuje u Preglednik događaja vezi s povezivanjem kanala LDAP. Pojedinosti o tim događajimapotražite u tablici 1 i tablici 2.

  • Novi domenski kontroler: preduvjeti tokena za povezivanje kanala LDAP poslužitelja pravilnik grupe konfigurirati povezivanje kanala LDAP na podržanim uređajima.

Mapiranje između postavki pravila potpisivanja LDAP-a i postavki registra obuhvaćeno je na sljedeći način:

  • Postavka pravilnika: "Domain controller: LDAP server signing requirements"

  • Postavka registra: LDAPServerIntegrity

  • Vrsta podataka: DWORD

  • Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

pravilnik grupe postavke

Postavka registra

Nema

1

Traži potpisivanje

2

Mapiranje između postavki pravilnika za povezivanje kanala LDAP i postavki registra obuhvaćeno je na sljedeći način:

  • Postavka pravilnika: "Domain controller: LDAP server channel binding token requirements"

  • Postavka registra: LdapEnforceChannelBinding

  • Vrsta podataka: DWORD

  • Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

pravilnik grupe postavke

Postavka registra

Nikad

0

Kada je podržano

1

Uvijek

2

Tablica 1: Događaji potpisivanja LDAP-a

Opis

Okidač

2886

Sigurnost tih kontrolora domena može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti potpisivanja LDAP-a.

Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je pravilnik grupe postavljena na Ništa. Minimalna razina zapisivanja: 0 ili novija

2887

Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.

Aktivira se svaka 24 sata kada pravilnik grupe postavljen na Ništa, a dovršeno je najmanje jedno nezaštićeno povezivanje. Minimalna razina zapisivanja: 0 ili novija

2888

Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.

Aktivira se svaka 24 sata kada pravilnik grupe na Traži potpisivanje, a najmanje je jedno nezaštićena veza odbijena. Minimalna razina zapisivanja: 0 ili novija

2889

Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.

Aktivira se kada klijent ne koristi potpisivanje za veze na sesijama na priključku 389. Minimalna razina zapisivanja: 2 ili novija

Tablica 2: CBT događaji

Događaj

Opis

Okidač

3039

Sljedeći klijent izvršio je vezu LDAP putem SSL/TLS-a i nije uspjela provjera valjanosti tokena povezivanja kanala LDAP.

Pokreće se u bilo kojoj od sljedećih okolnosti:

  • Kada se klijent pokuša povezati s nepravilno oblikovanim tokenom za povezivanje kanala (CBT) ako je CBT pravilnik grupe postavljen na Kada je podržano ili Uvijek.

  • Kada klijent koji može povezati kanal ne pošalje CBT ako je CBT pravilnik grupe postavljen na Kada je podržano. Klijent može vezati kanal ako je značajka EPA instalirana ili dostupna u OS-u, a nije onemogućena putem postavke registra SuppressExtendedProtection. Dodatne informacije potražite u članku KB5021989.

  • Kada klijent ne pošalje CBT ako je CBT pravilnik grupe postavljen na Uvijek.

Minimalna razina zapisivanja: 2

3040

Tijekom prethodnih 24-satnog razdoblja izvršeno je # nezaštićenih LDAP vezanja.

Aktivira se svaka 24 sata kada je CBT pravilnik grupe postavljen na Nikad i dovršeno je najmanje jedno nezaštićeni vezanje. Minimalna razina zapisivanja: 0

3041

Sigurnost ovog poslužitelja direktorija može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti tokena povezivanja kanala LDAP.

Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je CBT pravilnik grupe postavljen na Nikad. Minimalna razina zapisivanja: 0

Da biste postavili razinu zapisivanja u registru, koristite naredbu sličnu sljedećoj:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Dodatne informacije o konfiguriranju zapisivanja dijagnostičkih događaja servisa Active Directory potražite u članku Konfiguriranje zapisnika dijagnostičkih događaja servisa Active Directory i LDS.

Ažuriranja od 8. kolovoza 2023.

Neki klijentski uređaji ne mogu koristiti tokene povezivanja kanala LDAP za povezivanje s domenskim kontrolerima (DC-jevima servisa Active Directory). Microsoft je objavio sigurnosno ažuriranje 8. kolovoza 2023. U Windows Server 2022. ovo je ažuriranje dodalo mogućnosti administratorima za nadzor tih klijenata. CbT događaje 3074 i 3075 možete omogućiti s izvorom događaja **Microsoft-Windows-ActiveDirectory_DomainService** u zapisniku događaja imeničkog servisa.

Važno Ažuriranje od 8. kolovoza 2023. nije mijenjano potpisivanje LDAP-a, zadane pravilnike povezivanja kanala LDAP ili njihove ekvivalente registra na novim ili postojećim DC-jevima servisa Active Directory.

Ovdje se primjenjuju i sve smjernice u odjeljku o ažuriranjima iz ožujka 2020. Za nove događaje nadzora potrebne su postavke pravilnika i registra navedene u prethodno navedenim smjernicama. Pojavio se i korak omogućivanja za prikaz novih događaja nadzora. No ažuriranja od 14. studenoga 2023. uklonila su taj korak omogućivanja. Nove pojedinosti o implementaciji nalaze se u odjeljku Preporučene akcije u nastavku.

Tablica 3: CBT događaji

Događaj

Opis

Okidač

3074

Sljedeći klijent izvršio je LDAP vezu preko SSL/TLS-a i ne bi uspio provjeru valjanosti tokena povezivanja kanala ako je poslužitelj direktorija konfiguriran za nametanje provjere valjanosti tokena za povezivanje kanala.

Pokreće se u bilo kojoj od sljedećih okolnosti:

  • Kada se klijent pokuša povezati s neispravno oblikovanim tokenom za povezivanje kanala (CBT)

Minimalna razina zapisivanja: 2

3075

Sljedeći klijent izvršio je LDAP vezu preko SSL/TLS-a i nije pružio informacije o povezivanju kanala. Kada je poslužitelj direktorija konfiguriran tako da nameće provjeru valjanosti tokena povezivanja kanala, operacija povezivanja bit će odbijena.

Pokreće se u bilo kojoj od sljedećih okolnosti:

  • Kada klijent koji može vezati kanal ne pošalje CBT

  • Klijent može vezati kanal ako je značajka EPA instalirana ili dostupna u OS-u, a nije onemogućena putem postavke registra SuppressExtendedProtection. Dodatne informacije potražite u članku KB5021989.

Minimalna razina zapisivanja: 2

Napomena Kada postavite razinu zapisivanja na najmanje 2, bilježi se ID događaja 3074. Administratori to mogu koristiti za nadzor okruženja za klijente koji ne funkcioniraju s tokenima za povezivanje kanala. Događaji će sadržavati sljedeće dijagnostičke podatke za identifikaciju klijenata:

Client IP address: 192.168.10.5:62709 Identitet koji je klijent pokušao provjeriti kao: CONTOSO\Administrator Klijent podržava povezivanje kanala:FALSE Klijent dopušten u podržanom načinu rada:TRUE Zastavice rezultata nadzora:0x42

Ažuriranja za 10. listopada 2023.

Promjene nadzora dodane u kolovozu 2023. sada su dostupne Windows Server 2019. Za taj operacijski sustav ažuriranje je dodalo mogućnosti administratora za nadzor tih klijenata. Možete omogućiti CBT događaje 3074 i 3075. Koristite izvor događaja **Microsoft-Windows-ActiveDirectory_DomainService** u zapisniku događaja imeničkog servisa.

Važno Ažuriranje od 10. listopada 2023. nije mijenjano potpisivanje LDAP-a, zadane pravilnike povezivanja kanala LDAP ili ekvivalent registra na novim ili postojećim DC-jevima servisa Active Directory.

Ovdje se primjenjuju i sve smjernice u odjeljku o ažuriranjima iz ožujka 2020. Za nove događaje nadzora potrebne su postavke pravilnika i registra navedene u prethodno navedenim smjernicama. Pojavio se i korak omogućivanja za prikaz novih događaja nadzora. No ažuriranja od 9. siječnja 2024. uklonila su taj korak omogućivanja. Nove pojedinosti o implementaciji nalaze se u odjeljku Preporučene akcije u nastavku.

Ažuriranja za 14. studenog 2023.

Promjene nadzora dodane u kolovozu 2023. sada su dostupne Windows Server 2022. bez ručnog koraka omogućivanja. Slijedite korake u odjeljku Preporučene akcije.

Ažuriranja od 9. siječnja 2024.

Promjene nadzora dodane u listopadu 2023. sada su dostupne Windows Server 2019. bez potrebe za ručnim korakom omogućivanja. Slijedite korake u odjeljku Preporučene akcije.

Preporučene radnje

Korisnicima preporučujemo da što prije ukažu na sljedeće korake:

  1. Provjerite jesu li ažuriranja sustava Windows od 10. ožujka 2020. ili novija instalirana na računalima s ulogama kontrolora domene (DC). Ako želite omogućiti događaje nadzora povezivanja kanala LDAP, provjerite jesu li ažuriranja od 14. studenog 2023. ili novija instalirana na Windows Server 2022 ili Server 2019 DCs.

  2. Omogućite zapisivanje dijagnostičkih događaja LDAP na 2 ili više.

  3. Pratite zapisnik događaja imeničkih servisa na svim računalima dc uloga filtriranima za:

    • Događaj LDAP potpisivanja 2889 u tablici 1.

    • Događaj LDAP povezivanja kanala 3039 u tablici 2.

    • Događaji nadzora povezivanja kanala LDAP 3074 i 3075 u tablici 3.

      Napomena Događaji 3039, 3074 i 3075 mogu se generirati samo ako je povezivanje kanala postavljeno na Kada je podržano ili Uvijek.

  4. Odredite proizvođača, model i vrstu uređaja za svaku IP adresu koju navodi:

    • Događaj 2889 za upućivanje nepotpisanih LDAP poziva

    • Event 3039 for not using LDAP Channel Binding

    • Događaj 3074 ili 3075 zbog nesposovanja povezivanja kanala LDAP

Vrste uređaja

Grupiraj vrste uređaja u 1 od 3 kategorije:

  1. Uređaj ili usmjerivač -

    • Obratite se davatelju uređaja.

  2. Uređaj koji se ne izvodi na operacijskom sustavu Windows –

    • Provjerite jesu li i povezivanje kanala LDAP i potpisivanje LDAP podržani u operacijskom sustavu i u aplikaciji. Učinite to tako da radite s operacijskim sustavom i davateljem aplikacija.

  3. Uređaj koji se izvodi na operacijskom sustavu Windows –

    • Potpisivanje LDAP-a dostupno je za korištenje u svim aplikacijama u svim podržanim verzijama sustava Windows. Provjerite koristi li vaša aplikacija ili servis potpisivanje LDAP-a.

    • Povezivanje kanala LDAP zahtijeva da svi uređaji sa sustavom Windows imaju instaliran CVE-2017-8563 . Provjerite koristi li aplikacija ili usluga povezivanje kanala LDAP.

Koristite lokalne, udaljene, generičke alate za praćenje ili alate za praćenje specifične za uređaj. To obuhvaća snimke mreže, upravitelja procesa ili praćenje pogrešaka. Odredite izvodi li temeljni operacijski sustav, servis ili aplikacija nepotpisanu LDAP vezuje ili ne koristi CBT.

Upotrijebite Upravitelj zadataka sustava Windows ili ekvivalent za mapiranje ID-a procesa radi obrade, servisa i naziva aplikacija.

Zakazivanje sigurnosnog ažuriranja

Ažuriranje od 10. ožujka 2020. dodalo je kontrole za administratore da bi oteželi konfiguracije povezivanja kanala LDAP i potpisivanje LDAP-a na domenskim kontrolerima servisa Active Directory. Ažuriranja od 8. kolovoza 2023. i 10. kolovoza dodala su mogućnosti administratorima za nadzor klijentskih računala koja ne mogu koristiti tokene povezivanja kanala LDAP. Korisnicima preporučujemo da čim prije ukažu na preporučene radnje u ovom članku.

Ciljani datum

Događaj

Odnosi se na

10. ožujka 2020.

Obavezno: sigurnosno ažuriranje dostupno na Windows Update svim podržanim platformama sustava Windows.

Napomena Za platforme sustava Windows koje nisu podržane standardnom podrškom ovo sigurnosno ažuriranje bit će dostupno samo putem primjenjivih programa proširene podrške.

Podršku za povezivanje kanala LDAP dodao je CVE-2017-8563 u Windows Server 2008. i novijim verzijama. Tokeni povezivanja kanala podržani su Windows 10 verziji 1709 i novijim verzijama.

Windows XP ne podržava povezivanje kanala LDAP i ne bi uspijevao kada je povezivanje kanala LDAP konfigurirano pomoću vrijednosti Uvijek, ali bi funkcioniralo s DC-jevima konfiguriranima tako da koriste opušteniju postavku povezivanja kanala LDAP kada je podržano.

Windows Server 2022

Windows 10, verzija 20H2

Windows 10, verzija 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012.Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (Prošireno sigurnosno ažuriranje (ESU))

8. kolovoza 2023.

Dodaje događaje nadzora tokena povezivanja kanala LDAP (3074 & 3075). One su onemogućene prema zadanim postavkama na Windows Server 2022.

Windows Server 2022

10. listopada 2023.

Dodaje događaje nadzora tokena povezivanja kanala LDAP (3074 & 3075). One su onemogućene prema zadanim postavkama u Windows Server 2019.

Windows Server 2019

14. studenog 2023.

Događaji nadzora tokena povezivanja kanala LDAP dostupni su Windows Server 2022. bez potrebe za ručnim korakom omogućivanja.

Windows Server 2022

9. siječnja 2024.

Događaji nadzora tokena povezivanja kanala LDAP dostupni su Windows Server 2019. bez potrebe za ručnim korakom omogućivanja.

Windows Server 2019

Najčešća pitanja

Odgovore na najčešća pitanja o povezivanju kanala LDAP i potpisivanju LDAP-a na domenski kontrolerima servisa Active Directory potražite u članku:

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

OtkrijteZajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider