2020, 2023 a 2024 Požadavky na vazby kanálů LDAP a podepisování LDAP pro Windows (KB4520412)

Úvod

Vazby kanálů LDAP a podepisování LDAP poskytují způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory. Na řadičích domény služby Active Directory existuje sada nebezpečných výchozích konfigurací pro vazbu kanálů LDAP a podepisování LDAP, které umožňují klientům LDAP komunikovat s nimi bez vynucení vazby kanálů LDAP a podepisování LDAP. Řadiče domény služby Active Directory tak můžou být ohroženy zvýšením oprávnění.

Tato chyba zabezpečení by mohla umožnit útočníkovi typu man-in-the-middle úspěšně předat žádost o ověření na server domény Microsoftu, který není nakonfigurovaný tak, aby vyžadoval vazbu kanálu, podepisování nebo zapečetění příchozích připojení.

Microsoft doporučuje správcům provést změny posílení zabezpečení popsané v ADV190023.

10. března 2020 řešíme tuto chybu zabezpečení tím, že správcům poskytneme následující možnosti pro posílení konfigurace vazeb kanálů LDAP na řadičích domény služby Active Directory:

Řadič domény: Požadavky na token vazby kanálu serveru LDAP ”.
Tokeny CBT (Channel Binding Tokens) podepisování událostí 3039, 3040 a 3041 s odesílatelem události Microsoft-Windows-Active Directory_DomainService v protokolu událostí adresářové služby.

Důležité: Aktualizace a aktualizace z 10. března 2020 v dohledné budoucnosti nezmění výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo stávajících řadičích domény služby Active Directory.

Podpis LDAP Řadič domény: Zásady požadavků na podepisování serveru LDAP již existují ve všech podporovaných verzích Windows. Počínaje systémem Windows Server 2022, 23H2 Edition budou všechny nové verze systému Windows obsahovat všechny změny v tomto článku.

Proč je tato změna nutná

Zabezpečení řadičů domény služby Active Directory je možné výrazně zlepšit konfigurací serveru tak, aby odmítal vazby PROTOKOLU LDAP sasl (Simple Authentication and Security Layer), které nevyžadují podepisování (ověření integrity), nebo odmítá jednoduché vazby LDAP, které se provádějí u nešifrovaného připojení (nešifrovaného protokolem SSL/TLS). SASL může zahrnovat protokoly, jako jsou protokoly Negotiate, Kerberos, NTLM a Digest.

Nepodepsané přenosy v síti jsou náchylné k útokům přehráním (Replay Attacks), při nichž útočník zachytí pokus o ověření a vydání lístku. Narušitel může lístek znovu použít a vydávat se za legitimního uživatele. Nepodepsaný síťový provoz je navíc náchylný k útokům MiTM (man-in-the-middle), při kterých vetřelec zachytává pakety mezi klientem a serverem, mění pakety a předává je na server. Pokud k tomu dojde u kontroleru Doména služby Active Directory, útočník může způsobit, že server bude rozhodovat na základě zfašlovaných požadavků z klienta LDAP. LDAPS používá vlastní jedinečný síťový port pro připojení klientů a serverů. Výchozím portem protokolu LDAP je port 389, ale LDAPS používá port 636 a při připojení s klientem naváže protokol SSL/TLS.

Tokeny vazeb kanálů pomáhají zajistit lepší zabezpečení ověřování PROTOKOLU LDAP přes PROTOKOL SSL/TLS proti útokům man-in-the-middle.

Aktualizace z 10. března 2020

Důležité Aktualizace z 10. března 2020 nemění výchozí zásady podepisování LDAP ani vazby kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.

Aktualizace Windows, které mají být vydány 10. března 2020, přidávají následující funkce:

Nové události se protokolují v Prohlížeč událostí související s vazbou kanálu LDAP. Podrobnosti o těchto událostech najdete v tabulce 1 a tabulce 2 .
Nový řadič domény: Požadavky na token vazby kanálu serveru LDAP Zásady skupiny ke konfiguraci vazby kanálu LDAP na podporovaných zařízeních.

Mapování mezi nastavením zásad podepisování LDAP a nastavením registru je zahrnuto takto:

Nastavení zásad: "Řadič domény: Požadavky na podepisování serveru LDAP"
Nastavení registru: LDAPServerIntegrity
Datatype: DWORD
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavení Zásady skupiny	Nastavení registru
Žádná	1
Vyžadovat podepsání	2

Mapování mezi nastavením zásad vazby kanálu LDAP a nastavením registru je zahrnuto takto:

Nastavení zásad: "Řadič domény: Požadavky na token vazby kanálu serveru LDAP"
Nastavení registru: LdapEnforceChannelBinding
Datatype: DWORD
Cesta registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavení Zásady skupiny	Nastavení registru
Nikdy	0
Pokud je podporováno	1
Vždy	2

Tabulka 1: Události podepisování LDAP

	Popis	Aktivační událost
2886	Zabezpečení těchto řadičů domény lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování podepisování LDAP.	Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny nastavená na Hodnotu Žádný. Minimální úroveň protokolování: 0 nebo vyšší
2887	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Žádné a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0 nebo vyšší
2888	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se každých 24 hodin, když je Zásady skupiny nastavená na Vyžadovat podepisování a nejméně jedna nechráněná vazba byla odmítnuta. Minimální úroveň protokolování: 0 nebo vyšší
2889	Zabezpečení těchto řadičů domény lze zlepšit jejich konfigurací tak, aby odmítaly jednoduché požadavky vazby LDAP a další žádosti o vazbu, které neobsahují podepisování ldap.	Aktivuje se, když klient nepoužívá podepisování pro vazby relací na portu 389. Minimální úroveň protokolování: 2 nebo vyšší

Tabulka 2: Události CBT

Událost	Popis	Aktivační událost
3039	Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a nepovedlo se ověřit token vazby kanálu LDAP.	Aktivuje se za některé z následujících okolností: Když se klient pokusí vytvořit vazbu s nesprávně formátovaným tokenem cbt (Channel Binding Token), pokud je Zásady skupiny CBT nastavena na při podporovaném nebo vždy. Když klient, který je schopen vazby kanálů, neodesílá CBT, pokud je Zásady skupiny CBT nastavena na při podporování. Klient je schopen vytvořit vazbu kanálu, pokud je funkce EPA nainstalovaná nebo dostupná v operačním systému a není zakázána prostřednictvím nastavení registru SuppressExtendedProtection. Další informace najdete v tématu KB5021989. Pokud klient neodesílá CBT, pokud je Zásady skupiny CBT nastavená na Vždy. Minimální úroveň protokolování: 2
3040	Během předchozích 24 hodin byl proveden počet nechráněných vazeb LDAP.	Aktivuje se každých 24 hodin, když je Zásady skupiny CBT nastavená na Nikdy a byla dokončena alespoň jedna nechráněná vazba. Minimální úroveň protokolování: 0
3041	Zabezpečení tohoto adresářového serveru lze výrazně zlepšit konfigurací serveru tak, aby vynucovala ověřování tokenů vazeb kanálů LDAP.	Aktivuje se každých 24 hodin při spuštění nebo spuštění služby, pokud je Zásady skupiny CBT nastavená na Nikdy. Minimální úroveň protokolování: 0

Pokud chcete nastavit úroveň protokolování v registru, použijte příkaz podobný následujícímu:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 událostí rozhraní LDAP" /t REG_DWORD /d 2

Další informace o konfiguraci protokolování diagnostických událostí služby Active Directory najdete v tématu Konfigurace protokolování diagnostických událostí služby Active Directory a LDS.

Aktualizace z 8. srpna 2023

Některé klientské počítače nemůžou používat tokeny vazby kanálu LDAP k vytvoření vazby k řadičům domény služby Active Directory. Microsoft vydá aktualizaci zabezpečení 8. srpna 2023. Pro Windows Server 2022 tato aktualizace přidává možnosti pro správce auditovat tyto klienty. Události CBT 3074 a 3075 můžete povolit se zdrojem událostí **Microsoft-Windows-ActiveDirectory_DomainService** v protokolu událostí adresářové služby.

Důležité Aktualizace z 8. srpna 2023 nemění podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.

Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici je také krok povolení, který umožňuje zobrazit nové události auditu. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.

Tabulka 3: Události CBT

Událost

Popis

Aktivační událost

3074

Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a ověření tokenu vazby kanálu by selhalo, pokud byl adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu.

Aktivuje se za některé z následujících okolností:

Když se klient pokusí vytvořit vazbu s nesprávně formátovaným tokenem vazby kanálu (CBT)

Minimální úroveň protokolování: 2

3075

Následující klient provedl vazbu LDAP přes PROTOKOL SSL/TLS a neposkytl informace o vazbě kanálu. Pokud je tento adresářový server nakonfigurovaný tak, aby vynucoval ověření tokenů vazby kanálu, bude tato operace vazby odmítnuta.

Aktivuje se za některé z následujících okolností:

Když klient, který je schopen vazby kanálu, neodešle CBT
Klient je schopen vytvořit vazbu kanálu, pokud je funkce EPA nainstalovaná nebo dostupná v operačním systému a není zakázána prostřednictvím nastavení registru SuppressExtendedProtection. Další informace najdete v tématu KB5021989.

Minimální úroveň protokolování: 2

Poznámka Pokud nastavíte úroveň protokolování alespoň na hodnotu 2, zaprotokoluje se ID události 3074. Správci můžou tuto možnost použít k auditování svého prostředí pro klienty, kteří nefungují s tokeny vazeb kanálů. Události budou obsahovat následující diagnostické informace pro identifikaci klientů:

Client IP address: 192.168.10.5:62709
Identita, ve které se klient pokusil ověřit:
CONTOSO\Administrator
Klient podporuje vazbu kanálu:FALSE
Klient povolený v režimu podpory: TRUE
Příznaky výsledků auditu:0x42

Aktualizace z 10. října 2023

Změny auditování přidané v srpnu 2023 jsou teď dostupné ve Windows Serveru 2019. Pro tento operační systém tato aktualizace přidává správcům možnosti auditování těchto klientů. Můžete povolit události CBT 3074 a 3075. V protokolu událostí adresářové služby použijte zdroj událostí **Microsoft-Windows-ActiveDirectory_DomainService**.

Důležité Aktualizace z 10. října 2023 nemění zásady podepisování LDAP, výchozí zásady vazeb kanálů LDAP ani jejich ekvivalent registru na nových nebo existujících řadičích domény služby Active Directory.

Všechny pokyny v části aktualizace z března 2020 platí i tady. Nové události auditování budou vyžadovat nastavení zásad a registru popsané ve výše uvedených doprovodných materiálech. K dispozici je také krok povolení, který umožňuje zobrazit nové události auditu. Podrobnosti o nové implementaci najdete v části Doporučené akce níže.

Aktualizace z 14. listopadu 2023

Změny auditování přidané v srpnu 2023 jsou teď dostupné v systému Windows Server 2022. Nemusíte instalovat rozhraní MSI ani vytvářet zásady, jak je uvedeno v kroku 3 v části Doporučené akce.

Aktualizace z 9. ledna 2024

Změny auditování přidané v říjnu 2023 jsou teď dostupné ve Windows Serveru 2019. Nemusíte instalovat rozhraní MSI ani vytvářet zásady, jak je uvedeno v kroku 3 v části Doporučené akce.

Doporučené akce

Důrazně doporučujeme zákazníkům, aby při nejbližší příležitosti provedli následující kroky:

Ujistěte se, že jsou na počítačích rolí řadiče domény nainstalované aktualizace systému Windows z 10. března 2020 nebo novější. Pokud chcete povolit události auditu vazby kanálů LDAP, ujistěte se, že jsou na řadičích domény s Windows Serverem 2022 nebo Serverem 2019 nainstalované aktualizace z 8. srpna 2023 nebo novější.
Povolte protokolování diagnostiky událostí LDAP na 2 nebo vyšší.
Povolte aktualizace událostí auditování ze srpna 2023 nebo října 2023 pomocí Zásady skupiny. Pokud jste na Windows Server 2022 nainstalovali aktualizace z listopadu 2023 nebo novější, můžete tento krok přeskočit. Pokud jste na Windows Server 2019 nainstalovali aktualizace z ledna 2024 nebo novější, můžete tento krok také přeskočit.
- Z webu Microsoft Download Center si stáhněte dva identifikátory MSI pro povolení na verzi operačního systému:
- Rozbalte rozhraní MSI a nainstalujte nové soubory ADMX, které obsahují definice zásad. Pokud pro Zásady skupiny používáte Centrální úložiště, zkopírujte soubory ADMX do centrálního úložiště.
- Použijte odpovídající zásady na organizační jednotku řadičů domény nebo na podmnožinu řadičů domény Server 2022 nebo Server 2019.
- Restartujte řadič domény, aby se změny projevily.
Monitorujte protokol událostí adresářových služeb na všech počítačích rolí DC filtrovaných pro:
- Událost selhání podepisování LDAP 2889 v tabulce 1
- Událost selhání vazby kanálu LDAP 3039 v tabulce 2
- Události auditu vazeb kanálu LDAP 3074 a 3075 v tabulce 3
  
  Poznámka Události 3039, 3074 a 3075 se dají vygenerovat jenom v případě, že je vazba kanálu nastavená na při podporovaném nebo vždy.
Určete výrobce, model a typ zařízení pro každou IP adresu citované uživatelem:
- Událost 2889 pro volání protokolu LDAP bez znaménka
- Událost 3039 pro nepoužívání vazby kanálu LDAP
- Událost 3074 nebo 3075 pro nemožnost vazby kanálu LDAP

Typy zařízení

Seskupte typy zařízení do 1 ze 3 kategorií:

Zařízení nebo směrovač –
- Obraťte se na poskytovatele zařízení.
Zařízení, které neběží v operačním systému Windows –
- Ověřte, že operační systém i aplikace podporují vazby kanálů LDAP i podepisování LDAP. Můžete to udělat ve spolupráci s operačním systémem a poskytovatelem aplikace.
Zařízení, které běží v operačním systému Windows –
- Podepisování LDAP je k dispozici pro všechny aplikace ve všech podporovaných verzích Windows. Ověřte, že vaše aplikace nebo služba používá podepisování LDAP.
- Vazba kanálu LDAP vyžaduje, aby všechna zařízení s Windows měla nainstalovanou aktualizaci CVE-2017-8563 . Ověřte, že vaše aplikace nebo služba používá vazbu kanálu LDAP.

Používejte místní, vzdálené, obecné nástroje nebo nástroje pro trasování specifické pro zařízení. Patří mezi ně zachytávání sítě, správce procesů nebo trasování ladění. Určete, jestli základní operační systém, služba nebo aplikace provádí vazby bez znaménka LDAP nebo jestli nepoužívá CBT.

Pomocí Správce úloh systému Windows nebo ekvivalentního objektu namapujte ID procesu na názvy procesů, služeb a aplikací.

Plán aktualizace zabezpečení

Aktualizace z 10. března 2020 přidala ovládací prvky pro správce, které zpřísní konfiguraci vazeb kanálů LDAP a podepisování LDAP na řadičích domény služby Active Directory. Aktualizace z 8. srpna a 10. října 2023 přidávají správcům možnosti auditování klientských počítačů, které nemůžou používat tokeny vazby kanálu LDAP. Důrazně doporučujeme zákazníkům, aby co nejdříve provedli akce doporučené v tomto článku.

Cílové datum	Událost	Platí pro
úterý 10. března 2020	Povinné: Aktualizace zabezpečení dostupná na služba Windows Update pro všechny podporované platformy Windows. Poznámka Pro platformy Windows, které nemají standardní podporu, bude tato aktualizace zabezpečení dostupná pouze prostřednictvím příslušných programů rozšířené podpory. Podpora vazeb kanálů LDAP byla přidána v cve-2017-8563 v systému Windows Server 2008 a novějších verzích. Tokeny vazeb kanálů se podporují v Windows 10 verze 1709 a novějších verzích. Systém Windows XP nepodporuje vazbu kanálu LDAP a selže, pokud je vazba kanálu LDAP nakonfigurována pomocí hodnoty Always, ale spolupracuje s řadiči domény nakonfigurovanými tak, aby používaly uvolněnější nastavení vazby kanálu LDAP v části Když je podporováno.	Windows Server 2022 Windows 10, verze 20H2 Windows 10 verze 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (rozšířená aktualizace zabezpečení (ESU))
úterý 8. srpna 2023	Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve Windows Serveru 2022 jsou ve výchozím nastavení zakázané.	Windows Server 2022
10. října 2023	Přidá události auditování tokenu vazby kanálu LDAP (3074 & 3075). Ve Windows Serveru 2019 jsou ve výchozím nastavení zakázané.	Windows Server 2019
úterý 14. listopadu 2023	Události auditování tokenu vazby kanálu LDAP jsou k dispozici v systému Windows Server 2022 bez instalace msi pro povolení (jak je popsáno v kroku 3 v části Doporučené akce).	Windows Server 2022
9. ledna 2024	Události auditování tokenu vazby kanálu LDAP jsou dostupné ve Windows Serveru 2019 bez instalace msi pro povolení (jak je popsáno v kroku 3 v části Doporučené akce).	Windows Server 2019

Nejčastější dotazy

Odpovědi na nejčastější dotazy týkající se vazeb kanálů LDAP a podepisování LDAP na řadičích domény Služby Active Directory najdete tady: