2020, 2023 i 2024 LDAP powiązanie kanału i podpisywania LDAP wymagania dotyczące systemu Windows (KB4520412)

Wprowadzenie

Powiązanie kanału LDAP i podpisywanie LDAP zapewniają sposoby zwiększenia bezpieczeństwa komunikacji między klientami LDAP a kontrolerami domeny usługi Active Directory. Zestaw niebezpiecznych konfiguracji domyślnych dla powiązania kanału LDAP i podpisywania LDAP istnieje na kontrolerach domeny usługi Active Directory, które umożliwiają klientom LDAP komunikowanie się z nimi bez wymuszania powiązania kanału LDAP i podpisywania LDAP. Może to otworzyć kontrolery domeny usługi Active Directory w celu podwyższenia luki w zabezpieczeniach uprawnień.

Ta luka może umożliwić osobie atakującej w środku pomyślne przesyłanie dalej żądania uwierzytelniania na serwer domeny firmy Microsoft, który nie został skonfigurowany tak, aby wymagać powiązania kanału, podpisywania lub uszczelniania połączeń przychodzących.

Firma Microsoft zaleca administratorom wprowadzanie zmian zaostrzania opisanych w ADV190023.

10 marca 2020 r. rozwiązaliśmy tę lukę, udostępniając administratorom następujące opcje zaostrzenia konfiguracji dla powiązania kanału LDAP na kontrolerach domeny usługi Active Directory:

Kontroler domeny: wymagania dotyczące tokenu powiązania kanału serwera LDAP Zasady grupy.
Zdarzenia podpisywania cbt (Channel Binding Tokens) 3039, 3040 i 3041 z nadawcą zdarzeń Microsoft-Windows-Active Directory_DomainService w dzienniku zdarzeń usługi katalogowej.

Ważne: Aktualizacje i aktualizacje z 10 marca 2020 r. w najbliższej przyszłości nie zmienią zasad domyślnych wiążących kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach domeny usługi Active Directory.

Zasady wymagań dotyczących podpisywania serwerów LDAP: Wymagania dotyczące podpisywania serwerów LDAP już istnieją we wszystkich obsługiwanych wersjach systemu Windows. Począwszy od wersji Windows Server 2022, 23H2, wszystkie nowe wersje systemu Windows będą zawierać wszystkie zmiany opisane w tym artykule.

Dlaczego ta zmiana była potrzebna

Bezpieczeństwo kontrolerów domeny usługi Active Directory można znacznie zwiększyć, konfigurując serwer w taki sposób, aby odrzucał powiązania LDAP warstwy prostego uwierzytelniania i zabezpieczeń (SASL), które nie żądają podpisywania (weryfikacji integralności) ani nie odrzucają prostych powiązyń LDAP wykonywanych na czystym tekście (niezaszyfrowanym przez protokół SSL/TLS). Mechanizmy SASL mogą zawierać protokoły, takie jak Negotiate, Kerberos, NTLM czy Digest.

Niepodpisany ruch sieciowy jest podatny na powtórne ataki, w których intruz przechwytuje próbę uwierzytelnienia i wystawienie biletu. Intruz może ponownie wykorzystać bilet do podszycia się pod uprawnionego użytkownika. Ponadto niepodpisany ruch sieciowy jest podatny na ataki man-in-the-middle (MiTM), w których intruz przechwytuje pakiety między klientem a serwerem, zmienia pakiety, a następnie przesyła je dalej na serwer. Jeśli dzieje się tak na kontrolerze domena usługi Active Directory, osoba atakująca może spowodować, że serwer będzie podejmował decyzje oparte na sfałszowanych żądaniach klienta LDAP. LDAPS używa własnego, odrębnego portu sieciowego do łączenia klientów i serwerów. Domyślnym portem LDAP jest port 389, ale LDAPS używa portu 636 i ustanawia protokół SSL/TLS podczas nawiązywania połączenia z klientem.

Tokeny powiązania kanału pomagają w zabezpieczeniu uwierzytelniania LDAP za pośrednictwem protokołu SSL/TLS przed atakami typu "man-in-the-middle".

Aktualizacje z 10 marca 2020 r.

Ważne Aktualizacje z 10 marca 2020 r. nie zmieniły zasad domyślnych wiążących kanału LDAP ani powiązania kanału LDAP na nowych lub istniejących kontrolerach domeny usługi Active Directory.

Aktualizacje systemu Windows wydane 10 marca 2020 r. dodały następujące funkcje:

Nowe zdarzenia są rejestrowane w Podgląd zdarzeń związane z powiązaniem kanału LDAP. Aby uzyskać szczegółowe informacje o tych zdarzeniach, zobacz Tabela 1 i Tabela 2 .
Nowy kontroler domeny: wymagania dotyczące tokenu powiązania kanału serwera LDAP zasady grupy skonfigurować powiązanie kanału LDAP na obsługiwanych urządzeniach.

Mapowanie między ustawieniami zasad podpisywania LDAP i ustawieniami rejestru jest uwzględniane w następujący sposób:

Ustawienie zasad: "Domain controller: LDAP server signing requirements"
Ustawienie rejestru: LDAPServerIntegrity
Datatype: DWORD
Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ustawienie zasady grupy	Ustawienie rejestru
Brak	1
Wymaganie podpisania	2

Mapowanie między ustawieniami zasad wiążących kanału LDAP i ustawieniami rejestru są uwzględniane w następujący sposób:

Ustawienie zasad: "Domain controller: LDAP server channel binding token requirements"
Ustawienie rejestru: LdapEnforceChannelBinding
Datatype: DWORD
Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ustawienie zasady grupy	Ustawienie rejestru
Nigdy	0
Jeśli jest obsługiwana	1
Zawsze	2

Tabela 1: Zdarzenia podpisywania LDAP

	Opis	Spust
2886	Bezpieczeństwo tych kontrolerów domeny można znacznie poprawić, konfigurując serwer do wymuszania sprawdzania poprawności podpisywania LDAP.	Wyzwalane co 24 godziny podczas uruchamiania lub uruchamiania usługi, jeśli dla zasady grupy jest ustawiona wartość Brak. Minimalny poziom rejestrowania: 0 lub nowszy
2887	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane co 24 godziny, gdy zasady grupy ma wartość Brak i ukończono co najmniej jedno niechronione powiązanie. Minimalny poziom rejestrowania: 0 lub nowszy
2888	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane co 24 godziny, gdy zasady grupy ma ustawioną wartość Wymagaj podpisywania, a co najmniej jedno niechronione powiązanie zostało odrzucone. Minimalny poziom rejestrowania: 0 lub nowszy
2889	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane, gdy klient nie używa podpisywania dla powiązywania na sesjach na porcie 389. Minimalny poziom rejestrowania: 2 lub nowszy

Tabela 2: Zdarzenia CBT

Zdarzenie	Opis	Spust
3039	Następujący klient wykonał powiązanie LDAP przez protokół SSL/TLS i nie powiodło się sprawdzanie poprawności tokenu powiązania kanału LDAP.	Wyzwalane w następujących okolicznościach: Gdy klient próbuje powiązać z nieprawidłowo sformatowanym tokenem powiązania kanału (CBT), jeśli zasady grupy CBT jest ustawiona na Wartość Gdy jest obsługiwana lub Zawsze. Jeśli klient, który może powiązanie kanału nie wysyła CBT, jeśli zasady grupy CBT jest ustawiona na When Supported. Klient może wiązać kanał, jeśli funkcja EPA jest zainstalowana lub dostępna w systemie operacyjnym i nie jest wyłączona za pośrednictwem ustawienia rejestru SuppressExtendedProtection. Aby dowiedzieć się więcej, zobacz KB5021989. Jeśli klient nie wysyła cbt, jeśli zasady grupy CBT jest ustawiona na Zawsze. Minimalny poziom rejestrowania: 2
3040	W ciągu ostatnich 24 godzin wykonano # niechronionych powiązań LDAPs.	Wyzwalane co 24 godziny, gdy zasady grupy CBT ma ustawioną wartość Nigdy i ukończono co najmniej jedną niechronioną oprawę. Minimalny poziom rejestrowania: 0
3041	Bezpieczeństwo tego serwera katalogów można znacznie zwiększyć, konfigurując serwer do wymuszania sprawdzania poprawności tokenów powiązania kanału LDAP.	Wyzwalane co 24 godziny, podczas uruchamiania lub uruchamiania usługi, jeśli zasady grupy CBT jest ustawione na Nigdy. Minimalny poziom rejestrowania: 0

Aby ustawić poziom rejestrowania w rejestrze, użyj polecenia przypominającego następujące polecenie:

Reg Dodaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 zdarzeń interfejsu LDAP" /t REG_DWORD /d 2

Aby uzyskać więcej informacji na temat konfigurowania rejestrowania zdarzeń diagnostycznych usługi Active Directory, zobacz Jak skonfigurować rejestrowanie zdarzeń diagnostycznych usługi Active Directory i usługi LDS.

Aktualizacje z 8 sierpnia 2023 r.

Na niektórych komputerach klienckich nie można powiązać z kontrolerami domeny usługi Active Directory tokenów powiązania kanału LDAP. 8 sierpnia 2023 r. firma Microsoft wydała aktualizację zabezpieczeń. W Windows Server 2022 r. w tej aktualizacji dodano opcje inspekcji tych klientów przez administratorów. Zdarzenia CBT 3074 i 3075 można włączyć ze źródłem zdarzeń **Microsoft-Windows-ActiveDirectory_DomainService** w dzienniku zdarzeń usługi katalogowej.

Ważne Aktualizacja z 8 sierpnia 2023 r. nie zmieniła podpisywania LDAP, wiążących zasad domyślnych kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach DOMENY usługi Active Directory.

Wszystkie wskazówki zawarte w sekcji aktualizacji z marca 2020 r. mają zastosowanie również tutaj. Nowe zdarzenia inspekcji będą wymagały ustawień zasad i rejestru opisanych w powyższych wytycznych. Był też krok umożliwiający wyświetlenie nowych zdarzeń inspekcji. Jednak aktualizacje z 14 listopada 2023 r. usunęły ten krok włączania. Szczegóły nowej implementacji znajdują się w sekcji Zalecane akcje poniżej.

Tabela 3: Zdarzenia CBT

Zdarzenie

Opis

Spust

3074

Poniższy klient wykonał powiązanie LDAP za pośrednictwem protokołu SSL/TLS i nie mógł zweryfikować tokenu powiązania kanału, jeśli serwer katalogów został skonfigurowany do wymuszania sprawdzania poprawności tokenów powiązania kanału.

Wyzwalane w następujących okolicznościach:

Gdy klient próbuje powiązać z nieprawidłowo sformatowanym tokenem powiązania kanału (CBT)

Minimalny poziom rejestrowania: 2

3075

Poniższy klient wykonał powiązanie LDAP przez protokół SSL/TLS i nie dostarczył informacji o powiązaniu kanału. Gdy ten serwer katalogów jest skonfigurowany do wymuszania sprawdzania poprawności tokenów powiązania kanału, ta operacja powiązania zostanie odrzucona.

Wyzwalane w następujących okolicznościach:

Gdy klient, który jest zdolny do powiązania kanału nie wysyła CBT
Klient może wiązać kanał, jeśli funkcja EPA jest zainstalowana lub dostępna w systemie operacyjnym i nie jest wyłączona za pośrednictwem ustawienia rejestru SuppressExtendedProtection. Aby dowiedzieć się więcej, zobacz KB5021989.

Minimalny poziom rejestrowania: 2

Uwaga Po ustawieniu poziomu rejestrowania na co najmniej 2 jest rejestrowany identyfikator zdarzenia 3074. Administratorzy mogą używać tej funkcji do inspekcji środowiska dla klientów, którzy nie współpracują z tokenami powiązania kanału. Zdarzenia będą zawierać następujące informacje diagnostyczne umożliwiające identyfikację klientów:

Client IP address: 192.168.10.5:62709 Tożsamość klienta, który próbował uwierzytelnić jako: CONTOSO\Administrator Klient obsługuje powiązanie kanału:FAŁSZ Klient dozwolony w trybie obsługiwanym:PRAWDA Flagi wyników inspekcji:0x42

Aktualizacje z 10 października 2023 r.

