Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Einführung

LDAP-Kanalbindung und LDAP-Signatur bieten Möglichkeiten, die Sicherheit für die Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. Unter Active Directory-Domänencontrollern ist eine Reihe unsicherer Standardkonfigurationen für LDAP-Kanalbindung und LDAP-Signatur vorhanden, die LDAP-Clients die Kommunikation mit ihnen ermöglichen, ohne LDAP-Kanalbindung und LDAP-Signatur zu erzwingen. Dadurch können Active Directory-Domänencontroller mit einem Sicherheitsrisiko für Berechtigungen geöffnet werden.

Diese Sicherheitslücke könnte es einem Angreifer in der Mitte ermöglichen, eine Authentifizierungsanforderung erfolgreich an einen Microsoft-Domänenserver weiterzu weiterleiten, der nicht so konfiguriert ist, dass Kanalbindung, Signatur oder Bindungen für eingehende Verbindungen erforderlich sind.

Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Änderungen vorzunehmen.

Am 10. März 2020 adressieren wir dieses Sicherheitsrisiko, indem wir Administratoren die folgenden Optionen zum Harden der Konfigurationen für LDAP-Kanalbindung auf Active Directory-Domänencontrollern bereitstellen:

  • Domänencontroller: Anforderungen an die LDAP-Serverkanalbindung "Gruppenrichtlinie" aus.

  • Channel Binding Tokens (CBT) signieren die Ereignisse 3039, 3040 und 3041 mit dem Ereignis sender Microsoft-Windows-Active Directory_DomainService im Verzeichnisdienst-Ereignisprotokoll.

Wichtig: Durch die Updates vom 10. März 2020 und in vorhersehbarer Zukunft werden sich die Standardrichtlinien für LDAP-Signierung oder LDAP-Kanalbindung oder deren Registrierungsentsprechung für neue oder vorhandene Active Directory-Domänencontroller nicht ändern.

Der Domänencontroller für LDAP-Signierung: Die Richtlinie für LDAP-Serversignaturanforderungen ist bereits in allen unterstützten Versionen von Windows.

Warum diese Änderung erforderlich ist

Die Sicherheit von Active Directory-Domänencontrollern kann erheblich verbessert werden, indem der Server SO konfiguriert wird, dass SASL-LDAP-Bind (Simple Authentication and Security Layer) abgelehnt werden, die keine Signatur anfordern (Integritätsüberprüfung) oder LDAP-einfache Binds ablehnen, die für eine Klartextverbindung (nicht SSL/TLS-verschlüsselt) ausgeführt werden. SASLs können Protokolle wie "Negotiate", "Kerberos", "NTLM" und "Digest" enthalten.

Nicht signierter Netzwerkdatenverkehr ist anfällig für Replay-Angriffe, bei denen ein Angreifer den Authentifizierungsversuch abfängt und ein Ticket abfängt. Die Angreifer können das Ticket wiederverwenden, um die Identität des berechtigten Benutzers zu imitieren. Darüber hinaus ist nicht signierter Netzwerkdatenverkehr anfällig für Man-in-the-Middle (MiTM)-Angriffe, bei denen ein Angreifer Pakete zwischen dem Client und dem Server erfasst, die Pakete ändert und diese dann an den Server weiterleiten. Wenn dies auf einem Active Directory-Domänencontroller auftritt, kann ein Angreifer einen Server dazu führen, Entscheidungen zu treffen, die auf gefälschten Anforderungen des LDAP-Clients basieren. LDAPS verwendet einen eigenen Netzwerkport, um Clients und Server zu verbinden. Der Standardport für LDAP ist Port 389, aber LDAPS verwendet Port 636 und richtet SSL/TLS beim Herstellen einer Verbindung mit einem Client ein.

Kanalbindungstoken helfen dabei, die LDAP-Authentifizierung über SSL/TLS vor Man-in-the-Middle-Angriffen sicherer zu machen.

Updates für den 10. März 2020

Wichtig Die Updates vom 10. März 2020 ändern keine Standardrichtlinien für LDAP-Signatur- oder LDAP-Kanalbindungen oder ihre Registrierungsentsprechung für neue oder vorhandene Active Directory-Domänencontroller.

Windows, die am 10. März 2020 veröffentlicht werden, fügen Sie die folgenden Features hinzu:

  • Neue Ereignisse werden in der Ereignisanzeige im Zusammenhang mit LDAP-Kanalbindung protokolliert. Einzelheiten zu diesen Ereignissen finden Sie unter Tabelle 1 und Tabelle 2 .

  • Ein neuer Domänencontroller: Anforderungen an das LDAP-Serverkanalbindungstoken Gruppenrichtlinien zum Konfigurieren der LDAP-Kanalbindung auf unterstützten Geräten.

Die Zuordnung zwischen LDAP-Signaturrichtlinieneinstellungen und Registrierungseinstellungen ist wie folgt enthalten:

  • Richtlinieneinstellung: "Domänencontroller: Anforderungen für DIE LDAP-Serversignatur"

  • Registrierungseinstellung: LDAPServerIntegrity

  • Datentyp: DWORD

  • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Gruppenrichtlinieneinstellung

Registrierungseinstellung

Keine

1

Signieren erforderlich

2

Die Zuordnung zwischen LDAP-Kanalbindungsrichtlinieneinstellungen und Registrierungseinstellungen ist wie folgt enthalten:

  • Richtlinieneinstellung: "Domänencontroller: Anforderungen für LDAP-Serverkanalbindung"

  • Registrierungseinstellung: LdapEnforceChannelBinding

  • Datentyp: DWORD

  • Registrierungspfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Gruppenrichtlinieneinstellung

Registrierungseinstellung

Nie

0

Wenn unterstützt

1

Immer

2


Tabelle 1: LDAP-Signaturereignisse

Beschreibung

Trigger

2886

Die Sicherheit dieser Domänencontroller kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass die Überprüfung der LDAP-Signatur erzwungen wird.

Wird beim Start oder Start des Diensts alle 24 Stunden ausgelöst, wenn die Gruppenrichtlinie auf Keine festgelegt ist. Mindestprotokollierwert: 0 oder höher

2887

Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie konfigurieren, dass sie einfache LDAP-Bindanforderungen und andere Bindanforderungen ablehnen, die keine LDAP-Signatur enthalten.

Wird alle 24 Stunden ausgelöst, wenn die Gruppenrichtlinie auf Keine festgelegt ist und mindestens eine ungeschützte Bindung abgeschlossen wurde. Mindestprotokollierwert: 0 oder höher

2888

Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie konfigurieren, dass sie einfache LDAP-Bindanforderungen und andere Bindanforderungen ablehnen, die keine LDAP-Signatur enthalten.

Wird alle 24 Stunden ausgelöst, wenn die Gruppenrichtlinie auf Signieren erforderlich festgelegt ist und mindestens eine ungeschützte Bindung abgelehnt wurde. Mindestprotokollierwert: 0 oder höher

2889

Die Sicherheit dieser Domänencontroller kann verbessert werden, indem sie konfigurieren, dass sie einfache LDAP-Bindanforderungen und andere Bindanforderungen ablehnen, die keine LDAP-Signatur enthalten.

Wird ausgelöst, wenn ein Client das Signieren für Binds an Sitzungen unter Port 389 nicht verwendet. Mindestprotokollierwert: 2 oder höher

Tabelle 2: CBT-Ereignisse

Ereignis

Beschreibung

Trigger

3039

Der folgende Client hat eine LDAP-Bindung über SSL/TLS ausgeführt und ist bei der Überprüfung des LDAP-Kanalbindungstokens fehlgeschlagen.

Wird unter einer der folgenden Bedingungen ausgelöst:

  • Wenn ein Client versucht, eine Bindung mit einem nicht ordnungsgemäß formatierten Kanalbindungstoken (Channel Binding Token, CBT) zu erstellen, wenn die CBT-Gruppenrichtlinie auf Wenn unterstützt oder Immer festgelegt ist.

  • Wenn ein Kanalbindungsclient kein CBT sendet, wenn die CBT-Gruppenrichtlinie auf Wenn unterstützt festgelegt ist. Aclient  ist kanalbindungsfähig, wenn das FEATURE UND im Betriebssystem installiert oder verfügbar ist und nicht über die Registrierungseinstellung SuppressExtendedProtection deaktiviert wird.

  • Wenn ein Client kein CBT sendet, wenn die CBT-Gruppenrichtlinie auf Always festgelegt ist.

Mindestprotokollierwert: 2

3040

Während des vorherigen Zeitraums von 24 Stunden wurde # der nicht geschützten LDAPs durchgeführt.

Wird alle 24 Stunden ausgelöst, wenn die CBT-Gruppenrichtlinie auf Nie festgelegt ist und mindestens eine ungeschützte Bindung abgeschlossen wurde. Mindestprotokollierwert: 0

3041

Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass die Überprüfung von LDAP-Kanalbindungstokens erzwungen wird.

Wird beim Start oder Start des Diensts alle 24 Stunden ausgelöst, wenn die CBT-Gruppenrichtlinie auf Nie festgelegt ist. Mindestprotokollierwert: 0


Verwenden Sie zum Festlegen des Protokollierstands in der Registrierung einen Befehl, der wie folgt ähnelt:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Weitere Informationen zum Konfigurieren der Active Directory-Diagnoseereignisprotokollierung finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

314980 Konfigurieren der Active Directory- und LDS-Diagnoseereignisprotokollierung

Empfohlene Aktionen

Es wird dringend empfohlen, die folgenden Schritte so früh wie möglich zu unternehmen:

  1. Installieren Sie die Updates vom 10. März 2020 Windows auf Domänencontroller-Rollencomputern, wenn die Updates veröffentlicht werden.

  2. Aktivieren Sie die LDAP-Ereignis-Diagnoseprotokollierung auf 2 oder höher.

  3. Überwachen des Ereignisprotokolls für Verzeichnisdienste auf allen Gleichungs-Rollencomputern gefiltert nach:

    • LDAP Signing failure event 2889 listed in Table 1.

    • LDAP Channel Binding failure event 3039 in Table 2.

      Hinweis Ereignis 3039 kann nur generiert werden, wenn Kanalbindung auf Wenn unterstützt oder Immer festgelegt ist.

  4. Identifizieren Sie die Make, das Modell und den Gerätetyp für jede IP-Adresse, die von Ereignis 2889 als nicht signierte LDAP-Aufrufe oder von 3039-Ereignissen ohne LDAP-Kanalbindung zitiert wird.

Gruppieren Sie Gerätetypen in 1 von 3 Kategorien:

  1. Gerät oder Router

    • Wenden Sie sich an den Geräteanbieter.

  2. Gerät, das nicht unter einem Windows ausgeführt wird

    • Stellen Sie sicher, dass sowohl LDAP-Kanalbindung als auch LDAP-Signatur vom Betriebssystem und von Der Anwendung unterstützt werden, indem Sie mit dem Betriebssystem und dem Anwendungsanbieter arbeiten.

  3. Gerät, das auf einem Windows ausgeführt wird

    • LDAP-Signatur ist für alle Anwendungen in allen unterstützten Versionen von Windows. Stellen Sie sicher, dass die Anwendung oder der Dienst LDAP-Signatur verwendet.

    • FÜR LDAP-Kanalbindungen muss CVE-2017-8563 auf allen Windows installiert sein. Stellen Sie sicher, dass die Anwendung oder der Dienst LDAP-Kanalbindung verwendet.

Verwenden Sie lokale, Remote-, generische oder gerätespezifische Ablaufverfolgungstools, einschließlich Netzwerkaufzeichnungen, Prozess-Manager oder Debugablaufverfolgungen, um festzustellen, ob das Kernbetriebssystem, ein Dienst oder eine Anwendung nicht signierte LDAP-Binds ausgeführt hat oder nicht CBT verwendet.

Verwenden Windows Task-Manager, oder ordnen Sie die Prozess-ID den Prozess-, Dienst- und Anwendungsnamen zu.

Zeitplan für Sicherheitsupdates

Die Updates vom 10. März 2020 bieten Administratoren Die Konfigurationen für LDAP-Kanalbindung und LDAP-Signatur bei Active Directory-Domänencontrollern werden von Administratoren bestimmt. Kunden wird dringend empfohlen, die in diesem Artikel empfohlenen Aktionen so früh wie möglich zu ergreifen.

Zieldatum

Ereignis

Gilt für

10. März 2020

Erforderlich: Sicherheitsupdate ist unter Windows für alle unterstützten Windows verfügbar.

Hinweis Für Windows, für die der Standardsupport nicht verfügbar ist, steht dieses Sicherheitsupdate nur über die entsprechenden erweiterten Supportprogramme zur Verfügung.

Unterstützung für LDAP-Kanalbindung wurde von CVE-2017-8563 auf Windows Server 2008 und höher hinzugefügt. Kanalbindungstokens werden in Windows 10, Version 1709 und höher, unterstützt.

Windows XP unterstützt keine LDAP-Kanalbindung und führt zu einem Fehler, wenn die LDAP-Kanalbindung mit dem Wert Always konfiguriert wird, aber mit DCs interoperiert wird, die so konfiguriert sind, dass eine lockerere LDAP-Kanalbindungseinstellung von Wenn unterstützt verwendet wird.

Windows 10, Version 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Extended Security Update, ESU)

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zur LDAP-Kanalbindung und LDAP-Signatur bei Active Directory-Domänencontrollern finden Sie unter Häufig gestellte Fragen zu Änderungen am Lightweight Directory Access-Protokoll.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×