Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

Ažurirano 01.03.2025.

Uklonjene su reference za korak ručnog omogućavanja. Taj korak je potreban pre 14. novembra 2023. za Windows Server 2022. i 9. januar 2024. za Windows Server 2019.

Uvod

Povezivanje LDAP kanala i LDAP potpisivanje pružaju načine za povećanje bezbednosti za komunikaciju između LDAP klijenata i Active Directory kontrolera domena. Skup nebezbednih podrazumevanih konfiguracija za povezivanje LDAP kanala i LDAP potpisivanje postoji na Active Directory kontrolerima domena koji omogućavaju LDAP klijentima da komuniciraju sa njima bez nametanja povezivanja LDAP kanala i LDAP potpisivanja. To može da otvori Active Directory kontrolere domena radi podizanje ranjivosti privilegija.

Ova ranjivost može da omogući čoveku koji je u sredini napadač da uspešno prosledi zahtev za potvrdu identiteta serveru Microsoft domena koji nije konfigurisan tako da zahteva povezivanje kanala, potpisivanje ili zaduživanje na dolaznim vezama.

Microsoft preporučuje administratorima da unoše otežene promene opisane u ADV190023.

10. marta 2020. rešili smo ovu ranjivost tako što smo administratorima pružili sledeće opcije da očvrsnu konfiguracije za povezivanje LDAP kanala na Active Directory kontrolere domena:

  • Kontroler domena: zahtevi tokena za povezivanje kanala LDAP servera Smernice grupe.

  • Događaji potpisivanja tokena za povezivanje kanala (CBT) 3039, 3040 i 3041 sa pošiljaocem događaja Microsoft-Windows-Active Directory_DomainService u evidenciji događaja usluge direktorijuma.

Važno: Ispravke od 10. marta 2020. i ispravke u predviрejoj buduжnosti neće promeniti LDAP potpisivanje ili podrazumevane smernice za povezivanje LDAP kanala ili njihovu jednaku vrednost registratora na novim ili postojećim Active Directory kontrolerima domena.

LDAP kontroler potpisa domena: Smernice za zahteve za potpisivanje LDAP servera već postoje u svim podržanim verzijama operativnog sistema Windows. Počevši od verzije Windows Server 2022, 23H2 Edition, sve nove verzije operativnog sistema Windows sadržaće sve promene u ovom članku.

Zašto je ova promena bila potrebna

Bezbednost Active Directory kontrolera domena može se znatno poboljšati konfigurisanjem servera da odbaci LDAP povezivanja simple authentication and Security Layer (SASL) koja ne zahtevaju potpisivanje (verifikaciju integriteta) ili odbacivanje LDAP jednostavnih povezivanja koja se izvršavaju na čistom tekstu (koja nije SSL/TLS šifrovana) veza. SASL-ovi mogu da uključuju protokole kao što su "Pregovori", "Kerberos", "NTLM" i "Digest".

Nepotpisani mrežni saobraćaj podložan je ponovnom reprodukociji napada u kojima uljez presretne pokušaj potvrde identiteta i izdavanje tiketa. Uljez može ponovo da koristi tiket da imitira valjanog korisnika. Pored toga, nepotpisani mrežni saobraćaj je podložan napadima ljudi u sredini (MiTM) u kojima uljez hvata pakete između klijenta i servera, menja pakete, a zatim ih prosleđuje na server. Ako se to desi na kontroloru domena aktivnog direktorijuma, napadač može da izazove da server donosi odluke zasnovane na isklesanim zahtevima LDAP klijenta. LDAPS koristi sopstveni poseban mrežni port za povezivanje klijenata i servera. Podrazumevani port za LDAP je port 389, ali LDAPS koristi port 636 i uspostavlja SSL/TLS nakon povezivanja sa klijentom.

Tokeni povezivanja kanala pomažu da LDAP potvrda identiteta preko SSL/TLS-a bude bezbednija od napada ljudi u sredini.

Ispravke za 10. mart 2020.

Važno Ispravke od 10. marta 2020. nisu promenile LDAP potpisivanje ili podrazumevane smernice za povezivanje LDAP kanala ili njihovog jednakog registratora na novim ili postojećim Active Directory kontrolerima domena.

Ispravke za Windows objavljene 10. marta 2020. godine dodale su sledeće funkcije:

  • Novi događaji se evidentiraju u Prikazivač događaja povezivanja LDAP kanala. Detalje o ovim događajimapotražite u člancima Tabela 1 i Tabela 2.

  • Novi kontroler domena: zahtevi za povezivanje tokena kanala LDAP servera Smernice grupe da konfiguriše povezivanje LDAP kanala na podržanim uređajima.

Mapiranje između postavki LDAP smernica za potpisivanje i postavki registratora uključeno je na sledeći način:

  • Postavka smernica: "Kontroler domena: zahtevi za potpisivanje LDAP servera"

  • Postavka registratora: LDAPServerIntegrity

  • Tippodataka: DWORD

  • Putanja registratora: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Smernice grupe postavki

Postavka registratora

Nijedno

1

Zahtevaj potpisivanje

2

Mapiranje između postavki smernica za povezivanje LDAP kanala i postavki registratora uključeno je na sledeći način:

  • Postavka smernica: "Kontroler domena: zahtevi tokena za povezivanje kanala LDAP servera"

  • Postavka registratora: LdapEnforceChannelBinding

  • Tippodataka: DWORD

  • Putanja registratora: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Smernice grupe postavki

Postavka registratora

Nikad

0

Kada je podržano

1

Uvek

2

Tabela 1: događaji LDAP potpisivanja

Opis

Okidaи

2886

Bezbednost ovih kontrolera domena može se znatno poboljšati konfigurisanje servera da nametne proveru valjanosti LDAP potpisivanja.

Pokreće se svaka 24 časa, pri pokretanju ili pokretanju usluge ako je Smernice grupe podešen na Nijedno. Minimalni nivo vođenja evidencije: 0 ili više

2887

Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.

Pokreće se svaka 24 časa kada Smernice grupe postavljena na Nijedno i dovršeno je bar jedno nezaštićeno povezivanje. Minimalni nivo vođenja evidencije: 0 ili više

2888

Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.

Pokreće se svaka 24 časa kada Smernice grupe postavku "Zahtevaj potpisivanje" i bar jedno nezaštićeno povezivanje je odbijeno. Minimalni nivo vođenja evidencije: 0 ili više

2889

Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.

Aktivira se kada klijent ne koristi potpisivanje za povezivanja na sesijama na portu 389. Minimalni nivo vođenja evidencije: 2 ili više

Tabela 2: CBT događaji

Događaj

Opis

Okidaи

3039

Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i nije uspeo validaciju tokena povezivanja LDAP kanala.

Pokrenuto u bilo kom od sledećih okolnosti:

  • Kada klijent pokuša da se poveže sa neisklađenim tokenom povezivanja kanala (CBT) ako je CBT Smernice grupe podešen na opciju Kada je podržana ili Uvek.

  • Kada klijent koji može da poveže kanal ne pošalje CBT ako je CBT Smernice grupe podešen na Kada je podržano. Klijent može da poveže kanal ako je EPA funkcija instalirana ili dostupna u operativnom sistemu i nije onemogućena putem postavke registratora SuppressExtendedProtection. Da biste saznali više, pogledajte KB5021989.

  • Kada klijent ne pošalje CBT ako je CBT Smernice grupe podešen na Uvek.

Minimalni nivo vođenja evidencije: 2

3040

Tokom prethodnog 24-časovnog perioda izvršeno je # nezaštićenih LDAP povezivanja.

Pokreće se svaka 24 časa kada je CBT Smernice grupe podešen na "Nikada" i dovršeno je bar jedno nezaštićeno povezivanje. Minimalni nivo vođenja evidencije: 0

3041

Bezbednost ovog servera direktorijuma može se znatno poboljšati konfigurisanje servera da nametne proveru valjanosti tokena povezivanja LDAP kanala.

Pokreće se svaka 24 časa, pri pokretanju ili pokretanju usluge ako je CBT Smernice grupe podešen na Nikada. Minimalni nivo vođenja evidencije: 0

Da biste postavili nivo vođenja evidencije u registratoru, koristite komandu koja izgleda ovako:

Dodajte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 događaja LDAP interfejsa" /t REG_DWORD /d 2

Dodatne informacije o konfigurisanju vođenja evidencije o dijagnostičkim događajima u aktivnom direktorijumu potražite u članku Konfigurisanje evidentiranja Active Directory i LDS vođenja evidencije o dijagnostičkim događajima.

Ispravke za 8. avgust 2023.

Neki klijentski računari nisu mogli da koriste tokene povezivanja LDAP kanala za povezivanje sa Active Directory kontrolerima domena (DCs). Microsoft je objavio bezbednosnu ispravku 8. avgusta 2023. Za Windows Server 2022, ova ispravka je dodala opcije za administratore da nadziru ove klijente. CBT događaje 3074 i 3075 možete da omogućite pomoću izvora događaja **Microsoft-Windows-ActiveDirectory_DomainService** u evidenciji događaja usluge direktorijuma.

Važno Ispravka od 8. avgusta 2023. nije promenila potpisivanje LDAP- a, podrazumevane smernice za povezivanje LDAP kanala ili njihovog jednakog registratora na novim ili postojećim Active Directory DC-ovima.

Ovde se primenjuju i sva uputstva u odeljku ispravki iz marta 2020. Novi događaji nadzora zahtevaju smernice i postavke registratora navedene u gorenavedenom uputstvu. Pojavio se i korak omogućavanja da se vide novi događaji nadzora. Ali ispravke od 14. novembra 2023. su uklonile taj korak omogućavanja. Novi detalji o primeni nalaze se u dolenavedenom odeljku Preporučene radnje.

Tabela 3: CBT događaji

Događaj

Opis

Okidaи

3074

Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i ne bi uspeo validaciju tokena povezivanja kanala ako je server direktorijuma konfigurisan da nameće proveru valjanosti tokena povezivanja kanala.

Pokrenuto u bilo kom od sledećih okolnosti:

  • Kada klijent pokuša da se poveže sa neisklađenim tokenom povezivanja kanala (CBT)

Minimalni nivo vođenja evidencije: 2

3075

Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i nije obezbedio informacije o povezivanja kanala. Kada je ovaj server direktorijuma konfigurisan da nameće proveru valjanosti tokena povezivanja kanala, ova operacija povezivanja će biti odbijena.

Pokrenuto u bilo kom od sledećih okolnosti:

  • Kada klijent koji je sposoban za povezivanje kanala ne šalje CBT

  • Klijent može da poveže kanal ako je EPA funkcija instalirana ili dostupna u operativnom sistemu i nije onemogućena putem postavke registratora SuppressExtendedProtection. Da biste saznali više, pogledajte KB5021989.

Minimalni nivo vođenja evidencije: 2

Napomena Kada podesite nivo vođenja evidencije na najmanje 2, evidentira se ID događaja 3074. Administratori ovo mogu da koriste da bi nadgledali okruženje za klijente koji ne rade sa tokenima povezivanja kanala. Događaji će sadržati sledeće dijagnostičke informacije za identifikovanje klijenata:

Client IP address: 192.168.10.5:62709 Identitet klijenta koji je pokušao da potvrdi identitet kao: CONTOSO\Administrator Klijent podržava povezivanje kanala:FALSE Klijent je dozvoljen u podržanom režimu:TRUE Zastavice rezultata nadzora:0x42

Ispravke za 10. oktobar 2023.

Promene nadzora dodate u avgustu 2023. sada su dostupne Windows Server 2019. Za taj operativni sistemu, ispravka je dodala opcije za administratore da bi nadgledali ove klijente. Možete da omogućite CBT događaje 3074 i 3075. Koristite izvor događaja **Microsoft-Windows-ActiveDirectory_DomainService** u evidenciji događaja usluge direktorijuma.

Važno Ispravka od 10. oktobra 2023. nije promenila LDAP potpisivanje, podrazumevane smernice za povezivanje LDAP kanala ili njihovih jednaka registratoru na novim ili postojećim Active Directory DC-ovima.

Ovde se primenjuju i sva uputstva u odeljku ispravki iz marta 2020. Novi događaji nadzora zahtevaju smernice i postavke registratora navedene u gorenavedenom uputstvu. Pojavio se i korak omogućavanja da se vide novi događaji nadzora. Međutim, ispravke od 9. januara 2024. uklonjene su taj korak omogućavanja. Novi detalji o primeni nalaze se u dolenavedenom odeljku Preporučene radnje.

Ispravke za 14. novembar 2023.

Promene nadzora dodate u avgustu 2023. sada su dostupne Windows Server 2022 bez potrebe za korakom ručnog omogućavanja. Pratite korake u odeljku Preporučene radnje.

Ispravke za 9. januar 2024.

Promene nadzora dodate u oktobru 2023. sada su dostupne Windows Server 2019. bez zahtevanja koraka ručnog omogućavanja. Pratite korake u odeljku Preporučene radnje.

Preporučene radnje

Preporučujemo klijentima da preuzmu sledeće korake u najranijoj prilici:

  1. Uverite se da su ispravke za Windows od 10. marta 2020. ili novije instalirane na računarima uloga kontrolera domena (DC). Ako želite da omogućite događaje nadzora povezivanja LDAP kanala, uverite se da su ispravke za 14. novembar 2023. ili novije instalirane na računarima Windows Server 2022 ili Server 2019.

  2. Omogućite vođenje evidencije dijagnostičkih LDAP događaja na 2 ili novije verzije.

  3. Nadgledajte evidenciju događaja usluga direktorijuma na svim računarima DC uloga filtriranim za:

    • Događaj neuspeha LDAP potpisivanja 2889 u tabeli 1.

    • Događaj neuspeha povezivanja LDAP kanala 3039 u tabeli 2.

    • Događaji nadzora povezivanja LDAP kanala 3074 i 3075 u tabeli 3.

      Napomena Događaji 3039, 3074 i 3075 mogu se generisati samo kada je povezivanje kanala podešeno na opciju Kada je podržano ili Uvek.

  4. Identifikujte model, model i tip uređaja za svaku IP adresu koju citira:

    • Događaj 2889 za upućivanje nepotpisanih LDAP poziva

    • Događaj 3039 za ne koristi povezivanje LDAP kanala

    • Događaj 3074 ili 3075 jer ne može da poveže LDAP kanale

Tipovi uređaja

Grupišite tipove uređaja u 1 od 3 kategorije:

  1. Uređaj ili ruter -

    • Obratite se dobavljaču uređaja.

  2. Uređaj koji se ne pokreće na operativnom sistemu Windows -

    • Proverite da li su povezivanje LDAP kanala i LDAP potpisivanje podržani u operativnom sistemu i aplikaciji. Uradite to tako što ćete raditi sa operativnim sistemom i dobavljačem aplikacije.

  3. Uređaj koji radi na operativnom sistemu Windows -

    • LDAP potpisivanje je dostupno za korišćenje od strane svih aplikacija na svim podržanim verzijama operativnog sistema Windows. Proverite da li aplikacija ili usluga koriste LDAP potpisivanje.

    • Povezivanje LDAP kanala zahteva da svi Windows uređaji imaju instaliran CVE-2017-8563 . Proverite da li aplikacija ili usluga koriste povezivanje LDAP kanala.

Koristite lokalne, udaljene, generičke alatke ili alatke za praćenje specifične za uređaj. To obuhvata mrežne snimke, upravljač procesima ili praćenja grešaka. Utvrdite da li operativni sistem, usluga ili aplikacija izvršava nepotpisane LDAP veze ili ne koristi CBT.

Koristite Windows upravljač zadacima ili jednako da biste mapirali ID procesa za obradu, uslugu i imena aplikacija.

Raspored bezbednosnih ispravki

Ispravka od 10. marta 2020. dodata je za administratore da očvrsnu konfiguracije za povezivanje LDAP kanala i LDAP potpisivanje na Active Directory kontrolerima domena. Ispravke od 8. avgusta i 10. oktobra 2023. dodate su opcije za administratore za nadzor klijentskih mašina koje ne mogu da koriste tokene povezivanja LDAP kanala. Preporučujemo klijentima da u najranijoj prilici preuzmu korake preporučene u ovom članku.

Ciljni datum

Događaj

Odnosi se na

10. mart 2020.

Obavezno: Bezbednosna ispravka je dostupna Windows Update za sve podržane Windows platforme.

Napomena Za Windows platforme koje su van standardne podrške, ova bezbednosna ispravka će biti dostupna samo putem primenljivih programa proširene podrške.

Podršku za povezivanje LDAP kanala dodao je CVE-2017-8563 u verziji Windows Server 2008 i novijim verzijama. Tokeni povezivanja kanala podržani su u verzijama Windows 10 verzija 1709 i novijim verzijama.

Windows XP ne podržava povezivanje LDAP kanala i ne bi uspelo kada se povezivanje LDAP kanala konfiguriše pomoću vrednosti "Uvek", ali bi se međusobno podudarao sa DC-ovima konfigurisanim tako da koriste opuštenije postavke povezivanja LDAP kanala u opciji Kada je podržano.

Windows Server 2022

Windows 10, verzija 20H2

Windows 10, verzija 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (proširena bezbednosna ispravka (ESU))

8. avgust 2023.

Dodaje događaje nadzora tokena za povezivanje LDAP kanala (3074 & 3075). One su podrazumevano onemogućene Windows Server 2022.

Windows Server 2022

10. oktobar 2023.

Dodaje događaje nadzora tokena za povezivanje LDAP kanala (3074 & 3075). One su podrazumevano onemogućene Windows Server 2019.

Windows Server 2019

14. novembar 2023.

Događaji nadzora tokena za povezivanje LDAP kanala dostupni su Windows Server 2022 bez zahtevanja koraka ručnog omogućavanja.

Windows Server 2022

9. januar 2024.

Događaji nadzora tokena za povezivanje LDAP kanala dostupni su Windows Server 2019 bez zahtevanja koraka ručnog omogućavanja.

Windows Server 2019

Najčešća pitanja

Odgovore na najčešća pitanja o povezivanja LDAP kanala i LDAP potpisivanju na Active Directory kontrolerima domena potražite u članku:

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

OtkrivanjeZajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi