2020, 2023 e 2024 Requisitos de enlace de canal LDAP e assinatura LDAP para Windows (KB4520412)

Introdução

O enlace de canal LDAP e a assinatura LDAP fornecem formas de aumentar a segurança das comunicações entre clientes LDAP e controladores de domínio do Active Directory. Existe um conjunto de configurações predefinidas não seguras para o enlace de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory que permitem que os clientes LDAP comuniquem com os mesmos sem impor o enlace de canal LDAP e a assinatura LDAP. Isto pode abrir controladores de domínio do Active Directory para uma elevação de vulnerabilidade de privilégios.

Esta vulnerabilidade pode permitir que um atacante man-in-the-middle reencaminhe com êxito um pedido de autenticação para um servidor de domínio da Microsoft que não tenha sido configurado para exigir enlace de canal, assinatura ou selagem em ligações recebidas.

A Microsoft recomenda que os administradores efetuem as alterações de proteção descritas no ADV190023.

Em 10 de março de 2020, abordámos esta vulnerabilidade ao fornecer as seguintes opções para os administradores protegerem as configurações do enlace de canal LDAP nos controladores de domínio do Active Directory:

Controlador de domínio: requisitos de tokens de enlace de canal de servidor LDAP Política de Grupo.
Eventos de assinatura de Tokens de Enlace de Canal (CBT) 3039, 3040 e 3041 com o remetente de eventos Microsoft-Windows-Active Directory_DomainService no registo de eventos do Serviço de Diretório.

Importante: as atualizações de 10 de março de 2020 e as atualizações num futuro próximo não irão alterar as políticas predefinidas de enlace de canal LDAP ou assinatura LDAP ou o respetivo equivalente de registo em controladores de domínio do Active Directory novos ou existentes.

A política controlador de domínio de assinatura LDAP: requisitos de assinatura de servidor LDAP já existe em todas as versões suportadas do Windows. A partir do Windows Server 2022, 23H2 Edition, todas as novas versões do Windows irão conter todas as alterações neste artigo.

Por que motivo esta alteração foi necessária

A segurança dos controladores de domínio do Active Directory pode ser significativamente melhorada ao configurar o servidor para rejeitar enlaces LDAP de Camada de Segurança e Autenticação Simples (SASL) que não pedem assinatura (verificação de integridade) ou para rejeitar enlaces simples LDAP que são executados numa ligação de texto não encriptado por SSL/TLS. Os SASLs podem incluir protocolos como Negotiate, Kerberos, NTLM e Digest.

O tráfego de rede não assinado é suscetível a ataques de reprodução em que um intruso intercepta a tentativa de autenticação e a emissão de um tíquete. O intruso pode reutilizar o tíquete para usurpar a identidade do usuário legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques man-in-the-middle (MiTM) em que um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-os para o servidor. Se isto ocorrer num Controlador Domínio do Active Directory, um atacante pode fazer com que um servidor tome decisões baseadas em pedidos falsificados do cliente LDAP. O LDAPS utiliza a sua própria porta de rede distinta para ligar clientes e servidores. A porta predefinida para LDAP é a porta 389, mas o LDAPS utiliza a porta 636 e estabelece o SSL/TLS ao ligar a um cliente.

Os tokens de enlace de canal ajudam a tornar a autenticação LDAP através de SSL/TLS mais segura contra ataques man-in-the-middle.

Atualizações de 10 de março de 2020

Importante As atualizações de 10 de março de 2020 não alteraram as políticas predefinidas de enlace de canal LDAP ou assinatura LDAP ou o respetivo equivalente de registo em controladores de domínio do Active Directory novos ou existentes.

As atualizações do Windows disponibilizadas a 10 de março de 2020 adicionaram as seguintes funcionalidades:

São registados novos eventos no Visualizador de Eventos relacionados com o enlace do canal LDAP. Consulte a Tabela 1 e a Tabela 2 para obter detalhes sobre estes eventos.
Um novo Controlador de domínio: os requisitos de token de enlace do canal de servidor LDAP Política de Grupo para configurar o enlace de canal LDAP em dispositivos suportados.

O mapeamento entre as definições da Política de Assinatura LDAP e as definições do registo está incluído da seguinte forma:

Definição de Política: "Controlador de domínio: requisitos de assinatura do servidor LDAP"
Definição do Registo: Integridade LDAPServer
Tipo de Dados: DWORD
Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Definição de Política de Grupo	Definição do Registo
Nenhum	1
Exigir Assinatura	2

O mapeamento entre as definições de Política de Enlace de Canal LDAP e as definições de registo está incluído da seguinte forma:

Definição de Política: "Controlador de domínio: requisitos de tokens de enlace de canal de servidor LDAP"
Definição do Registo: LdapEnforceChannelBinding
Tipo de Dados: DWORD
Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Definição de Política de Grupo	Definição do Registo
Never	0
Quando Suportado	1
Sempre	2

Tabela 1: eventos de assinatura LDAP

	Descrição	Gatilho
2886	A segurança destes controladores de domínio pode ser significativamente melhorada ao configurar o servidor para impor a validação da assinatura LDAP.	Acionado a cada 24 horas, no arranque ou início do serviço se o Política de Grupo estiver definido como Nenhum. Nível Mínimo de Registo: 0 ou superior
2887	A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP.	Acionado a cada 24 horas quando Política de Grupo está definido como Nenhum e pelo menos um enlace desprotegido foi concluído. Nível Mínimo de Registo: 0 ou superior
2888	A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP.	Acionado a cada 24 horas quando Política de Grupo está definido como Exigir Assinatura e pelo menos um enlace desprotegido foi rejeitado. Nível Mínimo de Registo: 0 ou superior
2889	A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP.	Acionado quando um cliente não utiliza a assinatura para enlaces em sessões na porta 389. Nível Mínimo de Registo: 2 ou superior

Tabela 2: eventos CBT

Evento	Descrição	Gatilho
3039	O cliente seguinte efetuou um enlace LDAP através de SSL/TLS e falhou na validação do token de enlace do canal LDAP.	Acionado em qualquer uma das seguintes circunstâncias: Quando um cliente tenta vincular com um Token de Enlace de Canal (CBT) formatado incorretamente se o Política de Grupo CBT estiver definido como Quando Suportado ou Sempre. Quando um cliente com capacidade de enlace de canal não envia um CBT se o Política de Grupo CBT estiver definido como Quando Suportado. Um cliente é capaz de enlace de canal se a funcionalidade EPA estiver instalada ou disponível no SO e não estiver desativada através da definição de registo SuppressExtendedProtection. Para saber mais, consulte KB5021989. Quando um cliente não envia um CBT se o cbt Política de Grupo estiver definido como Sempre. Nível mínimo de registo: 2
3040	Durante o período de 24 horas anterior, foram efetuados n.º de enlaces LDAPs desprotegidos.	Acionado a cada 24 horas quando o cbt Política de Grupo está definido como Nunca e pelo menos um enlace desprotegido foi concluído. Nível mínimo de registo: 0
3041	A segurança desse servidor de diretório pode ser significativamente aprimorada configurando o servidor para impor a validação de tokens de associação de canal LDAP.	Disparado a cada 24 horas, na inicialização ou início do serviço se o cbt Política de Grupo estiver definido como Nunca. Nível mínimo de log: 0

Para definir o nível de log no registro, use um comando que se assemelha ao seguinte:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 Eventos de Interface LDAP" /t REG_DWORD /d 2

Para obter mais informações sobre como configurar o log de eventos de diagnóstico do Active Directory, confira Como configurar o log de eventos de diagnóstico do Active Directory e do LDS.

Atualizações de 8 de agosto de 2023

Alguns computadores cliente não podiam usar tokens de associação de canal LDAP para associar aos DCs (controladores de domínio do Active Directory). A Microsoft lançou uma atualização de segurança em 8 de agosto de 2023. Para Windows Server 2022, essa atualização adicionou opções para os administradores auditarem esses clientes. Você pode habilitar os eventos CBT 3074 e 3075 com a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no log de eventos do Serviço de Diretório.

Importante A atualização de 8 de agosto de 2023 não alterou a assinatura do LDAP, as políticas padrão de associação de canal LDAP ou o equivalente ao registro em DCs novos ou existentes do Active Directory.

Todas as diretrizes na seção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as configurações de política e registro descritas nas diretrizes acima. Houve também uma etapa de habilitação para ver os novos eventos de auditoria. Mas as atualizações de 14 de novembro de 2023 removeram essa etapa de habilitação. Os novos detalhes da implementação estão na seção Ações Recomendadas abaixo.

Tabela 3: eventos CBT

Evento

Descrição

Gatilho

3074

O cliente a seguir executou uma associação LDAP sobre SSL/TLS e teria falhado na validação do token de associação de canal se o servidor de diretório fosse configurado para impor a validação de Tokens de Associação de Canal.

Disparado em qualquer uma das seguintes circunstâncias:

Quando um cliente tenta associar com um CBT (Token de Associação de Canal) formatado incorretamente

Nível mínimo de log: 2

3075

O cliente a seguir realizou uma associação LDAP no SSL/TLS e não forneceu informações de associação de canal. Quando esse servidor de diretório estiver configurado para impor a validação de Tokens de Associação de Canal, essa operação de associação será rejeitada.

Disparado em qualquer uma das seguintes circunstâncias:

Quando um cliente capaz de associação de canal não envia um CBT
Um cliente é capaz de associação de canal se o recurso EPA estiver instalado ou disponível no sistema operacional e não estiver desabilitado por meio da configuração de registro SuppressExtendedProtection. Para saber mais, confira KB5021989.

Nível mínimo de log: 2

Observação Quando você define o nível de log como pelo menos 2, a ID do evento 3074 é registrada. Os administradores podem usá-lo para auditar seu ambiente para clientes que não funcionam com tokens de associação de canal. Os eventos conterão as seguintes informações de diagnóstico para identificar os clientes:

Client IP address: 192.168.10.5:62709 Identidade que o cliente tentou autenticar como: CONTOSO\Administrador O cliente dá suporte à associação de canal:FALSE Cliente permitido em quando o modo com suporte:TRUE Auditar sinalizadores de resultado:0x42

Atualizações de 10 de outubro de 2023

As alterações de auditoria adicionadas em agosto de 2023 já estão disponíveis no Windows Server 2019. Para esse sistema operacional, a atualização adicionou opções para os administradores auditarem esses clientes. Você pode habilitar os eventos CBT 3074 e 3075. Use a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no log de eventos do Serviço de Diretório.

Importante A atualização de 10 de outubro de 2023 não alterou a assinatura do LDAP, as políticas padrão de associação de canal LDAP ou o equivalente ao registro em DCs novos ou existentes do Active Directory.

Todas as diretrizes na seção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as configurações de política e registro descritas nas diretrizes acima. Houve também uma etapa de habilitação para ver os novos eventos de auditoria. Mas as atualizações de 9 de janeiro de 2024 removeram essa etapa de habilitação. Os novos detalhes da implementação estão na seção Ações Recomendadas abaixo.

Atualizações de 14 de novembro de 2023

As alterações de auditoria adicionadas em agosto de 2023 agora estão disponíveis no Windows Server 2022 sem exigir uma etapa de habilitação manual. Siga as etapas em Ações Recomendadas.

Atualizações de 9 de janeiro de 2024

As alterações de auditoria adicionadas em outubro de 2023 já estão disponíveis no Windows Server 2019 sem exigir uma etapa de habilitação manual. Siga as etapas em Ações Recomendadas.

Ações recomendadas

Recomendamos fortemente que os clientes tomem as seguintes etapas na primeira oportunidade:

Verifique se as atualizações do Windows de 10 de março de 2020 ou posteriores estão instaladas em computadores de função DC (controlador de domínio). Se você quiser habilitar eventos de auditoria de associação de canal LDAP, verifique se as atualizações de 14 de novembro de 2023 ou posteriores serão instaladas nos DCs do Windows Server 2022 ou do Server 2019.
Habilite o log de diagnóstico de eventos LDAP para 2 ou mais.
Monitore o log de eventos dos serviços de diretório em todos os computadores de função DC filtrados para:
- Evento de falha de assinatura LDAP 2889 na Tabela 1.
- Evento de falha de associação de canal LDAP 3039 na Tabela 2.
- Eventos de auditoria LDAP Channel Binding 3074 e 3075 na Tabela 3.
  
  Observação Os eventos 3039, 3074 e 3075 só podem ser gerados quando a Associação de Canais é definida como Quando Compatível ou Sempre.
Identifique a criação, o modelo e o tipo de dispositivo para cada endereço IP citado por:
- Evento 2889 para fazer chamadas LDAP não assinadas
- Evento 3039 por não usar associação de canal LDAP
- Evento 3074 ou 3075 por não ser capaz de associação de canal LDAP

Tipos de dispositivo

Agrupar tipos de dispositivo em 1 das 3 categorias:

Dispositivo ou roteador –
- Entre em contato com o provedor de dispositivos.
Dispositivo que não é executado em um sistema operacional Windows -
- Verifique se há suporte para associação de canal LDAP e assinatura LDAP no sistema operacional e no aplicativo. Faça isso trabalhando com o sistema operacional e o provedor de aplicativos.
Dispositivo que é executado em um sistema operacional Windows -
- A assinatura LDAP está disponível para uso por todos os aplicativos em todas as versões com suporte do Windows. Verifique se seu aplicativo ou serviço está usando a assinatura LDAP.
- A associação de canal LDAP exige que todos os dispositivos Windows tenham cVE-2017-8563 instalado. Verifique se seu aplicativo ou serviço está usando a associação de canal LDAP.

Use ferramentas de rastreamento locais, remotas, genéricas ou específicas do dispositivo. Elas incluem capturas de rede, gerenciador de processos ou rastreamentos de depuração. Determine se o sistema operacional principal, um serviço ou um aplicativo está executando associações LDAP não assinadas ou se não está usando o CBT.

Use o Gerenciador de Tarefas do Windows ou um equivalente para mapear a ID do processo para processar, o serviço e os nomes do aplicativo.

Agenda de atualizações de segurança

A atualização de 10 de março de 2020 adicionou controles para os administradores endurecerem as configurações para associação de canal LDAP e assinatura LDAP em controladores de domínio do Active Directory. As atualizações de 8 de agosto e 10 de outubro de 2023 adicionaram opções para administradores auditarem computadores cliente que não podem usar tokens de associação de canal LDAP. Recomendamos fortemente que os clientes tomem as ações recomendadas neste artigo na primeira oportunidade.

Data de Destino	Evento	Aplicável a
10 de março de 2020	Obrigatório: Atualização de segurança disponível no Windows Update para todas as plataformas Windows com suporte. Observação Para plataformas Windows que estão fora do suporte padrão, essa atualização de segurança só estará disponível por meio dos programas de suporte estendido aplicáveis. O suporte de enlace de canais LDAP foi adicionado pela CVE-2017-8563 no Windows Server 2008 e versões posteriores. Os tokens de enlace de canal são suportados no Windows 10, versão 1709 e versões posteriores. O Windows XP não suporta o enlace de canal LDAP e falha quando o enlace de canal LDAP é configurado através de um valor always, mas interoperaria com DCs configurados para utilizar uma definição de enlace de canal LDAP mais relaxada de Quando suportado.	Windows Server 2022 Windows 10, versão 20H2 Windows 10, versão 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (Extensão da Atualização de Segurança (ESU))
08 de agosto de 2023	Adiciona eventos de auditoria de tokens de enlace de canal LDAP (3074 & 3075). Estão desativadas por predefinição no Windows Server 2022.	Windows Server 2022
10 de outubro de 2023	Adiciona eventos de auditoria de tokens de enlace de canal LDAP (3074 & 3075). Estão desativados por predefinição no Windows Server 2019.	Windows Server 2019
14 de novembro de 2023	Os eventos de auditoria de tokens de enlace de canal LDAP estão disponíveis no Windows Server 2022 sem ser necessário um passo de ativação manual.	Windows Server 2022
9 de janeiro de 2024	Os eventos de auditoria de tokens de enlace de canal LDAP estão disponíveis no Windows Server 2019 sem que seja necessário um passo de ativação manual.	Windows Server 2019

Perguntas frequentes

Para obter respostas às perguntas mais frequentes sobre o enlace de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory, veja: