Applies ToWindows 10, version 1909, all editions Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows Server 2008 Service Pack 2 Windows Server 2022

更新于 01/03/2025

删除了对手动启用步骤的引用。 在 2023 年 11 月 14 日、Windows Server 2022 年和 2024 年 1 月 9 日(2019 Windows Server 年 1 月 9 日)之前,需要此步骤。

简介

LDAP 通道绑定LDAP 签名提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。 Active Directory 域控制器上存在一组不安全的默认配置,用于 LDAP 通道绑定和 LDAP 签名,这些配置允许 LDAP 客户端与其通信,而无需强制执行 LDAP 通道绑定和 LDAP 签名。 这会使 Active Directory 域控制器打开特权提升漏洞。

此漏洞可能允许中间人攻击者成功将身份验证请求转发到尚未配置为要求对传入连接进行通道绑定、签名或密封的Microsoft域服务器。

Microsoft建议管理员进行ADV190023中所述的强化更改。

2020 年 3 月 10 日,我们通过为管理员提供以下选项来强化 Active Directory 域控制器上的 LDAP 通道绑定配置,解决了此漏洞:

  • 域控制器:LDAP 服务器通道绑定令牌要求 组策略。

  • 通道绑定令牌 (CBT) 目录服务事件日志中的事件发送方Microsoft-Windows-Active Directory_DomainService签名事件 3039、3040 和 3041。

重要提示:2020 年 3 月 10 日更新和在可预见的将来,不会更改新的或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其注册表等效项。

LDAP 签名域控制器:LDAP 服务器签名要求策略已存在于所有受支持的 Windows 版本中。 从 Windows Server 2022、23H2 Edition 开始,所有新版本的 Windows 将包含本文中的所有更改。

为何需要此更改

通过将服务器配置为拒绝不请求签名 (完整性验证 () 的 SASL) LDAP 绑定,或者拒绝对明文 (非 SSL/TLS 加密) 连接执行的 LDAP 简单绑定,可以显著提高 Active Directory 域控制器的安全性。 SASL 可能包括 Negotiate、Kerberos、NTLM 和 Digest 等协议。

未签名的网络流量容易受到重放攻击,在这种重放攻击中,入侵者可拦截身份验证尝试和票证的颁发。 入侵者可以重用票证以模拟合法用户。 此外,未签名的网络流量容易受到中间人 (MiTM) 攻击,其中入侵者捕获客户端和服务器之间的数据包,更改数据包,然后将其转发到服务器。 如果这种情况发生在Active Directory 域控制器上,攻击者可能导致服务器根据来自 LDAP 客户端的伪造请求做出决策。 LDAPS 使用自己的不同网络端口来连接客户端和服务器。 LDAP 的默认端口是端口 389,但 LDAPS 使用端口 636 并在与客户端连接时建立 SSL/TLS。

通道绑定令牌有助于使基于 SSL/TLS 的 LDAP 身份验证更安全,免受中间人攻击。

2020 年 3 月 10 日更新

重要提示 2020 年 3 月 10 日更新未更改新或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其等效注册表。

2020 年 3 月 10 日发布的 Windows 更新添加了以下功能:

  • 新事件记录在与 LDAP 通道绑定相关的事件查看器中。 有关这些事件的详细信息,请参阅 表 1表 2

  • 新的域控制器:LDAP 服务器通道绑定令牌要求组策略在受支持的设备上配置 LDAP 通道绑定。

LDAP 签名策略设置和注册表设置之间的映射包括如下:

  • 策略设置:“域控制器:LDAP 服务器签名要求”

  • 注册表设置: LDAPServerIntegrity

  • DataType: DWORD

  • 注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

组策略设置

注册表设置

1

需要签名

2

LDAP 通道绑定策略设置和注册表设置之间的映射包括如下:

  • 策略设置:“域控制器:LDAP 服务器通道绑定令牌要求”

  • 注册表设置: LdapEnforceChannelBinding

  • DataType: DWORD

  • 注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

组策略设置

注册表设置

到期

0

支持时

1

始终

2

表 1:LDAP 签名事件

说明

触发

2886

通过将服务器配置为强制验证 LDAP 签名,可以显著提高这些域控制器的安全性。

如果组策略设置为“”,则每 24 小时在服务启动时或启动时触发一次。 最低日志记录级别:0 或更高

2887

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。

当组策略设置为“无”且至少完成了一个未受保护的绑定时,每 24 小时触发一次。 最低日志记录级别:0 或更高

2888

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。

当组策略设置为“需要签名”并且至少拒绝了一个未受保护的绑定时,每 24 小时触发一次。 最低日志记录级别:0 或更高

2889

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。

当客户端不对端口 389 上的会话上的绑定使用签名时触发。 最低日志记录级别:2 或更高

表 2:CBT 事件

事件

说明

触发

3039

以下客户端通过 SSL/TLS 执行 LDAP 绑定,但 LDAP 通道绑定令牌验证失败。

在以下任一情况下触发:

  • 如果 CBT 组策略设置为“支持时”或“始终”,客户端尝试使用格式不正确的通道绑定令牌进行绑定, (CBT)

  • 如果 CBT 组策略设置为“支持时”,则能够进行通道绑定的客户端不发送 CBT。 如果 EPA 功能已安装或在 OS 中可用,并且未通过注册表设置 SuppressExtendedProtection 禁用,则客户端能够进行通道绑定。 若要了解详细信息,请参阅 KB5021989

  • 如果 CBT 组策略设置为“始终”,则客户端不发送 CBT。

最低日志记录级别:2

3040

在过去 24 小时内,执行了不受保护的 LDAP 绑定数。

当 CBT 组策略设置为“从不”且至少完成了一个未受保护的绑定时,每 24 小时触发一次。 最低日志记录级别: 0

3041

通过将服务器配置为强制验证 LDAP 通道绑定令牌,可以显著提高此目录服务器的安全性。

如果 CBT 组策略设置为“从不”,则每 24 小时在服务启动时或启动时触发一次。 最低日志记录级别: 0

若要在注册表中设置日志记录级别,请使用类似于以下内容的命令:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2

有关如何配置 Active Directory 诊断事件日志记录的详细信息,请参阅 如何配置 Active Directory 和 LDS 诊断事件日志记录

2023 年 8 月 8 日更新

某些客户端计算机无法使用 LDAP 通道绑定令牌绑定到 Active Directory 域控制器 (DC) 。 Microsoft于 2023 年 8 月 8 日发布了安全更新。 对于 Windows Server 2022,此更新添加了供管理员审核这些客户端的选项。 可以使用目录服务事件日志中的事件源 **Microsoft-Windows-ActiveDirectory_DomainService** 启用 CBT 事件 3074 和 3075。

重要提示 2023 年 8 月 8 日更新未更改新的或现有 Active Directory DC 上的 LDAP 签名、LDAP 通道绑定默认策略或其等效注册表。

此处也适用 2020 年 3 月更新部分中的所有指南。 新的审核事件需要上述指南中概述的策略和注册表设置。 还有一个启用步骤,用于查看新的审核事件。 但 2023 年 11 月 14 日更新删除了该启用步骤。 新的实现详细信息位于下面的建议作部分中。

表 3:CBT 事件

事件

说明

触发

3074

以下客户端通过 SSL/TLS 执行 LDAP 绑定,如果目录服务器配置为强制验证通道绑定令牌,则通道绑定令牌验证将失败。

在以下任一情况下触发:

  • 当客户端尝试使用格式不正确的通道绑定令牌进行绑定时, (CBT)

最低日志记录级别: 2

3075

以下客户端通过 SSL/TLS 执行 LDAP 绑定,但未提供通道绑定信息。 当此目录服务器配置为强制验证通道绑定令牌时,将拒绝此绑定作。

在以下任一情况下触发:

  • 当能够进行通道绑定的客户端不发送 CBT 时

  • 如果 EPA 功能 已安装或在 OS 中可用,并且未通过注册表设置 SuppressExtendedProtection 禁用,则客户端能够进行通道绑定。 若要了解详细信息,请参阅 KB5021989

最低日志记录级别: 2

注意 将日志记录级别设置为至少 2 时,会记录事件 ID 3074。 管理员可以使用它来审核其不使用通道绑定令牌的客户端的环境。 这些事件将包含以下诊断信息,用于标识客户端:

Client IP address: 192.168.10.5:62709 客户端尝试以以下方式进行身份验证的标识: CONTOSO\Administrator 客户端支持通道绑定:FALSE 支持模式时允许的客户端:TRUE 审核结果标志:0x42

2023 年 10 月 10 日更新

2023 年 8 月添加的审核更改现已在 2019 Windows Server提供。 对于该 OS,更新添加了供管理员审核这些客户端的选项。 可以启用 CBT 事件 3074 和 3075。 在目录服务事件日志中使用事件源 **Microsoft-Windows-ActiveDirectory_DomainService**。

重要提示 2023 年 10 月 10 日更新未更改新的或现有 Active Directory DC 上的 LDAP 签名、LDAP 通道绑定默认策略或其注册表等效项。

此处也适用 2020 年 3 月更新部分中的所有指南。 新的审核事件需要上述指南中概述的策略和注册表设置。 还有一个启用步骤,用于查看新的审核事件。 但 2024 年 1 月 9 日更新删除了该启用步骤。 新的实现详细信息位于下面的建议作部分中。

2023 年 11 月 14 日更新

2023 年 8 月添加的审核更改现已在 2022 Windows Server可用,无需手动启用步骤。 按照建议的作中的步骤作。

2024 年 1 月 9 日更新

2023 年 10 月添加的审核更改现已在 2019 Windows Server可用,无需手动启用步骤。 按照建议的作中的步骤作。

建议的操作

我们强烈建议客户尽早采取以下步骤:

  1. 确保在域控制器 (DC) 角色计算机上安装 2020 年 3 月 10 日或更高版本的 Windows 更新。 如果要启用 LDAP 通道绑定审核事件,请确保在 Windows Server 2022 或 Server 2019 DC 上安装 2023 年 11 月 14 日或更高版本的更新。

  2. 启用 LDAP 事件诊断日志记录到 2 或更高。

  3. 在筛选的所有 DC 角色计算机上监视目录服务事件日志:

    • 表 1 中的 LDAP 签名失败事件 2889。

    • 表 2 中的 LDAP 通道绑定失败事件 3039。

    • 3 中的 LDAP 通道绑定审核事件 3074 和 3075。

      注意 只有在通道绑定设置为“ 支持时 ”或“ 始终”时,才能生成事件 3039、3074 和 3075。

  4. 为引用的每个 IP 地址确定设备的制造、型号和类型:

    • 用于进行未签名 LDAP 调用的事件 2889

    • 未使用 LDAP 通道绑定的事件 3039

    • 无法进行 LDAP 通道绑定的事件 3074 或 3075

设备类型

将设备类型分组为 3 个类别中的 1 个:

  1. 设备或路由器 -

    • 请联系设备提供商。

  2. 不在 Windows作系统上运行的设备 -

    • 验证作系统和应用程序是否支持 LDAP 通道绑定和 LDAP 签名。 为此,请使用作系统和应用程序提供程序。

  3. 在 Windows作系统上运行的设备 -

    • LDAP 签名可供所有受支持的 Windows 版本上的所有应用程序使用。 验证应用程序或服务是否正在使用 LDAP 签名。

    • LDAP 通道绑定要求所有 Windows 设备都安装了 CVE-2017-8563 。 验证应用程序或服务是否正在使用 LDAP 通道绑定。

使用本地、远程、通用或特定于设备的跟踪工具。 其中包括网络捕获、进程管理器或调试跟踪。 确定核心作系统、服务或应用程序是执行未签名的 LDAP 绑定还是不使用 CBT。

使用 Windows 任务管理器或等效项将进程 ID 映射到进程、服务和应用程序名称。

安全更新计划

2020 年 3 月 10 日更新为管理员添加了控制,以强化 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名配置。 2023 年 8 月 8 日和 10 月 10 日更新添加了管理员用于审核无法使用 LDAP 通道绑定令牌的客户端计算机的选项。 我们强烈建议客户尽早采取本文中建议的作。

目标日期

事件

适用范围

2020 年 3 月 10 日

必需:安全更新可用于所有受支持的 Windows 平台的 Windows 更新。

注意 对于不受标准支持的 Windows 平台,此安全更新只能通过适用的扩展支持计划提供。

WINDOWS SERVER 2008 及更高版本上的 CVE-2017-8563 添加了 LDAP 通道绑定支持。 Windows 10版本 1709 及更高版本中支持通道绑定令牌。

Windows XP 不支持 LDAP 通道绑定,在使用 Always 值配置 LDAP 通道绑定时会失败,但会与配置为使用更宽松的 LDAP 通道绑定设置的 DC 互作 。当支持时

Windows Server 2022

Windows 10版本 20H2

Windows 10版本 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (扩展安全更新 (ESU) )

2023 年 8 月 8 日

(3074 & 3075) 添加 LDAP 通道绑定令牌审核事件。 在 Windows Server 2022 上默认禁用它们。

Windows Server 2022

2023 年 10 月 10 日

(3074 & 3075) 添加 LDAP 通道绑定令牌审核事件。 在 2019 Windows Server 默认禁用它们。

Windows Server 2019

2023 年 11 月 14 日

LDAP 通道绑定令牌审核事件在 Windows Server 2022 上可用,无需手动启用步骤。

Windows Server 2022

2024 年 1 月 9 日

LDAP 通道绑定令牌审核事件在 2019 Windows Server可用,无需手动启用步骤。

Windows Server 2019

常见问题解答

有关 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名的常见问题解答,请参阅:

订阅 RSS 源

需要更多帮助?

需要更多选项?

发现社区

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。

咨询 Microsoft 社区

Microsoft 技术社区

Windows 预览体验成员

Microsoft 365 预览体验