Các yêu cầu về ràng buộc và ký kết kênh LDAP năm 2020, 2023 và 2024 cho Windows (KB4520412)

Giới thiệu

Ràng buộc kênh LDAP và ký kết LDAP cung cấp các cách để tăng tính bảo mật cho thông tin liên lạc giữa máy khách LDAP và bộ kiểm soát miền Active Directory. Một tập hợp các cấu hình mặc định không an toàn cho ràng buộc kênh LDAP và ký LDAP tồn tại trên bộ kiểm soát miền Active Directory cho phép khách hàng LDAP giao tiếp với họ mà không thực thi ràng buộc kênh LDAP và ký kết LDAP. Điều này có thể mở bộ kiểm soát miền Active Directory lên độ cao lỗ hổng đặc quyền.

Lỗ hổng này có thể cho phép kẻ tấn công người đàn ông-in-the-middle thành công chuyển tiếp một yêu cầu xác thực đến một máy chủ miền Microsoft chưa được cấu hình để yêu cầu ràng buộc kênh, ký kết, hoặc niêm phong trên kết nối đến.

Microsoft khuyên người quản trị nên thực hiện các thay đổi cứng được mô tả ADV190023.

Vào ngày 10 tháng 3 năm 2020, chúng tôi đã khắc phục lỗ hổng này bằng cách cung cấp các tùy chọn sau đây cho người quản trị để cấu hình cho ràng buộc kênh LDAP trên bộ kiểm soát miền Active Directory:

Bộ kiểm soát miền: Yêu cầu mã thông báo ràng buộc kênh máy chủ LDAP Chính sách Nhóm.
Mã thông báo Ràng buộc Kênh (CBT) ký các sự kiện 3039, 3040 và 3041 với người gửi sự kiện Microsoft-Windows-Active Directory_DomainService nhật ký sự kiện Dịch vụ Thư mục.

Quan trọng: Các bản cập nhật ngày 10 tháng 3 năm 2020 và các bản cập nhật trong tương lai có thể dự đoán, sẽ không thay đổi ký hiệu LDAP hoặc các chính sách mặc định ràng buộc kênh LDAP hoặc chính sách đăng ký tương đương trên bộ kiểm soát miền Active Directory mới hoặc hiện có.

Bộ kiểm soát miền ký LDAP: Chính sách yêu cầu ký máy chủ LDAP đã tồn tại trong tất cả các phiên bản Windows được hỗ trợ. Bắt đầu từ Windows Server 2022, Phiên bản 23H2, tất cả các phiên bản Windows mới sẽ chứa tất cả các thay đổi trong bài viết này.

Tại sao cần phải thực hiện thay đổi này

Bảo mật của bộ kiểm soát miền Active Directory có thể được cải thiện đáng kể bằng cách cấu hình máy chủ để từ chối các liên kết LDAP Xác thực Đơn giản và Tầng Bảo mật (SASL) không yêu cầu ký (xác minh tính toàn vẹn) hoặc từ chối các ràng buộc đơn giản LDAP được thực hiện trên kết nối văn bản rõ ràng (không phải SSL/TLS được mã hóa). SASL có thể bao gồm các giao thức như Negotiate, Kerberos, NTLM và Digest.

Lưu lượng truy cập mạng không được ký dễ bị tấn công phát lại, trong đó một kẻ đột nhập sẽ ngăn chặn các nỗ lực xác thực và không cho cấp phát phiếu. Kẻ xâm nhập có thể lợi dụng phiếu đó để mạo danh người dùng hợp pháp. Ngoài ra, lưu lượng truy cập mạng không được ký dễ bị tấn công giữa người trung gian (MiTM) trong đó kẻ xâm nhập chiếm các gói tin giữa máy khách và máy chủ, thay đổi các gói tin, và sau đó chuyển tiếp chúng đến máy chủ. Nếu điều này xảy ra trên bộ điều khiển miền Active Directory, kẻ tấn công có thể khiến máy chủ đưa ra quyết định dựa trên yêu cầu giả lập từ máy khách LDAP. LDAPS sử dụng cổng mạng riêng biệt của mình để kết nối máy khách và máy chủ. Cổng mặc định cho LDAP là cổng 389, nhưng LDAPS sử dụng cổng 636 và thiết lập SSL/TLS khi kết nối với máy khách.

Mã thông báo ràng buộc kênh giúp xác thực LDAP qua SSL/TLS an toàn hơn chống lại các cuộc tấn công giữa người.

Bản cập nhật ngày 10 tháng 3 năm 2020

Quan trọng Các bản cập nhật ngày 10 tháng 3 năm 2020 đã không thay đổi ký LDAP hoặc ràng buộc kênh LDAP chính sách mặc định hoặc đăng ký tương đương trên bộ kiểm soát miền Active Directory mới hoặc hiện có.

Các bản cập nhật Windows được phát hành vào ngày 10 tháng 3 năm 2020, đã bổ sung các tính năng sau:

Các sự kiện mới được ghi nhật ký Trình xem sự kiện liên quan đến ràng buộc kênh LDAP. Xem Bảng 1 và Bảng 2 để biết chi tiết về các sự kiện này.
Bộ điều khiển miền mới: Yêu cầu mã thông báo ràng buộc kênh máy chủ LDAP chính sách nhóm cấu hình gắn kết kênh LDAP trên thiết bị được hỗ trợ.

Ánh xạ giữa thiết đặt Chính sách Ký LDAP và thiết đặt sổ đăng ký được bao gồm như sau:

Thiết đặt Chính sách: "Bộ kiểm soát miền: Yêu cầu ký máy chủ LDAP"
Thiết đặt Sổ đăng ký: Tính toàn vẹn của LDAPServer
DataType: DWORD
Đường dẫn Đăng ký: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

chính sách nhóm đặt	Thiết đặt Sổ đăng ký
Không có	1
Yêu cầu Đăng nhập	2

Ánh xạ giữa cài đặt Chính sách Ràng buộc Kênh LDAP và cài đặt đăng ký được bao gồm như sau:

Thiết đặt Chính sách: "Bộ kiểm soát miền: Yêu cầu mã thông báo ràng buộc kênh máy chủ LDAP"
Thiết đặt Sổ đăng ký: LdapEnforceChannelBinding
DataType: DWORD
Đường dẫn Đăng ký: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

chính sách nhóm đặt	Thiết đặt Sổ đăng ký
Không bao giờ	0
Khi được hỗ trợ	1
Luôn luôn	2

Bảng 1: Sự kiện ký LDAP

	Mô tả	Kích hoạt
2886	Bảo mật của các bộ kiểm soát miền có thể được cải thiện đáng kể bằng cách cấu hình máy chủ để thực thi xác thực ký LDAP.	Được kích hoạt 24 giờ một lần, vào lúc khởi động hoặc bắt đầu dịch vụ nếu chính sách nhóm được đặt thành Không có. Mức Ghi nhật ký Tối thiểu: 0 trở lên
2887	Bảo mật của các bộ kiểm soát miền có thể được cải thiện bằng cách cấu hình chúng để từ chối yêu cầu ràng buộc LDAP đơn giản và các yêu cầu ràng buộc khác không bao gồm ký LDAP.	Được kích hoạt mỗi 24 giờ khi chính sách nhóm được đặt thành Không có và ít nhất một liên kết không được bảo vệ đã được hoàn tất. Mức Ghi nhật ký Tối thiểu: 0 trở lên
2888	Bảo mật của các bộ kiểm soát miền có thể được cải thiện bằng cách cấu hình chúng để từ chối yêu cầu ràng buộc LDAP đơn giản và các yêu cầu ràng buộc khác không bao gồm ký LDAP.	Được kích hoạt mỗi 24 giờ khi chính sách nhóm được đặt thành Yêu cầu Ký và ít nhất một liên kết không được bảo vệ đã bị từ chối. Mức Ghi nhật ký Tối thiểu: 0 trở lên
2889	Bảo mật của các bộ kiểm soát miền có thể được cải thiện bằng cách cấu hình chúng để từ chối yêu cầu ràng buộc LDAP đơn giản và các yêu cầu ràng buộc khác không bao gồm ký LDAP.	Kích hoạt khi một khách hàng không sử dụng ký kết trên phiên trên cổng 389. Mức Ghi nhật ký Tối thiểu: 2 trở lên

Bảng 2: Sự kiện CBT

Sự kiện	Mô tả	Kích hoạt
3039	Máy khách sau thực hiện gắn kết LDAP qua SSL/TLS và không xác thực mã thông báo ràng buộc kênh LDAP.	Được kích hoạt trong bất kỳ trường hợp nào sau đây: Khi một máy khách cố gắng liên kết với một Mã thông báo Ràng buộc Kênh (CBT) không đúng định dạng nếu CBT chính sách nhóm được đặt thành Khi Được hỗ trợ hoặc Luôn luôn. Khi một khách hàng có khả năng ràng buộc kênh không gửi một CBT nếu CBT chính sách nhóm được đặt thành Khi được hỗ trợ. Máy khách có khả năng gắn kết kênh nếu tính năng EPA được cài đặt hoặc sẵn dùng trong HĐH và không bị vô hiệu hóa thông qua cài đặt đăng ký SuppressExtendedProtection. Để tìm hiểu thêm, hãy KB5021989. Khi một khách hàng không gửi một CBT nếu CBT chính sách nhóm được đặt thành Luôn luôn. Mức ghi nhật ký tối thiểu: 2
3040	Trong khoảng thời gian 24 giờ trước, # của các liên kết LDAP không được bảo vệ đã được thực hiện.	Kích hoạt mỗi 24 giờ khi CBT chính sách nhóm được đặt thành Không bao giờ và ít nhất một liên kết không được bảo vệ đã được hoàn tất. Mức ghi nhật ký tối thiểu: 0
3041	Bảo mật của máy chủ thư mục này có thể được cải thiện đáng kể bằng cách cấu hình máy chủ để thực thi xác thực mã thông báo ràng buộc kênh LDAP.	Được kích hoạt 24 giờ một lần, vào lúc khởi động hoặc bắt đầu dịch vụ nếu cài đặt CBT chính sách nhóm đặt là Không bao giờ. Mức ghi nhật ký tối thiểu: 0

Để đặt mức ghi nhật ký trong sổ đăng ký, hãy sử dụng lệnh tương tự như sau:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 Sự kiện Giao diện LDAP" /t REG_DWORD /d 2

Để biết thêm thông tin về cách đặt cấu hình ghi nhật ký sự kiện chẩn đoán Active Directory, hãy xem Cách đặt cấu hình ghi sự kiện chẩn đoán Active Directory và LDS.

Bản cập nhật ngày 8 tháng 8 năm 2023

Một số máy khách không thể sử dụng mã thông báo ràng buộc kênh LDAP để gắn kết với bộ kiểm soát miền Active Directory (DCs). Microsoft đã phát hành một bản cập nhật bảo mật vào ngày 8 tháng 8 năm 2023. Ví dụ Windows Server 2022, bản cập nhật này đã thêm tùy chọn cho người quản trị để kiểm tra các máy khách này. Bạn có thể bật các sự kiện CBT 3074 và 3075 với nguồn sự kiện **Microsoft-Windows-ActiveDirectory_DomainService** trong nhật ký sự kiện Dịch vụ Thư mục.

Quan trọng Bản cập nhật ngày 8 tháng 8 năm 2023 không thay đổi ký kết LDAP, chính sách mặc định ràng buộc kênh LDAP hoặc chính sách đăng ký tương đương trên các PC Active Directory mới hoặc hiện có.

Tất cả các hướng dẫn trong mục Bản cập nhật tháng 3 năm 2020 cũng áp dụng ở đây. Các sự kiện kiểm tra mới sẽ yêu cầu cài đặt chính sách và sổ đăng ký được nêu trong hướng dẫn ở trên. Ngoài ra còn có một bước cho phép để xem các sự kiện kiểm tra mới. Nhưng các bản cập nhật ngày 14 tháng 11 năm 2023 đã loại bỏ bước bật đó. Thông tin chi tiết về việc triển khai mới nằm trong mục Hành động được Đề xuất bên dưới.

Bảng 3: Sự kiện CBT

Sự kiện

Mô tả

Kích hoạt

3074

Máy khách sau thực hiện gắn kết LDAP qua SSL/TLS và đã không xác thực mã thông báo ràng buộc kênh nếu máy chủ thư mục đã được cấu hình để thực thi xác thực Mã thông báo Ràng buộc Kênh.

Được kích hoạt trong bất kỳ trường hợp nào sau đây:

Khi một máy khách cố gắng liên kết với một Mã thông báo Ràng buộc Kênh (CBT) không đúng định dạng

Mức ghi nhật ký tối thiểu: 2

3075

Máy khách sau thực hiện gắn kết LDAP qua SSL/TLS và không cung cấp Thông tin Ràng buộc Kênh. Khi máy chủ thư mục này được cấu hình để thực thi xác thực mã thông báo ràng buộc kênh, thao tác liên kết này sẽ bị từ chối.

Được kích hoạt trong bất kỳ trường hợp nào sau đây:

Khi một khách hàng có khả năng ràng buộc kênh không gửi một CBT
Máy khách có khả năng gắn kết kênh nếu tính năng EPA được cài đặt hoặc sẵn dùng trong HĐH và không bị vô hiệu hóa thông qua cài đặt đăng ký SuppressExtendedProtection. Để tìm hiểu thêm, hãy KB5021989.

Mức ghi nhật ký tối thiểu: 2

Ghi chú Khi bạn đặt mức ghi nhật ký là ít nhất 2, ID Sự kiện 3074 được ghi nhật ký. Người quản trị có thể sử dụng điều này để kiểm tra môi trường của mình đối với các máy khách không hoạt động với mã thông báo ràng buộc kênh. Các sự kiện sẽ chứa thông tin chẩn đoán sau để xác định máy khách:

Client IP address: 192.168.10.5:62709 Nhận dạng máy khách đã tìm cách xác thực là: CONTOSO\Người quản trị Máy khách hỗ trợ gắn kết kênh:FALSE Máy khách được phép ở chế độ được hỗ trợ:TRUE Cờ kết quả kiểm tra:0x42

Bản cập nhật ngày 10 tháng 10 năm 2023

Các thay đổi kiểm tra được bổ sung vào tháng 8 năm 2023 hiện đã có Windows Server 2019. Đối với HĐH đó, bản cập nhật bổ sung các tùy chọn cho người quản trị để kiểm tra các máy khách này. Bạn có thể bật sự kiện CBT 3074 và 3075. Sử dụng nguồn sự kiện **Microsoft-Windows-ActiveDirectory_DomainService** trong nhật ký sự kiện Dịch vụ Thư mục.

Quan trọng Bản cập nhật ngày 10 tháng 10 năm 2023 không thay đổi ký LDAP, chính sách mặc định ràng buộc kênh LDAP hoặc đăng ký tương đương trên CÁC PC Active Directory mới hoặc hiện có.

Tất cả các hướng dẫn trong mục Bản cập nhật tháng 3 năm 2020 cũng áp dụng ở đây. Các sự kiện kiểm tra mới sẽ yêu cầu cài đặt chính sách và sổ đăng ký được nêu trong hướng dẫn ở trên. Ngoài ra còn có một bước cho phép để xem các sự kiện kiểm tra mới. Tuy nhiên, các bản cập nhật ngày 9 tháng 1 năm 2024 đã loại bỏ bước bật đó. Thông tin chi tiết về việc triển khai mới nằm trong mục Hành động được Đề xuất bên dưới.

Bản cập nhật ngày 14 tháng 11 năm 2023

Các thay đổi kiểm tra được thêm vào tháng 8 năm 2023 hiện sẵn dùng trên Windows Server 2022 mà không yêu cầu bước bật thủ công. Làm theo các bước trong Hành động được Đề xuất.

Bản cập nhật ngày 9 tháng 1 năm 2024

Các thay đổi về kiểm tra được thêm vào Tháng Mười 2023 hiện đã khả dụng vào Windows Server 2019 mà không yêu cầu bước bật thủ công. Làm theo các bước trong Hành động được Đề xuất.

Các hành động được đề xuất

Chúng tôi đặc biệt khuyên khách hàng nên thực hiện các bước sau đây sớm nhất có thể:

Đảm bảo rằng các bản cập nhật Windows có vai trò là ngày 10 tháng 3 năm 2020 trở lên đã được cài đặt trên máy tính có vai trò bộ kiểm soát miền (DC). Nếu bạn muốn bật các sự kiện kiểm tra Ràng buộc kênh LDAP, hãy đảm bảo rằng các bản cập nhật ngày 14 tháng 11 năm 2023 trở lên được cài đặt trên các PC Windows Server 2022 hoặc Server 2019.
Bật ghi nhật ký chẩn đoán sự kiện LDAP từ 2 trở lên.
Giám sát nhật ký sự kiện Dịch vụ thư mục trên tất cả các máy tính vai trò DC được lọc cho:
- Sự kiện không thể ký LDAP 2889 trong Bảng 1.
- Sự kiện lỗi Ràng buộc kênh LDAP 3039 trong Bảng 2.
- Các sự kiện kiểm tra Ràng buộc kênh LDAP 3074 và 3075 trong Bảng 3.
  
  Ghi chú Chỉ có thể tạo Sự kiện 3039, 3074 và 3075 khi Gắn kết Kênh được đặt thành Khi Được hỗ trợ hoặc Luôn luôn.
Xác định nhà sản xuất, kiểu thiết bị và loại thiết bị cho từng địa chỉ IP được trích dẫn bằng:
- Sự kiện 2889 để thực hiện cuộc gọi LDAP chưa ký
- Sự kiện 3039 để không sử dụng Ràng buộc Kênh LDAP
- Sự kiện 3074 hoặc 3075 vì không thể gắn kết Kênh LDAP

Loại thiết bị

Nhóm các loại thiết bị thành 1 trong 3 loại:

Thiết bị hoặc bộ định tuyến -
- Liên hệ với nhà cung cấp thiết bị.
Thiết bị không chạy trên hệ điều hành Windows -
- Xác minh rằng cả ký kết kênh LDAP và ký kết LDAP đều được hỗ trợ trên hệ điều hành và ứng dụng. Thực hiện điều này bằng cách làm việc với hệ điều hành và nhà cung cấp ứng dụng.
Thiết bị chạy trên hệ điều hành Windows -
- Đăng nhập LDAP có sẵn để tất cả các ứng dụng sử dụng trên tất cả các phiên bản Windows được hỗ trợ. Xác minh rằng ứng dụng hoặc dịch vụ của bạn đang sử dụng ký LDAP.
- Ràng buộc kênh LDAP yêu cầu tất cả các thiết bị Windows phải cài đặt CVE-2017-8563 . Xác minh rằng ứng dụng hoặc dịch vụ của bạn đang sử dụng ràng buộc kênh LDAP.

Sử dụng các công cụ theo dõi cục bộ, từ xa, chung hoặc dành riêng cho thiết bị. Chúng bao gồm chụp mạng, trình quản lý quy trình hoặc gỡ lỗi dấu vết. Xác định xem hệ điều hành cốt lõi, dịch vụ hoặc ứng dụng thực hiện gắn kết LDAP chưa ký hoặc không sử dụng CBT.

Sử dụng Trình quản lý Tác vụ Windows hoặc tương đương để ánh xạ ID quy trình để xử lý, cung cấp dịch vụ và tên ứng dụng.

Lịch phát hành bản cập nhật bảo mật

Bản cập nhật ngày 10 tháng 3 năm 2020 đã bổ sung các điều khiển cho người quản trị để cấu hình ràng buộc kênh LDAP và ký kết LDAP trên bộ kiểm soát miền Active Directory. Các bản cập nhật ngày 8 tháng 8 và ngày 10 tháng 10 năm 2023 đã thêm tùy chọn cho người quản trị để kiểm tra máy khách không thể sử dụng mã thông báo ràng buộc kênh LDAP. Chúng tôi đặc biệt khuyên khách hàng nên thực hiện các hành động được đề xuất trong bài viết này sớm nhất có thể.

Ngày Nhắm mục tiêu	Sự kiện	Áp dụng cho
Ngày 10 tháng 3 năm 2020	Bắt buộc: Bản cập nhật Bảo mật có sẵn trên Windows Update cho tất cả các nền tảng Windows được hỗ trợ. Ghi chú Đối với các nền tảng Windows không được hỗ trợ tiêu chuẩn, bản cập nhật bảo mật này sẽ chỉ có sẵn thông qua các chương trình hỗ trợ mở rộng hiện hành. Hỗ trợ ràng buộc kênh LDAP đã được thêm vào bởi CVE-2017-8563 trên Windows Server 2008 trở lên. Mã thông báo gắn kết kênh được hỗ Windows 10, phiên bản 1709 trở lên. Windows XP không hỗ trợ ràng buộc kênh LDAP và sẽ không thành công khi ràng buộc kênh LDAP được đặt cấu hình bằng cách sử dụng giá trị Luôn luôn nhưng sẽ tương tác với các PC được đặt cấu hình để sử dụng cài đặt ràng buộc kênh LDAP thoải mái hơn khi được hỗ trợ.	Windows Server 2022 Windows 10, phiên bản 20H2 Windows 10, phiên bản 1909 (19H2)Windows Server 2019 (1809 \ RS5)Windows Server 2016 (1607 \ RS1)Windows Server 2012 R2Windows Server 2012Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (Bản cập nhật Bảo mật Mở rộng (ESU))
Ngày 8 tháng 8 năm 2023	Thêm sự kiện kiểm tra mã thông báo ràng buộc kênh LDAP (3074 & 3075). Chúng được tắt theo mặc định vào Windows Server 2022.	Windows Server 2022
Ngày 10 tháng 10 năm 2023	Thêm sự kiện kiểm tra mã thông báo ràng buộc kênh LDAP (3074 & 3075). Chúng được tắt theo mặc định vào Windows Server 2019.	Windows Server 2019
Ngày 14 tháng 11 năm 2023	Các sự kiện kiểm tra mã thông báo ràng buộc kênh LDAP có sẵn Windows Server 2022 mà không yêu cầu bước bật thủ công.	Windows Server 2022
Ngày 9 tháng 1 năm 2024	Các sự kiện kiểm tra mã thông báo ràng buộc kênh LDAP có sẵn Windows Server 2019 mà không yêu cầu bước bật thủ công.	Windows Server 2019

Các câu hỏi thường gặp

Để biết câu trả lời cho các câu hỏi thường gặp về ràng buộc kênh LDAP và ký kết LDAP trên bộ kiểm soát miền Active Directory, hãy xem: