Oversigt
LDAP-kanalbinding og LDAP-signering giver mulighed for at øge sikkerheden ved netværkskommunikation mellem en Active Directory-domæneservices (AD DS) eller en Active Directory Lightweight Directory Services (AD LDS) og dens klienter. Der er en sårbarhed i standardkonfigurationen for LDAP-kanalbindingen (Lightweight Directory Access Protocol) og LDAP-signeringen og kan udsætte Active Directory-domænecontrollere for udvidelse af rettigheder i forbindelse med sårbarheder. Microsoft Security Advisory ADV190023 løser problemet ved at anbefale administratorerne at aktivere LDAP-kanalbinding og LDAP-signering på Active Directory-domænecontrollere. Denne hærdning skal udføres manuelt, indtil udgivelsen af sikkerhedsopdateringen, der som standard aktiverer disse indstillinger.
Microsoft regner med at udgive en sikkerhedsopdatering på Windows Update for at aktivere ændringer af i hærdningen af LDAP-kanalbinding og LDPA-signering og forventer, at denne opdatering vil være tilgængelig i midten af marts 2020.
Hvorfor denne ændring er nødvendig
Microsoft anbefaler administratorer at udføre de hærdningsændringer, som er beskrevet i ADV190023 , fordi der er en risiko for, at hvis man bruger standardindstillinger i udvidelsen af de sårbarrettigheder, som findes i Microsoft Windows, kan en man-in-the-middle-hacker videresende en godkendelsesanmodning til en Windows LDAP-server, f.eks. et system, der kører AD DS eller AD LDS, som ikke er konfigureret til at kræve signering eller forsegling på indgående forbindelser. En katalogservers sikkerhed kan forbedres væsentligt ved at konfigurere serveren til at afvise SASL (Simple Authentication and Security Layer) LDAP-bindinger, der ikke anmoder om signering (integritetsbekræftelse) eller til at afvise simple LDAP-bindinger, der udføres på en klartekst-forbindelse (ikke-SSL/TLS-krypteret). SASL'er kan indeholde protokoller som f.eks. Negotiate, Kerberos, NTLM og Digest-protokollerne. Ikke-signeret netværkstrafik er modtagelig for genafspilningsangreb, hvor en uautoriseret afbrydelse opfanger godkendelsesforsøget og udstedelsen af en billet. Den, der indtrænger, kan genbruge billetten til at repræsentere den legitime bruger. Desuden er ikke-signeret netværkstrafik modtagelig for angreb fra uvedkommende, hvor en uautoriseret adgang registrerer pakker mellem klienten og serveren, ændrer pakkerne og videresender dem til serveren. Hvis dette sker på en LDAP-server, kan en hacker få en server til at træffe beslutninger, der er baseret på forfalskede anmodninger fra LDAP-klienten.
Anbefalede handlinger
Vi anbefaler på det kraftigste, at administratorer aktiverer LDAP-kanalbinding og LDAP-signering mellem nu og midten af marts 2020 for at finde og rette eventuelle kompatibilitetsproblemer i operativsystemer, programmer eller mellemliggende enheder deres miljø. Hvis der findes et kompatibilitetsproblem, skal administratorer kontakte producenten af det pågældende operativsystem, program eller den pågældende enhed for at få support.
Vigtigt! Det er mest sandsynligt, at den version af operativsystemet, programmet og den mellemliggende enhed, som udfører en man-in-the-middle-inspektion af LDAP-trafik, bliver berørt af denne hærdningsændring.
Tidsplan for sikkerhedsopdatering
Microsoft målretter følgende tidsplan for aktivering af understøttelse af LDAP-kanalbinding og LDAP-signering. Bemærk, at nedenstående tidslinje kan ændres. Vi opdaterer denne side, efterhånden som processen starter, og efter behov.
|
Destinations dato |
Hændelse |
Gælder for |
|
13. august 2019 |
Benyt en af følgende fremgangsmåde: Microsoft Security Advisory ADV190023 er publiceret for at introducere LDAP-kanalbinding og understøttelse af LDAP-signering. Administratorer skal teste disse indstillinger i deres miljø efter en manuel justering af dem på deres servere. |
Windows Server 2008 SP2, |
|
Marts 2020 |
Påkrævet: Sikkerhedsopdatering er tilgængelig i Windows Update for alle understøttede Windows-platforme, som vil aktivere LDAP-kanalbinding og LDAP-signering på Active Directory-servere som standard. Bemærk! På Windows-platforme, der ikke er omfattet af standardsupport, er denne sikkerhedsopdatering kun tilgængelig via de gældende programmer til udvidet support. |
Windows Server 2008 SP2 (Extended Security Update (ESU)) , |
Ofte stillede spørgsmål
Hvorfor er der en forsinkelse mellem udgivelsen af Security Advisory og udgivelsen af sikkerhedsopdateringen til Windows, som angiver LDAP-kanalbinding til en mere sikker standardindstilling?
På baggrund af feedback Microsoft har modtaget, foretrækker kunder, at vi udgiver opdateringen efter ferien i 2019. Mange administratorer begrænser konfigurationsændringer i løbet af juleferien. Administratorer skal også have tid til at teste disse konfigurationsændringer og justere deres miljø efter behov, så de sætter pris på det. Denne udgivelsestidsplan er beregnet til at give en gennemløbstid til denne ændring.