Zmiany w inspekcji dodane w sierpniu 2023 r. są teraz dostępne Windows Server 2019 r. W tym systemie operacyjnym w aktualizacji dodano opcje inspekcji tych klientów przez administratorów. Można włączyć zdarzenia CBT 3074 i 3075. W dzienniku zdarzeń usługi katalogowej użyj źródła **Microsoft-Windows-ActiveDirectory_DomainService**.

Ważne Aktualizacja z 10 października 2023 r. nie zmieniła podpisywania LDAP, wiążących zasad domyślnych kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach DOMENY usługi Active Directory.

Wszystkie wskazówki zawarte w sekcji aktualizacji z marca 2020 r. mają zastosowanie również tutaj. Nowe zdarzenia inspekcji będą wymagały ustawień zasad i rejestru opisanych w powyższych wytycznych. Był też krok umożliwiający wyświetlenie nowych zdarzeń inspekcji. Jednak aktualizacje z 9 stycznia 2024 r. usunęły ten krok włączania. Szczegóły nowej implementacji znajdują się w sekcji Zalecane akcje poniżej.

Aktualizacje z 14 listopada 2023 r.

Zmiany w inspekcji dodane w sierpniu 2023 r. są teraz dostępne Windows Server 2022 r. bez konieczności ręcznego włączania. Postępuj zgodnie z instrukcjami w temacie Zalecane akcje.

Aktualizacje z 9 stycznia 2024 r.

Zmiany w inspekcji dodane w październiku 2023 r. są teraz dostępne Windows Server 2019 r. bez konieczności ręcznego włączania. Postępuj zgodnie z instrukcjami w temacie Zalecane akcje.

Proponowane działania

Zdecydowanie zalecamy klientom jak najszybsze podjęcie następujących czynności:

Upewnij się, że aktualizacje systemu Windows z 10 marca 2020 r. lub nowsze są zainstalowane na komputerach z rolami kontrolera domeny (DC). Jeśli chcesz włączyć zdarzenia inspekcji powiązanej kanału LDAP, upewnij się, że aktualizacje z 14 listopada 2023 r. lub nowsze są zainstalowane na komputerach z systemem Windows Server 2022 lub Server 2019.
Włącz rejestrowanie diagnostyczne zdarzeń LDAP na poziomie 2 lub nowszym.
Monitoruj dziennik zdarzeń usług katalogowych na wszystkich komputerach z rolami kontrolera domeny przefiltrowanych pod kątem:
- Zdarzenie błędu podpisywania LDAP 2889 w tabeli 1.
- Zdarzenie błędu powiązania kanału LDAP 3039 w tabeli 2.
- Zdarzenia inspekcji LDAP Channel Binding 3074 i 3075 w tabeli 3.
  
  Uwaga Zdarzenia 3039, 3074 i 3075 można generować tylko wtedy, gdy dla opcji Powiązanie kanału jest ustawiona wartość Gdy jest obsługiwana lub Zawsze.
Zidentyfikuj nazwę, model i typ urządzenia dla każdego adresu IP cytowanego przez:
- Zdarzenie 2889 dotyczące nawiązywania niepodpisawanych połączeń LDAP
- Zdarzenie 3039 dla nieużywania powiązania kanału LDAP
- Zdarzenie 3074 lub 3075 za brak możliwości powiązania kanału LDAP

Typy urządzeń

Grupowanie typów urządzeń w 1 z 3 kategorii:

Urządzenie lub router —
- Skontaktuj się z dostawcą urządzenia.
Urządzenie, które nie działa w systemie operacyjnym Windows —
- Sprawdź, czy zarówno powiązanie kanału LDAP, jak i podpisywanie LDAP są obsługiwane w systemie operacyjnym i aplikacji. W tym celu należy pracować z dostawcą systemu operacyjnego i aplikacji.
Urządzenie, które działa w systemie operacyjnym Windows —
- Podpisywania LDAP można używać we wszystkich aplikacjach we wszystkich obsługiwanych wersjach systemu Windows. Sprawdź, czy aplikacja lub usługa używa podpisywania LDAP.
- Powiązanie kanału LDAP wymaga, aby wszystkie urządzenia z systemem Windows miały zainstalowane cve-2017-8563 . Sprawdź, czy aplikacja lub usługa używa powiązania kanału LDAP.

Używaj lokalnych, zdalnych, ogólnych lub specyficznych dla urządzenia narzędzi do śledzenia. Należą do nich przechwytywanie sieci, menedżer procesów lub śledzenie debugowania. Określ, czy podstawowy system operacyjny, usługa lub aplikacja wykonuje niepodpisane powiązania LDAP, czy nie używa cbt.

Zamapuj identyfikator procesu na nazwy procesów, usług i aplikacji za pomocą Menedżera zadań systemu Windows lub jego odpowiednika.

Harmonogram aktualizacji zabezpieczeń

Aktualizacja z 10 marca 2020 r. dodała kontrolki dla administratorów w celu zaostrzenia konfiguracji powiązania kanału LDAP i podpisywania LDAP na kontrolerach domeny usługi Active Directory. W aktualizacjach z 8 sierpnia i 10 października 2023 r. dodano opcje dla administratorów do inspekcji komputerów klienckich, na których nie można używać tokenów powiązania kanału LDAP. Zdecydowanie zalecamy klientom jak najszybsze podjęcie działań zalecanych w tym artykule.

Data docelowa	Zdarzenie	Dotyczy
10 marca 2020 r.	Wymagane: Aktualizacja zabezpieczeń jest dostępna na Windows Update na wszystkich obsługiwanych platformach Windows. Uwaga W przypadku platform z systemem Windows, na których nie jest dostępna standardowa pomoc techniczna, ta aktualizacja zabezpieczeń będzie dostępna tylko za pośrednictwem odpowiednich programów wsparcia dodatkowego. Obsługa powiązania kanału LDAP została dodana przez CVE-2017-8563 w Windows Server 2008 i nowszych wersjach. Tokeny powiązania kanału są obsługiwane w Windows 10 w wersji 1709 i nowszych. System Windows XP nie obsługuje powiązania kanału LDAP i kończy się niepowodzeniem, gdy powiązanie kanału LDAP jest skonfigurowane przy użyciu wartości Always, ale współdziałałoby z kontrolerami DOMENY skonfigurowanymi do używania bardziej zrelaksowanego ustawienia powiązania kanału LDAP , gdy jest obsługiwane.	Windows Server 2022 Windows 10, wersja 20H2 Windows 10, wersja 1909 (19H2)Windows Server 2019 r. (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 z dodatkiem SP1 (ESU)Windows Server 2008 SP2 (dodatkowa aktualizacja zabezpieczeń (ESU))
8 sierpnia 2023 r.	Dodaje zdarzenia inspekcji tokenu powiązania kanału LDAP (3074 & 3075). Są one domyślnie wyłączone w Windows Server 2022 roku.	Windows Server 2022
10 października 2023 r.	Dodaje zdarzenia inspekcji tokenu powiązania kanału LDAP (3074 & 3075). W Windows Server 2019 r. są one domyślnie wyłączone.	Windows Server 2019
14 listopada 2023 r.	Zdarzenia inspekcji tokenu powiązania kanału LDAP są dostępne w Windows Server 2022 r. bez konieczności ręcznego kroku włączania.	Windows Server 2022
9 stycznia 2024 r.	Zdarzenia inspekcji tokenu powiązania kanału LDAP są dostępne w Windows Server 2019 r. bez konieczności ręcznego włączania kroku.	Windows Server 2019

Często zadawane pytania

Aby uzyskać odpowiedzi na często zadawane pytania dotyczące powiązania kanału LDAP i podpisywania LDAP na kontrolerach domeny Active Directory, zobacz: