2020, 2023 og 2024 LDAP-kanalbinding og LDAP-signeringskrav til Windows (KB4520412)

Introduktion

LDAP-kanalbinding og LDAP-signering giver mulighed for at øge sikkerheden for kommunikation mellem LDAP-klienter og Active Directory-domænecontrollere. Der findes et sæt usikre standardkonfigurationer for LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere, som gør det muligt for LDAP-klienter at kommunikere med dem uden at gennemtvinge LDAP-kanalbinding og LDAP-signering. Dette kan åbne Active Directory-domænecontrollere til en rettighedsudvidelse.

Denne sårbarhed kan gøre det muligt for en mandlig hacker at videresende en godkendelsesanmodning til en Microsoft-domæneserver, som ikke er konfigureret til at kræve kanalbinding, signering eller forsegling på indgående forbindelser.

Microsoft anbefaler, at administratorer foretager de hærdningsændringer, der er beskrevet i ADV190023.

Den 10. marts 2020 løser vi denne sårbarhed ved at give administratorer følgende muligheder for at hærde konfigurationerne for LDAP-kanalbinding på Active Directory-domænecontrollere:

Domænecontroller: Krav til LDAP-serverkanalbindingstoken .
CBT-signeringshændelser (Channel Binding Tokens) 3039, 3040 og 3041 med hændelsessenderen Microsoft-Windows-Active Directory_DomainService i hændelsesloggen for katalogtjenesten.

Vigtigt! Opdateringerne og opdateringerne fra 10. marts 2020 i en overskuelig fremtid ændrer ikke standardpolitikkerne for LDAP-signering eller LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-domænecontrollere.

LDAP-signeringsdomænecontrolleren: Politikken for krav til LDAP-serversignering findes allerede i alle understøttede versioner af Windows. Fra og med Windows Server 2022, 23H2 Edition indeholder alle nye versioner af Windows alle ændringerne i denne artikel.

Hvorfor denne ændring er nødvendig

Sikkerheden for Active Directory-domænecontrollere kan forbedres væsentligt ved at konfigurere serveren til at afvise SASL-LDAP-bindinger (Simple Authentication and Security Layer), der ikke anmoder om signering (integritetsbekræftelse), eller for at afvise simple LDAP-bindinger, der udføres på en klar tekstforbindelse (ikke-SSL/TLS-krypteret). SASL'er kan indeholde protokoller som f.eks. Negotiate, Kerberos, NTLM og Digest-protokollerne.

Ikke-signeret netværkstrafik er modtagelig for genafspilningsangreb, hvor en uautoriseret afbrydelse opfanger godkendelsesforsøget og udstedelsen af en billet. Den, der indtrænger, kan genbruge billetten til at repræsentere den legitime bruger. Desuden er usigneret netværkstrafik modtagelig for MiTM-angreb (man-in-the-middle), hvor en ubuden gæst registrerer pakker mellem klienten og serveren, ændrer pakkerne og derefter videresender dem til serveren. Hvis dette sker på en Active Directory-domænecontroller, kan en hacker få en server til at træffe beslutninger, der er baseret på forfalskede anmodninger fra LDAP-klienten. LDAPS bruger sin egen særskilte netværksport til at oprette forbindelse mellem klienter og servere. Standardporten for LDAP er port 389, men LDAPS bruger port 636 og etablerer SSL/TLS, når der oprettes forbindelse til en klient.

Kanalbindingstokens hjælper med at gøre LDAP-godkendelse via SSL/TLS mere sikker mod man-in-the-middle-angreb.

Opdateringer for 10. marts 2020

Vigtigt! Opdateringerne fra d. 10. marts 2020 ændrer ikke standardpolitikker for LDAP-signering eller LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-domænecontrollere.

Windows-opdateringer, der udgives d. 10. marts 2020, tilføjer følgende funktioner:

Nye hændelser logføres i Logbog, der er relateret til LDAP-kanalbinding. Se tabel 1 og tabel 2 for at få mere at vide om disse begivenheder.
En ny domænecontroller: Krav til LDAP-serverkanalbindingstoken Gruppepolitik til at konfigurere LDAP-kanalbinding på understøttede enheder.

Tilknytningen mellem INDSTILLINGERNE for LDAP-signeringspolitik og indstillingerne i registreringsdatabasen er inkluderet på følgende måde:

Politikindstilling: "Domænecontroller: Krav til signering af LDAP-server"
Indstilling i registreringsdatabasen: LDAPServerIntegrity
DataType: DWORD
Sti til registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Gruppepolitik indstilling	Indstilling i registreringsdatabasen
Ingen	1
Kræv signering	2

Tilknytningen mellem LDAP-kanalbindingspolitikindstillinger og indstillinger i registreringsdatabasen er inkluderet på følgende måde:

Politikindstilling: "Domænecontroller: Krav til LDAP-serverkanalbindingstoken"
Indstilling i registreringsdatabasen: LdapEnforceChannelBinding
DataType: DWORD
Sti til registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Gruppepolitik indstilling	Indstilling i registreringsdatabasen
Aldrig	0
Når det understøttes	1
Altid	2

Tabel 1: LDAP-signeringshændelser

	Beskrivelse	Udløse
2886	Sikkerheden for disse domænecontrollere kan forbedres væsentligt ved at konfigurere serveren til at gennemtvinge validering af LDAP-signering.	Udløses hver 24. time ved start eller start af tjenesten, hvis Gruppepolitik er indstillet til Ingen. Minimum logføringsniveau: 0 eller højere
2887	Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering.	Udløst hver 24. time, når Gruppepolitik er indstillet til Ingen, og mindst én ubeskyttet binding blev fuldført. Minimum logføringsniveau: 0 eller højere
2888	Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering.	Udløst hver 24. time, når Gruppepolitik er indstillet til Kræv signering, og mindst én ubeskyttet binding blev afvist. Minimum logføringsniveau: 0 eller højere
2889	Sikkerheden for disse domænecontrollere kan forbedres ved at konfigurere dem til at afvise simple LDAP-bindingsanmodninger og andre bindingsanmodninger, der ikke omfatter LDAP-signering.	Udløses, når en klient ikke bruger signering til bindinger på sessioner på port 389. Minimum logføringsniveau: 2 eller højere

Tabel 2: CBT-hændelser

Hændelse	Beskrivelse	Udløse
3039	Følgende klient udførte en LDAP-binding over SSL/TLS og kunne ikke validere LDAP-kanalbindingstokenet.	Udløst under en af følgende omstændigheder: Når en klient forsøger at binde med et forkert formateret KANALbindingstoken (CBT), hvis CBT-Gruppepolitik er indstillet til Når understøttet eller Altid. Når en klient, der er i stand til kanalbinding, ikke sender en CBT, hvis CBT-Gruppepolitik er indstillet til Når understøttet. En klient er i stand til kanalbinding, hvis EPA-funktionen er installeret eller tilgængelig i operativsystemet og ikke er deaktiveret via registreringsdatabaseindstillingen SuppressExtendedProtection. Du kan få mere at vide under KB5021989. Når en klient ikke sender en CBT, hvis CBT-Gruppepolitik er indstillet til Altid. Mindste logføringsniveau: 2
3040	I løbet af den forrige 24-timers periode blev der udført # af ubeskyttede LDAPs binds.	Udløst hver 24. time, når CBT-Gruppepolitik er indstillet til Aldrig, og mindst én ubeskyttet binding blev fuldført. Mindste logføringsniveau: 0
3041	Sikkerheden for denne katalogserver kan forbedres væsentligt ved at konfigurere serveren til at gennemtvinge validering af LDAP-kanalbindingstokens.	Udløses hver 24. time ved start eller start af tjenesten, hvis CBT-Gruppepolitik er indstillet til Aldrig. Mindste logføringsniveau: 0

Hvis du vil angive logføringsniveauet i registreringsdatabasen, skal du bruge en kommando, der ligner følgende:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Du kan få mere at vide om, hvordan du konfigurerer logføring af Active Directory-diagnosticeringshændelser, under Sådan konfigureres logføring af diagnostiske Active Directory- og LDS-hændelser.

Opdateringer for 8. august 2023

Nogle klientcomputere kan ikke bruge LDAP-kanalbindingstokens til at binde til Active Directory-domænecontrollere (DCs). Microsoft udgiver en sikkerhedsopdatering den 8. august 2023. I Windows Server 2022 tilføjer denne opdatering indstillinger, som administratorer kan bruge til at overvåge disse klienter. Du kan aktivere CBT-hændelser 3074 og 3075 med hændelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hændelsesloggen for katalogtjenesten.

Vigtigt! Opdateringen fra 8. august 2023 ændrer ikke LDAP-signering, standardpolitikker for LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-DCs.

Al vejledning i afsnittet om opdateringer for marts 2020 gælder også her. De nye overvågningshændelser kræver de politik- og registreringsdatabaseindstillinger, der er beskrevet i vejledningen ovenfor. Der er også et aktiveringstrin for at se de nye overvågningshændelser. De nye detaljer om implementeringen findes i afsnittet Anbefalede handlinger nedenfor.

Tabel 3: CBT-hændelser

Hændelse

Beskrivelse

Udløse

3074

Følgende klient udførte en LDAP-binding over SSL/TLS og kunne ikke validere kanalbindingstokenet, hvis katalogserveren var konfigureret til at gennemtvinge validering af kanalbindingstokens.

Udløst under en af følgende omstændigheder:

Når en klient forsøger at binde med et forkert formateret kanalbindingstoken (CBT)

Mindste logføringsniveau: 2

3075

Følgende klient udførte en LDAP-binding over SSL/TLS og gav ikke oplysninger om kanalbinding. Når denne katalogserver er konfigureret til at gennemtvinge validering af kanalbindingstokens, afvises denne bindingshandling.

Udløst under en af følgende omstændigheder:

Når en klient, der er i stand til kanalbinding, ikke sender en CBT
En klient er i stand til kanalbinding, hvis EPA-funktionen er installeret eller tilgængelig i operativsystemet og ikke er deaktiveret via registreringsdatabaseindstillingen SuppressExtendedProtection. Du kan få mere at vide under KB5021989.

Mindste logføringsniveau: 2

Bemærk! Når du angiver logføringsniveauet til mindst 2, logføres hændelses-id 3074. Administratorer kan bruge dette til at overvåge deres miljø for klienter, der ikke fungerer med kanalbindingstokens. Hændelserne indeholder følgende diagnosticeringsoplysninger til at identificere klienterne:

Client IP address: 192.168.10.5:62709
Identitet, som klienten forsøgte at godkende som:
CONTOSO\Administrator
Klient understøtter kanalbinding:FALSK
Klient tilladt i når understøttet tilstand:SAND
Flag for overvågningsresultat:0x42

Opdateringer for 10. oktober 2023

De overvågningsændringer, der er tilføjet i august 2023, er nu tilgængelige på Windows Server 2019. For dette operativsystem tilføjer denne opdatering indstillinger, som administratorer kan bruge til at overvåge disse klienter. Du kan aktivere CBT-hændelser 3074 og 3075. Brug hændelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hændelsesloggen for katalogtjenesten.

Vigtigt! Opdateringen fra 10. oktober 2023 ændrer ikke LDAP-signering, standardpolitikker for LDAP-kanalbinding eller tilsvarende i registreringsdatabasen på nye eller eksisterende Active Directory-DCs.

Al vejledning i afsnittet om opdateringer for marts 2020 gælder også her. De nye overvågningshændelser kræver de politik- og registreringsdatabaseindstillinger, der er beskrevet i vejledningen ovenfor. Der er også et aktiveringstrin for at se de nye overvågningshændelser. De nye detaljer om implementeringen findes i afsnittet Anbefalede handlinger nedenfor.

Opdateringer for 14. november 2023

De overvågningsændringer, der er tilføjet i august 2023, er nu tilgængelige på Windows Server 2022. Du behøver ikke at installere MSI'er eller oprette politikker som nævnt i trin 3 i Anbefalede handlinger.

Opdateringer for 9. januar 2024

De overvågningsændringer, der er tilføjet i oktober 2023, er nu tilgængelige på Windows Server 2019. Du behøver ikke at installere MSI'er eller oprette politikker som nævnt i trin 3 i Anbefalede handlinger.

Anbefalede handlinger

Vi anbefaler på det kraftigste, at kunderne gør følgende ved først givne lejlighed:

Sørg for, at windows-opdateringerne fra d. 10. marts 2020 eller nyere er installeret på domænecontrollerrollecomputere. Hvis du vil aktivere overvågningshændelser for LDAP-kanalbinding, skal du sikre dig, at opdateringerne fra d. 8. august 2023 eller nyere er installeret på Windows Server 2022 eller Server 2019-pc'er.
Aktivér logføring af diagnosticering af LDAP-hændelser til 2 eller nyere.
Aktivér overvågningshændelsesopdateringerne for august 2023 eller oktober 2023 ved hjælp af Gruppepolitik. Du kan springe dette trin over, hvis du har installeret opdateringerne fra november 2023 eller nyere på Windows Server 2022. Hvis du har installeret opdateringerne for januar 2024 eller nyere på Windows Server 2019, kan du også springe dette trin over.
- Download de to aktiverede MSI'er pr. os-version fra Microsoft Download Center:
- Udvid MSI'er for at installere de nye ADMX-filer, der indeholder politikdefinitionerne. Hvis du bruger Central Store til Gruppepolitik, skal du kopiere ADMX-filerne til det centrale lager.
- Anvend de tilsvarende politikker på OU'en for domænecontrollere eller på et undersæt af din Server 2022- eller Server 2019-pc'er.
- Genstart domænecontrolleren, så ændringerne kan træde i kraft.
Overvåg hændelsesloggen for katalogtjenester på alle DC-rollecomputere, der er filtreret for:
- LDAP-signeringsfejlhændelse 2889 i tabel 1.
- LDAP-kanalbindingsfejlhændelse 3039 i tabel 2.
- Overvågningshændelser for LDAP-kanalbinding 3074 og 3075 i tabel 3.
  
  Bemærk! Hændelser 3039, 3074 og 3075 kan kun genereres, når Kanalbinding er indstillet til Når understøttet eller Altid.
Identificer mærke, model og type af enhed for hver IP-adresse, der er citeret af:
- Hændelse 2889 til at foretage usignerede LDAP-opkald
- Hændelse 3039 for ikke at bruge LDAP-kanalbinding
- Hændelse 3074 eller 3075 for ikke at være i stand til LDAP-kanalbinding

Enhedstyper

Gruppér enhedstyper i 1 af 3 kategorier:

Apparat eller router -
- Kontakt enhedsudbyderen.
Enhed, der ikke kører på et Windows-operativsystem –
- Kontrollér, at både LDAP-kanalbinding og LDAP-signering understøttes på operativsystemet og programmet. Gør dette ved at arbejde med operativsystemet og programudbyderen.
Enhed, der kører på et Windows-operativsystem –
- LDAP-signering kan bruges af alle programmer på alle understøttede versioner af Windows. Kontrollér, at dit program eller din tjeneste bruger LDAP-signering.
- LDAP-kanalbinding kræver, at alle Windows-enheder har CVE-2017-8563 installeret. Kontrollér, at dit program eller din tjeneste bruger LDAP-kanalbinding.

Brug lokale, eksterne, generiske eller enhedsspecifikke sporingsværktøjer. Disse omfatter netværksregistreringer, processtyring eller fejlfindingssporinger. Find ud af, om kerneoperativsystemet, en tjeneste eller et program udfører usignerede LDAP-bindinger eller ikke bruger CBT.

Brug Windows Jobliste eller tilsvarende til at knytte proces-id'et til proces-, tjeneste- og programnavne.

Tidsplan for sikkerhedsopdatering

10. marts 2020-opdateringen tilføjede kontrolelementer til administratorer for at hærde konfigurationerne for LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere. 8. og 10. oktober 2023-opdateringerne tilføjer indstillinger for administratorer til at overvåge klientcomputere, der ikke kan bruge LDAP-kanalbindingstokens. Vi anbefaler på det kraftigste, at kunderne foretager de handlinger, der anbefales i denne artikel, så hurtigt som muligt.

Destinations dato	Hændelse	Gælder for
10. marts 2020	Påkrævet: Sikkerhedsopdatering tilgængelig på Windows Update til alle understøttede Windows-platforme. Bemærk! For Windows-platforme, der ikke har standardsupport, vil denne sikkerhedsopdatering kun være tilgængelig via de gældende programmer med forlænget support. Understøttelse af LDAP-kanalbinding blev tilføjet af CVE-2017-8563 på Windows Server 2008 og nyere versioner. Kanalbindingstokens understøttes i Windows 10 version 1709 og nyere versioner. Windows XP understøtter ikke LDAP-kanalbinding og mislykkes, når LDAP-kanalbinding konfigureres ved hjælp af værdien Always, men fungerer sammen med domænecontrollere, der er konfigureret til at bruge en mere afslappet indstilling for LDAP-kanalbinding under Når det understøttes.	Windows Server 2022 Windows 10, version 20H2 Windows 10, version 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Extended Security Update (ESU))
8. august 2023	Tilføjer overvågningshændelser for LDAP-kanalbindingstoken (3074 & 3075). De er som standard deaktiveret på Windows Server 2022.	Windows Server 2022
10. oktober 2023	Tilføjer overvågningshændelser for LDAP-kanalbindingstoken (3074 & 3075). De er som standard deaktiveret på Windows Server 2019.	Windows Server 2019
14. november 2023	Overvågningshændelser for LDAP-kanalbindingstoken er tilgængelige på Windows Server 2022 uden at installere en MSI for aktivering (som beskrevet i trin 3 i Anbefalede handlinger).	Windows Server 2022
9. januar 2024	Overvågningshændelser for LDAP-kanalbindingstoken er tilgængelige på Windows Server 2019 uden at installere en MSI til aktivering (som beskrevet i trin 3 i Anbefalede handlinger).	Windows Server 2019

Ofte stillede spørgsmål

Du kan finde svar på ofte stillede spørgsmål om LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere i: