2020 LDAP-kanalbindings- og LDAP-signeringskrav til Windows

Oversigt

LDAP-kanalbinding og LDAP-signering giver mulighed for at øge sikkerheden ved netværkskommunikation mellem en Active Directory-domæneservices (AD DS) eller en Active Directory Lightweight Directory Services (AD LDS) og dens klienter. Der er en sårbarhed i standardkonfigurationen for LDAP-kanalbindingen (Lightweight Directory Access Protocol) og LDAP-signeringen og kan udsætte Active Directory-domænecontrollere for udvidelse af rettigheder i forbindelse med sårbarheder. Microsoft Security Advisory ADV190023 løser problemet ved at anbefale administratorerne at aktivere LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere. Denne hærdning skal udføres manuelt, indtil udgivelsen af sikkerhedsopdateringen, der som standard aktiverer disse indstillinger. 

Microsoft regner med at udgive en sikkerhedsopdatering på Windows Update for at aktivere ændringer af i hærdningen af LDAP-kanalbinding og LDPA-signering og forventer, at denne opdatering vil være tilgængelig i midten af marts 2020.

Hvorfor denne ændring er nødvendig

Microsoft anbefaler administratorer at udføre de hærdningsændringer, som er beskrevet i ADV190023 , fordi der er en risiko for, at hvis man bruger standardindstillinger i udvidelsen af de sårbarrettigheder, som findes i Microsoft Windows, kan en man-in-the-middle-hacker videresende en godkendelsesanmodning til en Windows LDAP-server, f.eks. et system, der kører AD DS eller AD LDS, som ikke er konfigureret til at kræve signering eller forsegling på indgående forbindelser.  En katalogservers sikkerhed kan forbedres væsentligt ved at konfigurere serveren til at afvise SASL (Simple Authentication and Security Layer) LDAP-bindinger, der ikke anmoder om signering (integritetsbekræftelse) eller til at afvise simple LDAP-bindinger, der udføres på en klartekst-forbindelse (ikke-SSL/TLS-krypteret). SASL'er kan indeholde protokoller som f.eks. Negotiate, Kerberos, NTLM og Digest-protokollerne. Ikke-signeret netværkstrafik er modtagelig for genafspilningsangreb, hvor en uautoriseret afbrydelse opfanger godkendelsesforsøget og udstedelsen af en billet. Den, der indtrænger, kan genbruge billetten til at repræsentere den legitime bruger. Desuden er ikke-signeret netværkstrafik modtagelig for angreb fra uvedkommende, hvor en uautoriseret adgang registrerer pakker mellem klienten og serveren, ændrer pakkerne og videresender dem til serveren. Hvis dette sker på en LDAP-server, kan en hacker få en server til at træffe beslutninger, der er baseret på forfalskede anmodninger fra LDAP-klienten.

Anbefalede handlinger

Vi anbefaler på det kraftigste, at administratorer aktiverer LDAP-kanalbinding og LDAP-signering mellem nu og midten af marts 2020 for at finde og rette eventuelle kompatibilitetsproblemer i operativsystemer, programmer eller mellemliggende enheder deres miljø. Hvis der findes et kompatibilitetsproblem, skal administratorer kontakte producenten af det pågældende operativsystem, program eller den pågældende enhed for at få support.

Vigtigt! Det er mest sandsynligt, at den version af operativsystemet, programmet og den mellemliggende enhed, som udfører en man-in-the-middle-inspektion af LDAP-trafik, bliver berørt af denne hærdningsændring.

Tidsplan for sikkerhedsopdatering

Microsoft målretter følgende tidsplan for aktivering af understøttelse af LDAP-kanalbinding og LDAP-signering. Bemærk, at nedenstående tidslinje kan ændres. Vi opdaterer denne side, efterhånden som processen starter, og efter behov.

Destinations dato

Hændelse

Gælder for

13. august 2019

Benyt en af følgende fremgangsmåde: Microsoft Security Advisory ADV190023 er publiceret for at introducere LDAP-kanalbinding og understøttelse af LDAP-signering. Administratorer skal teste disse indstillinger i deres miljø efter en manuel justering af dem på deres servere.

Windows Server 2008 SP2,
Windows 7 SP1,
Windows Server 2008 R2 SP1, 
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

Marts 2020

Påkrævet: Sikkerhedsopdatering er tilgængelig i Windows Update for alle understøttede Windows-platforme, som vil aktivere LDAP-kanalbinding og LDAP-signering på Active Directory-servere som standard.

Bemærk! På Windows-platforme, der ikke er omfattet af standardsupport, er denne sikkerhedsopdatering kun tilgængelig via de gældende programmer til udvidet support.

Windows Server 2008 SP2 (Extended Security Update (ESU)) ,
Windows 7 SP1 (ESU),
Windows Server 2008 R2 SP1 (ESU),
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

Ofte stillede spørgsmål

På baggrund af feedback Microsoft har modtaget, foretrækker kunder, at vi udgiver opdateringen efter ferien i 2019. Mange administratorer begrænser konfigurationsændringer i løbet af juleferien. Administratorer skal også have tid til at teste disse konfigurationsændringer og justere deres miljø efter behov, så de sætter pris på det. Denne udgivelsestidsplan er beregnet til at give en gennemløbstid til denne ændring.

 

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×