Güncelleştirme tarihi: 03.01.2025
El ile etkinleştirme adımına yönelik başvurular kaldırıldı. Bu adım, Windows Server 2019 için 14 Kasım 2023'den önce, Windows Server 2022 ve 9 Ocak 2024 için gerekliydi.
Giriş
LDAP kanalı bağlama ve LDAP imzalama, LDAP istemcileri ile Active Directory etki alanı denetleyicileri arasındaki iletişimlerin güvenliğini artırmanın yollarını sağlar. Active Directory etki alanı denetleyicilerinde LDAP kanal bağlaması ve LDAP imzalamayı zorunlu tutmadan LDAP istemcilerinin kendileriyle iletişim kurmasına olanak sağlayan, LDAP kanal bağlaması ve LDAP imzalama için güvenli olmayan bir varsayılan yapılandırma kümesi vardır. Bu, Active Directory etki alanı denetleyicilerini ayrıcalık yükseltme güvenlik açığına açabilir.
Bu güvenlik açığı, ortadaki bir adamın gelen bağlantılarda kanal bağlama, imzalama veya mühürleme gerektirecek şekilde yapılandırılmamış bir kimlik doğrulama isteğini Microsoft etki alanı sunucusuna başarıyla iletmesine olanak sağlayabilir.
Microsoft, yöneticilerin ADV190023'de açıklanan sağlamlaştırma değişikliklerini yapmasını önerir.
10 Mart 2020'de, yöneticilerin Active Directory etki alanı denetleyicilerinde LDAP kanalı bağlama yapılandırmalarını sağlamlaştırmaları için aşağıdaki seçenekleri sağlayarak bu güvenlik açığını giderdik:
-
Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri Grup İlkesi.
-
Dizin Hizmeti olay günlüğünde olay gönderen Microsoft-Windows-Active Directory_DomainService ile 3039, 3040 ve 3041 olaylarını imzalayan Kanal Bağlama Belirteçleri (CBT).
Önemli: 10 Mart 2020 güncelleştirmeleri ve öngörülebilir gelecekte yapılan güncelleştirmeler, yeni veya mevcut Active Directory etki alanı denetleyicilerinde LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların kayıt defteri eşdeğerini değiştirmez.
LDAP imzalama Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri ilkesi windows'un desteklenen tüm sürümlerinde zaten var. Windows Server 2022, 23H2 Edition'dan başlayarak, Windows'un tüm yeni sürümleri bu makaledeki tüm değişiklikleri içerecektir.
Bu değişikliğin neden gerekli olduğu
Active Directory etki alanı denetleyicilerinin güvenliği, sunucuyu imzalama (bütünlük doğrulaması) istemeyen Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek veya net bir metin (SSL/TLS şifreli olmayan) bağlantısında gerçekleştirilen LDAP basit bağlamalarını reddedecek şekilde yapılandırılarak önemli ölçüde geliştirilebilir. SASL'ler; Anlaş, Kerberos, NTLM ve Özet protokolleri gibi protokolleri içerebilir.
İmzalanmamış ağ trafiği, yetkisiz erişenin kimlik doğrulaması girişimini ve bir anahtar verilmesini kestiği saldırıların yeniden yürütülmesine maruz kalabilir. Yetkisiz erişen, yasal kullanıcının kimliğine bürünmek için anahtarı yeniden kullanabilir. Ayrıca, imzalanmamış ağ trafiği, bir davetsiz misafirin istemci ile sunucu arasındaki paketleri yakaladığı, paketleri değiştirdiği ve ardından sunucuya ilettiği ortadaki adam (MiTM) saldırılarına duyarlıdır. Bu durum bir Active Directory Etki Alanı Denetleyicisinde oluşursa, saldırgan sunucunun LDAP istemcisinden gelen sahte istekleri temel alan kararlar vermesine neden olabilir. LDAPS, istemcileri ve sunucuları bağlamak için kendi ayrı ağ bağlantı noktasını kullanır. LDAP için varsayılan bağlantı noktası 389 bağlantı noktasıdır, ancak LDAPS 636 numaralı bağlantı noktasını kullanır ve istemciye bağlandıktan sonra SSL/TLS oluşturur.
Kanal bağlama belirteçleri, SSL/TLS üzerinden LDAP kimlik doğrulamasının ortadaki adam saldırılarına karşı daha güvenli hale getirmesine yardımcı olur.
10 Mart 2020 güncelleştirmeleri
Önemli 10 Mart 2020 güncelleştirmeleri LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini ya da yeni veya mevcut Active Directory etki alanı denetleyicilerindeki kayıt defteri eşdeğerlerini değiştirmedi.
10 Mart 2020'de yayınlanan Windows güncelleştirmeleri aşağıdaki özellikleri ekledi:
-
LDAP kanal bağlaması ile ilgili Olay Görüntüleyicisi yeni olaylar günlüğe kaydedilir. Bu olayların ayrıntıları için bkz. Tablo 1 ve Tablo 2 .
-
Yeni bir Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri, desteklenen cihazlarda LDAP kanal bağlamasını yapılandırmak için grup ilkesi.
LDAP İmzalama İlkesi ayarları ile kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi eklenir:
-
İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri"
-
Kayıt Defteri Ayarı: LDAPServerIntegrity
-
Datatype: DWORD
-
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
grup ilkesi Ayarı |
Kayıt Defteri Ayarı |
|
Yok |
1 |
|
İmzalama Gerektir |
2 |
LDAP Kanal Bağlama İlkesi ayarları ile kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi eklenir:
-
İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri"
-
Kayıt Defteri Ayarı: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
grup ilkesi Ayarı |
Kayıt Defteri Ayarı |
|
Hiçbir zaman |
0 |
|
Desteklendiğinde |
1 |
|
Her zaman |
2 |
Tablo 1: LDAP imzalama olayları
|
Açıklama |
Tetiklemek |
|
|
Bu etki alanı denetleyicilerinin güvenliği, sunucuyu LDAP imzalama doğrulamasını zorunlu kılacak şekilde yapılandırarak önemli ölçüde geliştirilebilir. |
grup ilkesi Yok olarak ayarlandıysa, her 24 saatte bir başlatma veya hizmet başlangıcında tetikleniyor. En Düşük Günlük Düzeyi: 0 veya üzeri |
|
|
Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir. |
grup ilkesi Yok olarak ayarlandığında ve en az bir korumasız bağlama tamamlandığında her 24 saatte bir tetiklendi. En Düşük Günlük Düzeyi: 0 veya üzeri |
|
|
Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir. |
grup ilkesi İmzalama Gerektir olarak ayarlandığında ve en az bir korumasız bağlama reddedildiğinde her 24 saatte bir tetiklendi. En Düşük Günlük Düzeyi: 0 veya üzeri |
|
|
Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir. |
İstemci 389 numaralı bağlantı noktasındaki oturumlarda bağlamalar için imzalama kullanmadığında tetiklenen. En Düşük Günlük Düzeyi: 2 veya üzeri |
Tablo 2: CBT olayları
|
Etkinlik |
Açıklama |
Tetiklemek |
|
3039 |
Aşağıdaki istemci SSL/TLS üzerinden LDAP bağlaması gerçekleştirdi ve LDAP kanalı bağlama belirteci doğrulaması başarısız oldu. |
Aşağıdaki koşullardan herhangi birinde tetiklenen:
En düşük günlük düzeyi: 2 |
|
3040 |
Önceki 24 saatlik süre boyunca korumasız LDAP bağlamalarının sayısı gerçekleştirildi. |
CBT grup ilkesi Hiçbir zaman olarak ayarlandığında ve en az bir korumasız bağlama tamamlandığında her 24 saatte bir tetiklendi. En düşük günlük düzeyi: 0 |
|
3041 |
Bu dizin sunucusunun güvenliği, sunucuyu LDAP kanalı bağlama belirteçlerinin doğrulanması için yapılandırılarak önemli ölçüde geliştirilebilir. |
CBT grup ilkesi Hiçbir Zaman olarak ayarlandıysa, her 24 saatte bir başlatma veya hizmet başlangıcında tetikleniyor. En düşük günlük düzeyi: 0 |
Kayıt defterinde günlüğe kaydetme düzeyini ayarlamak için aşağıdakine benzer bir komut kullanın:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Active Directory tanılama olay günlüğünü yapılandırma hakkında daha fazla bilgi için bkz. Active Directory ve LDS tanılama olay günlüğünü yapılandırma.
8 Ağustos 2023 güncelleştirmeleri
Bazı istemci makineleri Active Directory etki alanı denetleyicilerine (DC) bağlanmak için LDAP kanalı bağlama belirteçlerini kullanamadı. Microsoft, 8 Ağustos 2023'te bir güvenlik güncelleştirmesi yayımladı. Windows Server 2022 için, bu güncelleştirme yöneticilerin bu istemcileri denetlemesine yönelik seçenekler ekledi. Dizin Hizmeti olay günlüğünde olay kaynağı **Microsoft-Windows-ActiveDirectory_DomainService** ile 3074 ve 3075 CBT olaylarını etkinleştirebilirsiniz.
Önemli 8 Ağustos 2023 güncelleştirmesi LDAP imzalamayı, LDAP kanalı bağlama varsayılan ilkelerini veya yeni veya mevcut Active Directory DC'lerinde bunların kayıt defteri eşdeğerini değiştirmedi.
Mart 2020 güncelleştirmeleri bölümündeki tüm yönergeler burada da geçerlidir. Yeni denetim olayları, yukarıdaki kılavuzda özetlenen ilke ve kayıt defteri ayarlarını gerektirir. Yeni denetim olaylarını görmek için bir etkinleştirme adımı da vardı. Ancak 14 Kasım 2023 güncelleştirmeleri bu etkinleştirme adımını kaldırdı. Yeni uygulama ayrıntıları aşağıdaki Önerilen Eylemler bölümündedir.
Tablo 3: CBT olayları
|
Etkinlik |
Açıklama |
Tetiklemek |
|
3074 |
Aşağıdaki istemci SSL/TLS üzerinden BIR LDAP bağlaması gerçekleştirmiştir ve dizin sunucusu Kanal Bağlama Belirteçlerinin doğrulanmasına zorlayacak şekilde yapılandırılmışsa kanal bağlama belirteci doğrulamasında başarısız olurdu. |
Aşağıdaki koşullardan herhangi birinde tetiklenen:
En düşük günlük düzeyi: 2 |
|
3075 |
Aşağıdaki istemci SSL/TLS üzerinden LDAP bağlaması gerçekleştirdi ve Kanal Bağlama Bilgileri sağlamadı. Bu dizin sunucusu Kanal Bağlama Belirteçlerinin doğrulamasını zorunlu kılacak şekilde yapılandırıldığında, bu bağlama işlemi reddedilir. |
Aşağıdaki koşullardan herhangi birinde tetiklenen:
En düşük günlük düzeyi: 2 |
Not Günlük düzeyini en az 2 olarak ayarladığınızda Olay Kimliği 3074 günlüğe kaydedilir. Yöneticiler, kanal bağlama belirteçleriyle çalışmayan istemciler için ortamlarını denetlemek için bunu kullanabilir. Olaylar, istemcileri tanımlamak için aşağıdaki tanılama bilgilerini içerir:
Client IP address: 192.168.10.5:62709 İstemcinin kimlik doğrulamayı denediği kimlik: CONTOSO\Yönetici İstemci, kanal bağlamayı destekler:YANLIŞ Desteklenen modda istemciye izin verilir:TRUE Denetim sonucu bayrakları:0x42
10 Ekim 2023 güncelleştirmeleri
Ağustos 2023'te eklenen denetim değişiklikleri artık Windows Server 2019'da kullanılabilir. Bu işletim sistemi için güncelleştirme, yöneticilerin bu istemcileri denetlemesine yönelik seçenekler ekledi. CBT olayları 3074 ve 3075'i etkinleştirebilirsiniz. Dizin Hizmeti olay günlüğünde **Microsoft-Windows-ActiveDirectory_DomainService** olay kaynağını kullanın.
Önemli 10 Ekim 2023 güncelleştirmesi LDAP imzalamayı, LDAP kanalı bağlama varsayılan ilkelerini veya yeni veya mevcut Active Directory DC'lerinde bunların kayıt defteri eşdeğerini değiştirmedi.
Mart 2020 güncelleştirmeleri bölümündeki tüm yönergeler burada da geçerlidir. Yeni denetim olayları, yukarıdaki kılavuzda özetlenen ilke ve kayıt defteri ayarlarını gerektirir. Yeni denetim olaylarını görmek için bir etkinleştirme adımı da vardı. Ancak 9 Ocak 2024 güncelleştirmeleri bu etkinleştirme adımını kaldırdı. Yeni uygulama ayrıntıları aşağıdaki Önerilen Eylemler bölümündedir.
14 Kasım 2023 güncelleştirmeleri
Ağustos 2023'te eklenen denetim değişiklikleri artık el ile etkinleştirme adımı gerekmeden Windows Server 2022'de kullanılabilir. Önerilen Eylemler'deki adımları izleyin.
9 Ocak 2024 güncelleştirmeleri
Ekim 2023'te eklenen denetim değişiklikleri artık el ile etkinleştirme adımı gerekmeden Windows Server 2019'da kullanılabilir. Önerilen Eylemler'deki adımları izleyin.
Önerilen işlemler
Müşterilere en erken fırsatta aşağıdaki adımları atmalarını kesinlikle öneririz:
-
Etki alanı denetleyicisi (DC) rol bilgisayarlarına 10 Mart 2020 veya üzeri Windows güncelleştirmelerinin yüklendiğinden emin olun. LDAP Kanal Bağlama denetim olaylarını etkinleştirmek istiyorsanız, 14 Kasım 2023 veya sonraki güncelleştirmelerin Windows Server 2022 veya Server 2019 DC'lerine yüklendiğinden emin olun.
-
LDAP olayları tanılama günlüğünü 2 veya daha yüksek bir değere etkinleştirin.
-
Aşağıdakiler için filtrelenmiş tüm DC rolü bilgisayarlarında Dizin hizmetleri olay günlüğünü izleyin:
-
Tablo 1'de LDAP İmzalama hatası olayı 2889.
-
Tablo 2'de LDAP Kanal Bağlama hatası olayı 3039.
-
Tablo 3'te LDAP Kanal Bağlama denetim olayları 3074 ve 3075.
Not 3039, 3074 ve 3075 olayları yalnızca Kanal Bağlaması Desteklendiğinde veya Her Zaman olarak ayarlandığında oluşturulabilir.
-
-
Aşağıdakilerden biri tarafından belirtilen her IP adresi için cihazın türünü, modelini ve türünü belirleyin:
-
İmzasız LDAP çağrıları yapmak için olay 2889
-
LDAP Kanal Bağlama kullanmamaya yönelik olay 3039
-
LDAP Kanal Bağlama özelliğine sahip olmadığı için Olay 3074 veya 3075
-
Cihaz türleri
Cihaz türlerini 3 kategoriden 1'inde gruplandırın:
-
Alet veya yönlendirici -
-
Cihaz sağlayıcısına başvurun.
-
-
Windows işletim sisteminde çalışmayan cihaz -
-
hem LDAP kanal bağlamasının hem de LDAP imzalamanın işletim sisteminde ve uygulamada desteklendiğini doğrulayın. Bunu, işletim sistemi ve uygulama sağlayıcısıyla çalışarak yapın.
-
-
Windows işletim sisteminde çalışan cihaz -
-
LDAP imzalama, desteklenen tüm Windows sürümlerindeki tüm uygulamalar tarafından kullanılabilir. Uygulamanızın veya hizmetinizin LDAP imzalama kullandığını doğrulayın.
-
LDAP kanal bağlaması, tüm Windows cihazlarında CVE-2017-8563 yüklü olmasını gerektirir. Uygulamanızın veya hizmetinizin LDAP kanal bağlaması kullandığını doğrulayın.
-
Yerel, uzak, genel veya cihaza özgü izleme araçlarını kullanın. Bunlar ağ yakalamaları, işlem yöneticisi veya hata ayıklama izlemeleridir. Çekirdek işletim sisteminin, hizmetin veya uygulamanın imzalanmamış LDAP bağlamaları gerçekleştirip gerçekleştirmediğini veya CBT kullanıp kullanmadığını belirleyin.
İşlem kimliğini işlem, hizmet ve uygulama adlarına eşlemek için Windows Görev Yöneticisi'ni veya eşdeğerini kullanın.
Güvenlikle ilgili güncelleştirme zamanlaması
10 Mart 2020 güncelleştirmesi, Active Directory etki alanı denetleyicilerinde LDAP kanalı bağlama ve LDAP imzalama yapılandırmalarını sağlamlaştırmaya yönelik yöneticilere yönelik denetimler ekledi. 8 Ağustos ve 10 Ekim 2023 güncelleştirmeleri, yöneticilerin LDAP kanalı bağlama belirteçlerini kullanamayan istemci makinelerini denetlemesine yönelik seçenekler ekledi. Müşterilere bu makalede önerilen eylemleri en erken fırsatta gerçekleştirmelerini kesinlikle öneririz.
|
Hedef Tarih |
Etkinlik |
Şunun için geçerlidir: |
|
10 Mart 2020 |
Gerekli: Güvenlik Güncelleştirmesi desteklenen tüm Windows platformları için Windows Update kullanılabilir. Not Standart desteği olmayan Windows platformları için bu güvenlik güncelleştirmesi yalnızca geçerli genişletilmiş destek programları aracılığıyla kullanılabilir. LDAP kanalı bağlama desteği CVE-2017-8563 tarafından Windows Server 2008 ve sonraki sürümlerde eklenmiştir. Kanal bağlama belirteçleri Windows 10, sürüm 1709 ve sonraki sürümlerde desteklenir. Windows XP LDAP kanal bağlamasını desteklemez ve LDAP kanal bağlaması Always değeri kullanılarak yapılandırıldığında başarısız olur, ancak Desteklendiğinde ayarının daha gevşek LDAP kanal bağlama ayarını kullanmak üzere yapılandırılmış DC'lerle birlikte çalışır. |
Windows Server 2022 Windows 10, sürüm 20H2 Windows 10, sürüm 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (Genişletilmiş Güvenlik Güncelleştirmesi (ESU)) |
|
8 Ağustos 2023, Ağustos 2023 |
LDAP kanalı bağlama belirteci denetim olaylarını ekler (3074 & 3075). bunlar Windows Server 2022'de varsayılan olarak devre dışıdır. |
Windows Server 2022 |
|
10 Ekim 2023 |
LDAP kanalı bağlama belirteci denetim olaylarını ekler (3074 & 3075). Bunlar, Windows Server 2019'da varsayılan olarak devre dışı bırakılmıştır. |
Windows Server 2019 |
|
14 Kasım 2023, İstanbul |
LDAP kanalı bağlama belirteci denetim olayları, el ile etkinleştirme adımı gerekmeden Windows Server 2022'de kullanılabilir. |
Windows Server 2022 |
|
9 Ocak 2024 |
LDAP kanalı bağlama belirteci denetim olayları, el ile etkinleştirme adımı gerekmeden Windows Server 2019'da kullanılabilir. |
Windows Server 2019 |
Sık sorulan sorular
Active Directory etki alanı denetleyicilerinde LDAP kanalı bağlama ve LDAP imzalama hakkında sık sorulan soruların yanıtları için bkz:
