Оновлено 09.01.2024
Перегляд нового вмісту в оновленні від 9 січня 2024 року.
Вступ
Зв'язування каналу LDAP і підписування LDAP дають змогу підвищити безпеку для зв'язку між клієнтами LDAP і контролерами домену Active Directory. Набір небезпечних конфігурацій за замовчуванням для зв'язування каналу LDAP і підписування LDAP існує на контролерах домену Active Directory, які дають змогу клієнтам LDAP спілкуватися з ними, не застосовуючи зв'язування каналу LDAP і підписування LDAP. Це може відкрити контролери домену Active Directory для підвищення вразливості прав.
Ця вразливість може дозволити зловмиснику "людина посередині" успішно пересилати запит на автентифікацію на сервер домену Microsoft, який не настроєно на вимогу прив'язування каналу, підписування або запечатування вхідних підключень.
Корпорація Майкрософт рекомендує адміністраторам вносити зміни, описані в ADV190023.
10 березня 2020 р. ми вирішуємо цю вразливість, надаючи такі параметри для адміністраторів, щоб загартувати конфігурації для зв'язування каналу LDAP на контролерах домену Active Directory:
-
Контролер домену: вимоги до маркера прив'язування каналу сервера LDAP Групова політика.
-
Події підписання маркерів прив'язування каналу (CBT) 3039, 3040 і 3041 за допомогою відправника подій Microsoft-Windows-Active Directory_DomainService в журналі подій служби каталогів.
Увага! Оновлення від 10 березня 2020 р. та оновлення в осяжному майбутньому не змінять підписування LDAP або стандартні політики зв'язування каналу LDAP або їх еквівалент реєстру на нових або наявних контролерах домену Active Directory.
Підписування контролера домену LDAP: політика вимог до підписування сервера LDAP уже існує в усіх підтримуваних версіях Windows. Починаючи з Windows Server 2022, 23H2 Edition, усі нові версії Windows міститимуть усі зміни в цій статті.
Чому ця зміна необхідна
Безпеку контролерів домену Active Directory можна значно покращити, налаштувавши сервер на відхилення простих зв'язків із протоколом LDAP для автентифікації та безпеки (SASL), які не надсилають запит на підписування (перевірку цілісності) або відхилюють прості прив'язки LDAP, які виконуються на з'єднанні з чітким текстом (не SSL/TLS- зашифрованим). Автентифікація SASL може включати такі протоколи, як Negotiate, Kerberos, NTLM і Digest.
Непідписаний мережевий трафік вразливий до атак повторного відтворення, в яких зловмисник перехоплює спробу автентифікації та видачу квитка. Зловмисник може повторно використовувати квиток для імітування користувача з належними правами. Крім того, непідписаний мережевий трафік сприйнятливий до атак "людина посередині" (MiTM), в яких зловмисник записує пакети між клієнтом і сервером, змінює пакети, а потім пересилає їх на сервер. Якщо це відбувається на контролері домену Active Directory, зловмисник може призвести до сервера приймати рішення на основі підроблених запитів від клієнта LDAP. LDAPS використовує власний окремий мережевий порт для підключення клієнтів і серверів. Порт за промовчанням для LDAP – порт 389, але LDAPS використовує порт 636 і встановлює протокол SSL/TLS під час підключення до клієнта.
Маркери зв'язування каналу допомагають зробити автентифікацію LDAP за протоколом SSL/TLS безпечніше від атак "людина в середині".
Оновлення за 10 березня 2020 р.
Увага! Оновлення від 10 березня 2020 р. не змінюють підписування LDAP або зв'язування каналу LDAP за промовчанням або їх еквівалент реєстру на нових або наявних контролерах домену Active Directory.
Оновлення Windows, які буде випущено 10 березня 2020 року, додають такі функції:
-
Нові події реєструються в перегляд подій, пов'язані зі зв'язуванням каналу LDAP. Докладні відомості про ці події див. в статті Таблиці 1 і Таблиця 2 .
-
Новий контролер домену: вимоги до маркера прив'язування каналу сервера LDAP Групова політика для настроювання прив'язування каналу LDAP на підтримуваних пристроях.
Зіставлення між параметрами політики підписування LDAP і настройками реєстру включається в такий спосіб:
-
Параметр політики: "Контролер домену: вимоги до підписування сервера LDAP"
-
Параметр реєстру: LDAPServerIntegrity
-
Тип даних: DWORD
-
Шлях реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
параметр Групова політика |
Параметр реєстру |
Жодної |
1 |
Обов'язкове підписання |
2 |
Зіставлення між параметрами політики зв'язування каналу LDAP і параметрами реєстру включаються в такий спосіб:
-
Параметр політики: "Контролер домену: вимоги до маркера прив'язування каналу сервера LDAP"
-
Параметр реєстру: LdapEnforceChannelBinding
-
Тип даних: DWORD
-
Шлях реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
параметр Групова політика |
Параметр реєстру |
"Ніколи" |
0 |
Коли підтримується |
1 |
Завжди |
2 |
Таблиця 1: події підписування LDAP
Опис |
Викликати |
|
Безпеку цих контролерів домену можна значно покращити, налаштувавши на сервері примусову перевірку підпису LDAP. |
Запускається кожні 24 години під час запуску або запуску служби, якщо для Групова політика встановлено значення Немає. Мінімальний рівень журналювання: 0 або більше |
|
Безпеку цих контролерів домену можна покращити, налаштувавши їх на відхилення простих запитів на зв'язування LDAP та інших запитів на прив'язування, які не включають підписування LDAP. |
Спрацьовує кожні 24 години, коли для Групова політика встановлено значення Немає та завершено принаймні одну незахищену прив'язку. Мінімальний рівень журналювання: 0 або більше |
|
Безпеку цих контролерів домену можна покращити, налаштувавши їх на відхилення простих запитів на зв'язування LDAP та інших запитів на прив'язування, які не включають підписування LDAP. |
Спрацьовує кожні 24 години, коли Групова політика має значення Вимагати підписування, і принаймні одну незахищену прив'язку відхилено. Мінімальний рівень журналювання: 0 або більше |
|
Безпеку цих контролерів домену можна покращити, налаштувавши їх на відхилення простих запитів на зв'язування LDAP та інших запитів на прив'язування, які не включають підписування LDAP. |
Спрацьовує, коли клієнт не використовує підписування для прив'язування під час сеансів порту 389. Мінімальний рівень журналювання: 2 або більше |
Таблиця 2: події КПТ
Дія |
Опис |
Викликати |
3039 |
Наведений нижче клієнт виконав зв'язування LDAP через протокол SSL/TLS і не зміг виконати перевірку маркера прив'язування каналу LDAP. |
Спрацьовує за будь-якої з наведених нижче обставин.
Мінімальний рівень журналювання: 2 |
3040 |
Протягом попереднього 24-годинного періоду було виконано # незахищених зв'язувачів LDAPs. |
Спрацьовує кожні 24 години, коли для функції CBT Групова політика встановлено значення Ніколи та завершено принаймні одну незахищену прив'язку. Мінімальний рівень журналювання: 0 |
3041 |
Безпеку цього сервера каталогів можна значно покращити, налаштувавши на сервері примусову перевірку маркерів зв'язування каналу LDAP. |
Спрацьовує кожні 24 години під час запуску або запуску служби, якщо для Групова політика CBT установлено значення Ніколи. Мінімальний рівень журналювання: 0 |
Щоб установити рівень журналювання в реєстрі, скористайтеся командою, приблизно такого вигляду:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Докладні відомості про настроювання журналювання діагностичних подій Active Directory див. в статті Настроювання журналювання діагностичних подій Active Directory та LDS.
Оновлення від 8 серпня 2023 р.
Деякі клієнтські комп'ютери не можуть використовувати маркери зв'язування каналу LDAP для прив'язування до контролерів домену Active Directory (DCs). Корпорація Майкрософт випустить оновлення системи безпеки 8 серпня 2023 року. Для Windows Server 2022 це оновлення додає параметри для адміністраторів, щоб перевірити ці клієнти. Ви можете ввімкнути події CBT 3074 та 3075 із джерелом подій **Microsoft-Windows-ActiveDirectory_DomainService** у журналі подій служби каталогів.
Увага! Оновлення від 8 серпня 2023 року не змінює підписування LDAP, стандартні політики зв'язування каналу LDAP або їх еквівалент реєстру на нових або наявних DCs Active Directory.
Тут також наведено всі вказівки в розділі про оновлення за березень 2020 р. Для нових подій аудиту потрібні параметри політики та реєстру, описані в наведених вище вказівках. Крім того, можна переглянути нові події аудиту. Нові відомості про впровадження наведено в розділі Рекомендовані дії нижче.
Таблиця 3: події КПТ
Дія |
Опис |
Викликати |
3074 |
Наведений нижче клієнт виконав зв'язування LDAP за протоколом SSL/TLS і не зміг би перевірити маркер прив'язування каналу, якщо сервер каталогів настроєно для забезпечення перевірки маркерів прив'язування каналу. |
Спрацьовує за будь-якої з наведених нижче обставин.
Мінімальний рівень журналювання: 2 |
3075 |
Наведений нижче клієнт виконав зв'язування LDAP через протокол SSL/TLS і не надав відомості про зв'язування каналу. Якщо цей сервер каталогів настроєно на примусове виконання перевірки маркерів прив'язування каналу, операцію прив'язування буде відхилено. |
Спрацьовує за будь-якої з наведених нижче обставин.
Мінімальний рівень журналювання: 2 |
Нотатка Якщо встановити рівень журналювання принаймні 2, подія з ідентифікатором 3074 реєструється. За допомогою цієї функції адміністратори можуть перевірити середовище клієнтів, які не працюють із маркерами прив'язування каналу. Події міститимуть такі діагностичні відомості для ідентифікації клієнтів:
Client IP address: 192.168.10.5:62709 Посвідчення клієнт спробував автентифікувати як: CONTOSO\Адміністратор Клієнт підтримує прив'язування каналу:FALSE Клієнт дозволений у режимі, що підтримується:TRUE Позначки результатів аудиту:0x42
Оновлення від 10 жовтня 2023 р.
Зміни аудиту, додані в серпні 2023 року, тепер доступні у Windows Server 2019. Для цієї ОС це оновлення додає параметри для адміністраторів для перевірки цих клієнтів. Можна ввімкнути події CBT 3074 та 3075. Використовуйте джерело подій **Microsoft-Windows-ActiveDirectory_DomainService** у журналі подій служби каталогів.
Увага! Оновлення від 10 жовтня 2023 року не змінює підписування LDAP, стандартні політики зв'язування каналу LDAP або їх еквівалент реєстру на нових або наявних DCs Active Directory.
Тут також наведено всі вказівки в розділі про оновлення за березень 2020 р. Для нових подій аудиту потрібні параметри політики та реєстру, описані в наведених вище вказівках. Крім того, можна переглянути нові події аудиту. Нові відомості про впровадження наведено в розділі Рекомендовані дії нижче.
Оновлення від 14 листопада 2023 р.
Зміни аудиту, додані в серпні 2023 року, тепер доступні у Windows Server 2022. Вам не потрібно інсталювати MSIs або створювати політики, як зазначено на кроці 3 рекомендованих дій.
Оновлення за 9 січня 2024 р.
Зміни аудиту, додані в жовтні 2023 року, тепер доступні у Windows Server 2019. Вам не потрібно інсталювати MSIs або створювати політики, як зазначено на кроці 3 рекомендованих дій.
Рекомендовані дії
Ми наполегливо радимо клієнтам виконати наведені нижче кроки за першої можливості.
-
Переконайтеся, що оновлення Windows від 10 березня 2020 р. або новішої версії інстальовано на комп'ютерах із роллю контролера домену (DC). Якщо потрібно ввімкнути події аудиту зв'язування каналу LDAP, переконайтеся, що оновлення від 8 серпня 2023 р. або пізнішої версії інстальовано на DCs windows Server 2022 або Server 2019.
-
Увімкніть діагностичне журналювання подій LDAP до 2 або новішої версії.
-
Увімкніть оновлення подій аудиту за серпень 2023 р. або за жовтень 2023 р. за допомогою Групова політика. Цей крок можна пропустити, якщо ви інсталювали оновлення за листопад 2023 р. або пізнішої версії на Windows Server 2022. Якщо ви інсталювали оновлення за січень 2024 р. або пізнішої версії на Windows Server 2019, можна пропустити цей крок.
-
Завантажте два ввімкнення MSIs для кожної версії ОС з Центру завантажень Microsoft:
-
Розгорніть msIs, щоб інсталювати нові файли ADMX, які містять визначення політики. Якщо для Групова політика використовується Центральний магазин, скопіюйте файли ADMX до Центрального магазину.
-
Застосуйте відповідні політики до підрозділу контролерів домену або до підмножини DCs Server 2022 або Server 2019.
-
Перезапустіть контролер домену, щоб зміни набрали сили.
-
-
Відстежуйте журнал подій служб каталогів на всіх комп'ютерах із роллю постійного струму, відфільтрованих за:
-
Подія помилки підписання LDAP 2889 у таблиці 1.
-
Помилка зв'язування каналу LDAP 3039 у таблиці 2.
-
Події аудиту зв'язування каналу LDAP 3074 та 3075 у таблиці 3.
Нотатка Події 3039, 3074 та 3075 можна створювати лише тоді, коли для прив'язування каналу встановлено значення "Коли підтримується " або " Завжди".
-
-
Визначте make, model і тип пристрою для кожної IP-адреси, на яку посилається:
-
Подія 2889 для здійснення непідписаних викликів LDAP
-
Подія 3039 для не використовує зв'язування каналу LDAP
-
Подія 3074 або 3075 для не здатної зв'язування каналу LDAP
-
Типи пристроїв
Групування типів пристроїв за 1 із 3 категорій:
-
Прилад або маршрутизатор -
-
Зверніться до постачальника пристрою.
-
-
Пристрій, який не працює в операційній системі Windows -
-
Переконайтеся, що зв'язування каналу LDAP і підписування LDAP підтримуються в операційній системі та програмі. Для цього зверніться до постачальника операційної системи та програми.
-
-
Пристрій, який працює в операційній системі Windows -
-
Підписування LDAP доступне для використання всіма програмами в усіх підтримуваних версіях Windows. Переконайтеся, що програма або служба використовує підпис LDAP.
-
Для прив'язування каналу LDAP потрібно, щоб на всіх пристроях Windows було інстальовано CVE-2017-8563 . Переконайтеся, що програма або служба використовує зв'язування каналу LDAP.
-
Використовуйте засоби трасування для локального, віддаленого, універсального чи конкретного пристрою. До них належать мережеві знімки, диспетчер процесів або трасування налагодження. Визначте, чи основна операційна система, служба або програма виконує непідписані зв'язки LDAP або не використовує КПТ.
Використовуйте диспетчер завдань Windows або еквівалент, щоб зіставити ідентифікатор процесу з іменами процесів, служб і програм.
Планування оновлення системи безпеки
Оновлення від 10 березня 2020 р. додало елементи керування для адміністраторів, щоб посилити конфігурацію для зв'язування каналу LDAP і підписування LDAP на контролерах домену Active Directory. Оновлення від 8 серпня та 10 жовтня 2023 року додають адміністраторам можливості аудиту клієнтських комп'ютерів, які не можуть використовувати маркери зв'язування каналу LDAP. Ми наполегливо радимо клієнтам виконати дії, рекомендовані в цій статті, при першій можливості.
Дата завершення |
Дія |
Застосовується до |
10 березня 2020 р. |
Обов'язково. Оновлення системи безпеки доступне на Windows Update для всіх підтримуваних платформ Windows. Нотатка Для платформ Windows, для яких не підтримується стандартна підтримка, це оновлення системи безпеки буде доступне лише за допомогою відповідних програм розширеної підтримки. Підтримку прив'язування каналу LDAP додано CVE-2017-8563 у Windows Server 2008 і пізніших версіях. Маркери прив'язування каналу підтримуються в Windows 10 версії 1709 і пізніших версіях. Windows XP не підтримує зв'язування каналу LDAP і завершується помилкою, якщо зв'язування каналу LDAP настроєно за допомогою значення Always, але буде інтероперуватись із DCs, налаштованими на використання більш розслабленого параметра зв'язування каналу LDAP для параметра Коли підтримується. |
Windows Server 2022 Windows 10, версія 20H2 Windows 10 версії 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 із пакетом оновлень 2 (SP2) (розширене оновлення системи безпеки (ESU)) |
8 серпня 2023 р. |
Додає події аудиту маркерів прив'язування каналу LDAP (3074 & 3075). Їх вимкнуто за замовчуванням у Windows Server 2022. |
Windows Server 2022 |
10 жовтня 2023 р. |
Додає події аудиту маркерів прив'язування каналу LDAP (3074 & 3075). Їх вимкнуто за замовчуванням у Windows Server 2019. |
Windows Server 2019 |
14 листопада 2023 р. |
Події аудиту маркерів прив'язування каналу LDAP доступні у Windows Server 2022 без інсталяції активації MSI (як описано на кроці 3 рекомендованих дій). |
Windows Server 2022 |
9 січня 2024 р. |
Події аудиту маркерів прив'язування каналу LDAP доступні у Windows Server 2019 без інсталяції активації MSI (як описано на кроці 3 рекомендованих дій). |
Windows Server 2019 |
Запитання й відповіді
Відповіді на поширені запитання про зв'язування каналу LDAP і підписування LDAP на контролерах домену Active Directory див. в статтях: