2020, 2023 και 2024 Απαιτήσεις σύνδεσης καναλιού LDAP και υπογραφής LDAP για Windows (KB4520412)

Εισαγωγή

Η σύνδεση καναλιού LDAP και η υπογραφή LDAP παρέχουν τρόπους για να αυξήσετε την ασφάλεια για τις επικοινωνίες μεταξύ των προγραμμάτων-πελατών LDAP και των ελεγκτών τομέα της υπηρεσίας καταλόγου Active Directory. Ένα σύνολο μη ασφαλών προεπιλεγμένων ρυθμίσεων παραμέτρων για τη σύνδεση καναλιού LDAP και την υπογραφή LDAP υπάρχουν σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory που επιτρέπουν στους υπολογιστές-πελάτες LDAP να επικοινωνούν μαζί τους χωρίς να επιβάλλουν σύνδεση καναλιού LDAP και υπογραφή LDAP. Αυτό μπορεί να ανοίξει τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory σε μια ευπάθεια αναβάθμισης δικαιωμάτων.

Αυτή η ευπάθεια θα μπορούσε να επιτρέψει σε έναν ενδιάμεσο εισβολέα να προωθήσει με επιτυχία μια αίτηση ελέγχου ταυτότητας σε ένα διακομιστή τομέα της Microsoft, ο οποίος δεν έχει ρυθμιστεί ώστε να απαιτεί σύνδεση καναλιού, υπογραφή ή σφράγιση των εισερχόμενων συνδέσεων.

Η Microsoft συνιστά στους διαχειριστές να κάνουν τις αλλαγές σκλήρυνσης που περιγράφονται στο ADV190023.

Στις 10 Μαρτίου 2020 αντιμετωπίζουμε αυτή την ευπάθεια παρέχοντας τις ακόλουθες επιλογές στους διαχειριστές για τη ρύθμιση παραμέτρων για τη σύνδεση καναλιού LDAP σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory:

Ελεγκτής τομέα: Απαιτήσεις διακριτικού σύνδεσης καναλιού διακομιστή LDAP μιας γλώσσας".
Υπογραφή συμβάντων 3039, 3040 και 3041 υπογραφής διακριτικών σύνδεσης καναλιού (CBT) με αποστολέα συμβάντων Microsoft-Windows-Active Directory_DomainService στο αρχείο καταγραφής συμβάντων της υπηρεσίας καταλόγου.

Σημαντικό: Οι ενημερώσεις και οι ενημερώσεις της 10ης Μαρτίου 2020 στο άμεσο μέλλον δεν θα αλλάξουν τις προεπιλεγμένες πολιτικές υπογραφής ή σύνδεσης καναλιού LDAP ή το αντίστοιχο μητρώο σε νέους ή υπάρχοντες ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory.

Ο ελεγκτής τομέα υπογραφής LDAP: Πολιτική απαιτήσεων υπογραφής διακομιστή LDAP υπάρχει ήδη σε όλες τις υποστηριζόμενες εκδόσεις των Windows. Ξεκινώντας από τον Windows Server 2022, έκδοση 23H2, όλες οι νέες εκδόσεις των Windows θα περιέχουν όλες τις αλλαγές σε αυτό το άρθρο.

Γιατί είναι απαραίτητη αυτή η αλλαγή

Η ασφάλεια των ελεγκτών τομέα της υπηρεσίας καταλόγου Active Directory μπορεί να βελτιωθεί σημαντικά, ρυθμίζοντας τις παραμέτρους του διακομιστή ώστε να απορρίπτει τις συνδέσεις LDAP απλού ελέγχου ταυτότητας και επιπέδου ασφάλειας (SASL) που δεν ζητούν υπογραφή (επαλήθευση ακεραιότητας) ή απορρίπτουν απλές συνδέσεις LDAP που εκτελούνται σε σύνδεση απλού κειμένου (χωρίς κρυπτογράφηση SSL/TLS). Οι συνδέσεις SASL μπορεί να περιλαμβάνουν πρωτόκολλα όπως τα Negotiate, Kerberos, NTLM και Digest.

Η ανυπόγραφη κίνηση δικτύου είναι επιρρεπής σε επαναληπτικές επιθέσεις, στις οποίες ένας εισβολέας διακόπτει την προσπάθεια ελέγχου ταυτότητας και την έκδοση δελτίου. Ο εισβολέας μπορεί να επαναχρησιμοποιήσει το εισιτήριο για να μιμηθεί τον νόμιμο χρήστη. Επιπλέον, η ανυπόγραφη κίνηση δικτύου είναι επιρρεπής σε επιθέσεις ενδιάμεσου χρήστη (MiTM), στις οποίες ένας εισβολέας καταγράφει πακέτα μεταξύ του υπολογιστή-πελάτη και του διακομιστή, αλλάζει τα πακέτα και, στη συνέχεια, τα προωθεί στο διακομιστή. Εάν συμβεί αυτό σε έναν ελεγκτή τομέα Active Directory, ένας εισβολέας μπορεί να προκαλέσει τη λήψη αποφάσεων από ένα διακομιστή που βασίζονται σε πλαστά αιτήματα από το πρόγραμμα-πελάτη LDAP. Το LDAPS χρησιμοποιεί τη δική του ξεχωριστή θύρα δικτύου για τη σύνδεση πελατών και διακομιστών. Η προεπιλεγμένη θύρα για το LDAP είναι η θύρα 389, αλλά το LDAPS χρησιμοποιεί τη θύρα 636 και καθορίζει το SSL/TLS κατά τη σύνδεση με έναν υπολογιστή-πελάτη.

Τα διακριτικά σύνδεσης καναλιού βοηθούν να γίνει ο έλεγχος ταυτότητας LDAP μέσω SSL/TLS πιο ασφαλής έναντι επιθέσεων μεταξύ ατόμων στη μέση.

Ενημερώσεις 10 Μαρτίου 2020

Σημαντικό Οι ενημερώσεις της 10ης Μαρτίου 2020 δεν αλλάζουν τις προεπιλεγμένες πολιτικές υπογραφής LDAP ή σύνδεσης καναλιού LDAP ή το αντίστοιχο μητρώο σε νέους ή υπάρχοντες ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory.

Οι ενημερώσεις των Windows που θα κυκλοφορήσουν στις 10 Μαρτίου 2020 προσθέτουν τις ακόλουθες δυνατότητες:

Νέα συμβάντα καταγράφονται στο πρόγραμμα προβολής συμβάντων που σχετίζονται με τη σύνδεση καναλιού LDAP. Ανατρέξτε στον Πίνακα 1 και τον Πίνακα 2 για λεπτομέρειες σχετικά με αυτά τα συμβάντα.
Ένας νέος ελεγκτής τομέα: Απαιτήσεις διακριτικού σύνδεσης καναλιού διακομιστή LDAP Πολιτική ομάδας να ρυθμίσετε τις παραμέτρους σύνδεσης καναλιού LDAP σε υποστηριζόμενες συσκευές.

Η αντιστοίχιση μεταξύ των ρυθμίσεων πολιτικής υπογραφής LDAP και των ρυθμίσεων μητρώου περιλαμβάνεται ως εξής:

Ρύθμιση πολιτικής: "Ελεγκτής τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP"
Ρύθμιση μητρώου: LDAPServerIntegrity
Τύπος_δεδομένων: DWORD
Διαδρομή μητρώου: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ρύθμιση Πολιτική ομάδας	Ρύθμιση μητρώου
Δεν υπάρχουν	1
Απαιτείται υπογραφή	2

Η αντιστοίχιση μεταξύ των ρυθμίσεων πολιτικής σύνδεσης καναλιού LDAP και των ρυθμίσεων μητρώου περιλαμβάνεται ως εξής:

Ρύθμιση πολιτικής: "Ελεγκτής τομέα: Απαιτήσεις διακριτικού σύνδεσης καναλιού διακομιστή LDAP"
Ρύθμιση μητρώου: LdapEnforceChannelBinding
Τύπος_δεδομένων: DWORD
Διαδρομή μητρώου: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ρύθμιση Πολιτική ομάδας	Ρύθμιση μητρώου
Ποτέ	0
Όταν υποστηρίζεται	1
Πάντα	2

Πίνακας 1: Συμβάντα υπογραφής LDAP

	Περιγραφή	Προκαλέσει
2886	Η ασφάλεια αυτών των ελεγκτών τομέα μπορεί να βελτιωθεί σημαντικά με τη ρύθμιση παραμέτρων του διακομιστή για την επιβολή επικύρωσης υπογραφής LDAP.	Ενεργοποιείται κάθε 24 ώρες κατά την εκκίνηση ή την έναρξη της υπηρεσίας, εάν η Πολιτική ομάδας έχει οριστεί σε Καμία. Ελάχιστο επίπεδο καταγραφής: 0 ή μεγαλύτερο
2887	Η ασφάλεια αυτών των ελεγκτών τομέα μπορεί να βελτιωθεί, ρυθμίζοντας τους ώστε να απορρίπτουν απλές αιτήσεις σύνδεσης LDAP και άλλες αιτήσεις σύνδεσης που δεν περιλαμβάνουν υπογραφή LDAP.	Ενεργοποιείται κάθε 24 ώρες όταν Πολιτική ομάδας έχει οριστεί σε Καμία και τουλάχιστον μία μη προστατευμένη δέσμευση ολοκληρώθηκε. Ελάχιστο επίπεδο καταγραφής: 0 ή μεγαλύτερο
2888	Η ασφάλεια αυτών των ελεγκτών τομέα μπορεί να βελτιωθεί, ρυθμίζοντας τους ώστε να απορρίπτουν απλές αιτήσεις σύνδεσης LDAP και άλλες αιτήσεις σύνδεσης που δεν περιλαμβάνουν υπογραφή LDAP.	Ενεργοποιείται κάθε 24 ώρες όταν Πολιτική ομάδας έχει οριστεί σε Απαιτείται υπογραφή και τουλάχιστον μία μη προστατευμένη σύνδεση απορρίφθηκε. Ελάχιστο επίπεδο καταγραφής: 0 ή μεγαλύτερο
2889	Η ασφάλεια αυτών των ελεγκτών τομέα μπορεί να βελτιωθεί, ρυθμίζοντας τους ώστε να απορρίπτουν απλές αιτήσεις σύνδεσης LDAP και άλλες αιτήσεις σύνδεσης που δεν περιλαμβάνουν υπογραφή LDAP.	Ενεργοποιείται όταν ένας υπολογιστής-πελάτης δεν χρησιμοποιεί υπογραφή για συνδέσεις σε περιόδους λειτουργίας στη θύρα 389. Ελάχιστο επίπεδο καταγραφής: 2 ή μεγαλύτερο

Πίνακας 2: Συμβάντα CBT

Συμβάν	Περιγραφή	Προκαλέσει
3039	Ο ακόλουθος υπολογιστής-πελάτης εκτέλεσε σύνδεση LDAP μέσω SSL/TLS και απέτυχε η επικύρωση διακριτικού σύνδεσης καναλιού LDAP.	Ενεργοποιήθηκε σε οποιαδήποτε από τις ακόλουθες περιπτώσεις: Όταν ένας υπολογιστής-πελάτης επιχειρεί να συνδεθεί με ένα διακριτικό σύνδεσης καναλιού (CBT) με εσφαλμένη μορφοποίηση, εάν η Πολιτική ομάδας CBT έχει οριστεί σε Όταν υποστηρίζεται ή Πάντα. Όταν ένας υπολογιστής-πελάτης με δυνατότητα σύνδεσης καναλιού δεν αποστέλλει CBT, αν η Πολιτική ομάδας CBT έχει οριστεί σε Όταν υποστηρίζεται. Ένας υπολογιστής-πελάτης έχει τη δυνατότητα σύνδεσης καναλιού εάν η δυνατότητα EPA είναι εγκατεστημένη ή διαθέσιμη στο λειτουργικό σύστημα και δεν είναι απενεργοποιημένη μέσω της ρύθμισης μητρώου SuppressExtendedProtection. Για να μάθετε περισσότερα, ανατρέξτε στο θέμα KB5021989. Όταν ένας πελάτης δεν αποστέλλει CBT αν η Πολιτική ομάδας CBT έχει οριστεί σε Πάντα. Ελάχιστο επίπεδο καταγραφής: 2
3040	Κατά την προηγούμενη περίοδο των 24 ωρών, πραγματοποιήθηκαν # μη προστατευμένες συνδέσεις LDAP.	Ενεργοποιείται κάθε 24 ώρες όταν η Πολιτική ομάδας CBT ορίζεται σε Ποτέ και τουλάχιστον μία μη προστατευμένη σύνδεση ολοκληρώθηκε. Ελάχιστο επίπεδο καταγραφής: 0
3041	Η ασφάλεια αυτού του διακομιστή καταλόγου μπορεί να βελτιωθεί σημαντικά με τη ρύθμιση παραμέτρων του διακομιστή για την επιβολή επικύρωσης διακριτικών σύνδεσης καναλιού LDAP.	Ενεργοποιείται κάθε 24 ώρες, κατά την εκκίνηση ή την έναρξη της υπηρεσίας, αν η Πολιτική ομάδας CBT έχει οριστεί σε Ποτέ. Ελάχιστο επίπεδο καταγραφής: 0

Για να ορίσετε το επίπεδο καταγραφής στο μητρώο, χρησιμοποιήστε μια εντολή που μοιάζει με την εξής:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων καταγραφής διαγνωστικών συμβάντων της υπηρεσίας καταλόγου Active Directory, ανατρέξτε στο θέμα Τρόπος ρύθμισης παραμέτρων καταγραφής διαγνωστικών συμβάντων υπηρεσίας καταλόγου Active Directory και LDS.

Ενημερώσεις 8 Αυγούστου 2023

Ορισμένοι υπολογιστές-πελάτες δεν μπορούν να χρησιμοποιήσουν διακριτικά σύνδεσης καναλιού LDAP για σύνδεση σε ελεγκτές τομέα (DCs) της υπηρεσίας καταλόγου Active Directory. Η Microsoft θα κυκλοφορήσει μια ενημέρωση ασφαλείας στις 8 Αυγούστου 2023. Για τον Windows Server 2022, αυτή η ενημέρωση προσθέτει επιλογές για διαχειριστές για τον έλεγχο αυτών των προγραμμάτων-πελατών. Μπορείτε να ενεργοποιήσετε τα συμβάντα CBT 3074 και 3075 με την προέλευση συμβάντος **Microsoft-Windows-ActiveDirectory_DomainService** στο αρχείο καταγραφής συμβάντων της υπηρεσίας καταλόγου.

Σημαντικό Η ενημέρωση της 8ης Αυγούστου 2023 δεν αλλάζει τις προεπιλεγμένες πολιτικές υπογραφής LDAP, τις δεσμευτικές προεπιλεγμένες πολιτικές καναλιού LDAP ή το αντίστοιχο μητρώο σε νέους ή υπάρχοντες DCs της υπηρεσίας καταλόγου Active Directory.

Εδώ ισχύουν επίσης όλες οι οδηγίες στην ενότητα ενημερώσεων Μαρτίου 2020. Τα νέα συμβάντα ελέγχου θα απαιτούν την πολιτική και τις ρυθμίσεις μητρώου που περιγράφονται στις παραπάνω οδηγίες. Υπάρχει επίσης ένα βήμα ενεργοποίησης για να δείτε τα νέα συμβάντα ελέγχου. Οι νέες λεπτομέρειες υλοποίησης βρίσκονται στην ενότητα Προτεινόμενες ενέργειες παρακάτω.

Πίνακας 3: Συμβάντα CBT

Συμβάν

Περιγραφή

Προκαλέσει

3074

Ο ακόλουθος υπολογιστής-πελάτης εκτέλεσε σύνδεση LDAP μέσω SSL/TLS και θα αποτύγχανε στην επικύρωση διακριτικού σύνδεσης καναλιού εάν ο διακομιστής καταλόγου είχε ρυθμιστεί για την επιβολή επικύρωσης διακριτικών σύνδεσης καναλιού.

Ενεργοποιήθηκε σε οποιαδήποτε από τις ακόλουθες περιπτώσεις:

Όταν ένας υπολογιστής-πελάτης επιχειρεί να συνδεθεί με ένα διακριτικό σύνδεσης καναλιού που δεν έχει μορφοποιηθεί σωστά (CBT)

Ελάχιστο επίπεδο καταγραφής: 2

3075

Ο ακόλουθος υπολογιστής-πελάτης εκτέλεσε σύνδεση LDAP μέσω SSL/TLS και δεν παρείχε πληροφορίες σύνδεσης καναλιού. Όταν αυτός ο διακομιστής καταλόγου έχει ρυθμιστεί για την επιβολή επικύρωσης διακριτικών σύνδεσης καναλιού, αυτή η λειτουργία σύνδεσης θα απορριφθεί.

Ενεργοποιήθηκε σε οποιαδήποτε από τις ακόλουθες περιπτώσεις:

Όταν ένας υπολογιστής-πελάτης με δυνατότητα σύνδεσης καναλιού δεν αποστέλλει CBT
Ένας υπολογιστής-πελάτης έχει τη δυνατότητα σύνδεσης καναλιού εάν η δυνατότητα EPA είναι εγκατεστημένη ή διαθέσιμη στο λειτουργικό σύστημα και δεν είναι απενεργοποιημένη μέσω της ρύθμισης μητρώου SuppressExtendedProtection. Για να μάθετε περισσότερα, ανατρέξτε στο θέμα KB5021989.

Ελάχιστο επίπεδο καταγραφής: 2

Σημείωση Όταν ορίζετε το επίπεδο καταγραφής σε τουλάχιστον 2, καταγράφεται το αναγνωριστικό συμβάντος 3074. Οι διαχειριστές μπορούν να το χρησιμοποιήσουν αυτό για να ελέγξουν το περιβάλλον τους για υπολογιστές-πελάτες που δεν λειτουργούν με διακριτικά σύνδεσης καναλιού. Τα συμβάντα θα περιέχουν τις ακόλουθες πληροφορίες διαγνωστικού ελέγχου για τον προσδιορισμό των πελατών:

Client IP address: 192.168.10.5:62709
Ταυτότητα κατά την οποία ο υπολογιστής-πελάτης προσπάθησε να πραγματοποιήσει έλεγχο ταυτότητας ως:
CONTOSO\Administrator
Ο υπολογιστής-πελάτης υποστηρίζει σύνδεση καναλιού:FALSE
Ο υπολογιστής-πελάτης επιτρέπεται όταν υποστηρίζεται η λειτουργία:TRUE
Σημαίες αποτελεσμάτων ελέγχου:0x42

Ενημερώσεις 10 Οκτωβρίου 2023

Οι αλλαγές ελέγχου που προστέθηκαν τον Αύγουστο του 2023 είναι τώρα διαθέσιμες στον Windows Server 2019. Για αυτό το λειτουργικό σύστημα, αυτή η ενημέρωση προσθέτει επιλογές για τους διαχειριστές για τον έλεγχο αυτών των προγραμμάτων-πελατών. Μπορείτε να ενεργοποιήσετε τα συμβάντα CBT 3074 και 3075. Χρησιμοποιήστε την προέλευση συμβάντος **Microsoft-Windows-ActiveDirectory_DomainService** στο αρχείο καταγραφής συμβάντων της υπηρεσίας καταλόγου.

Σημαντικό Η ενημέρωση της 10ης Οκτωβρίου 2023 δεν αλλάζει τις προεπιλεγμένες πολιτικές υπογραφής LDAP, τις δεσμευτικές προεπιλεγμένες πολιτικές καναλιού LDAP ή το αντίστοιχο μητρώο σε νέους ή υπάρχοντες DCs της υπηρεσίας καταλόγου Active Directory.

Εδώ ισχύουν επίσης όλες οι οδηγίες στην ενότητα ενημερώσεων Μαρτίου 2020. Τα νέα συμβάντα ελέγχου θα απαιτούν την πολιτική και τις ρυθμίσεις μητρώου που περιγράφονται στις παραπάνω οδηγίες. Υπάρχει επίσης ένα βήμα ενεργοποίησης για να δείτε τα νέα συμβάντα ελέγχου. Οι νέες λεπτομέρειες υλοποίησης βρίσκονται στην ενότητα Προτεινόμενες ενέργειες παρακάτω.

Ενημερώσεις 14 Νοεμβρίου 2023

Οι αλλαγές ελέγχου που προστέθηκαν τον Αύγουστο του 2023 είναι τώρα διαθέσιμες στον Windows Server 2022. Δεν χρειάζεται να εγκαταστήσετε MSIs ή να δημιουργήσετε πολιτικές, όπως αναφέρεται στο βήμα 3 των προτεινόμενων ενεργειών.

Ενημερώσεις 9 Ιανουαρίου 2024

Οι αλλαγές ελέγχου που προστέθηκαν τον Οκτώβριο του 2023 είναι τώρα διαθέσιμες στον Windows Server 2019. Δεν χρειάζεται να εγκαταστήσετε MSIs ή να δημιουργήσετε πολιτικές, όπως αναφέρεται στο βήμα 3 των προτεινόμενων ενεργειών.

Προτεινόμενες ενέργειες

Συνιστούμε ιδιαιτέρως στους πελάτες να κάνουν τα παρακάτω βήματα το συντομότερο δυνατό:

Βεβαιωθείτε ότι οι ενημερώσεις της 10ης Μαρτίου 2020 ή μεταγενέστερες ενημερώσεις των Windows είναι εγκατεστημένες σε υπολογιστές με ρόλους ελεγκτή τομέα (DC). Εάν θέλετε να ενεργοποιήσετε τα συμβάντα ελέγχου σύνδεσης καναλιού LDAP, βεβαιωθείτε ότι οι ενημερώσεις της 8ης Αυγούστου 2023 ή μεταγενέστερων ενημερώσεων είναι εγκατεστημένες στους DCs του Windows Server 2022 ή του Server 2019.
Ενεργοποιήστε την καταγραφή διαγνωστικών συμβάντων LDAP σε 2 ή νεότερη έκδοση.
Ενεργοποίηση ενημερώσεων συμβάντων ελέγχου Αυγούστου 2023 ή Οκτωβρίου 2023 με χρήση του Πολιτική ομάδας. Μπορείτε να παραλείψετε αυτό το βήμα, αν έχετε εγκαταστήσει τις ενημερώσεις του Νοεμβρίου 2023 ή νεότερες ενημερώσεις στον Windows Server 2022. Εάν έχετε εγκαταστήσει τις ενημερώσεις του Ιανουαρίου 2024 ή νεότερες εκδόσεις στον Windows Server 2019, μπορείτε επίσης να παραλείψετε αυτό το βήμα.
- Κατεβάστε τα δύο MSIs ενεργοποίησης ανά έκδοση λειτουργικού συστήματος από το Κέντρο λήψης αρχείων της Microsoft:
- Αναπτύξτε τα MSIs για να εγκαταστήσετε τα νέα αρχεία ADMX που περιέχουν τους ορισμούς πολιτικής. Αν χρησιμοποιείτε τον Κεντρικό χώρο αποθήκευσης για Πολιτική ομάδας, αντιγράψτε τα αρχεία ADMX στον Κεντρικό χώρο αποθήκευσης.
- Εφαρμόστε τις αντίστοιχες πολιτικές στην OU των ελεγκτών τομέα ή σε ένα υποσύνολο των DCs του Server 2022 ή του Server 2019.
- Επανεκκινήστε τον ελεγκτή τομέα για να τεθούν σε ισχύ οι αλλαγές.
Παρακολουθήστε το αρχείο καταγραφής συμβάντων των υπηρεσιών καταλόγου σε όλους τους υπολογιστές ρόλων DC που έχουν φιλτραριστεί για:
- Συμβάν αποτυχίας υπογραφής LDAP 2889 στον Πίνακα 1.
- Συμβάν αποτυχίας σύνδεσης καναλιού LDAP 3039 στον Πίνακα 2.
- Συμβάντα ελέγχου σύνδεσης καναλιού LDAP 3074 και 3075 στον Πίνακα 3.
  
  Σημείωση Τα συμβάντα 3039, 3074 και 3075 μπορούν να δημιουργηθούν μόνο όταν η επιλογή Σύνδεση καναλιού έχει οριστεί σε Όταν υποστηρίζεται ή Πάντα.
Προσδιορίστε τη δημιουργία, το μοντέλο και τον τύπο της συσκευής για κάθε διεύθυνση IP που αναφέρεται από:
- Συμβάν 2889 για την πραγματοποίηση ανυπόγραφων κλήσεων LDAP
- Συμβάν 3039 για μη χρήση σύνδεσης καναλιού LDAP
- Συμβάν 3074 ή 3075 επειδή δεν έχει δυνατότητα σύνδεσης καναλιού LDAP

Τύποι συσκευών

Ομαδοποιήστε τους τύπους συσκευών σε 1 από 3 κατηγορίες:

Συσκευή ή δρομολογητής -
- Επικοινωνήστε με την υπηρεσία παροχής της συσκευής.
Συσκευή που δεν εκτελείται σε λειτουργικό σύστημα Windows -
- Βεβαιωθείτε ότι τόσο η σύνδεση καναλιού LDAP όσο και η υπογραφή LDAP υποστηρίζονται στο λειτουργικό σύστημα και την εφαρμογή. Αυτό μπορείτε να το κάνετε δουλεύοντας με το λειτουργικό σύστημα και την υπηρεσία παροχής εφαρμογών.
Συσκευή που εκτελείται σε λειτουργικό σύστημα Windows -
- Η υπογραφή LDAP είναι διαθέσιμη για χρήση από όλες τις εφαρμογές σε όλες τις υποστηριζόμενες εκδόσεις των Windows. Βεβαιωθείτε ότι η εφαρμογή ή η υπηρεσία σας χρησιμοποιεί υπογραφή LDAP.
- Για τη σύνδεση καναλιού LDAP απαιτείται να έχουν εγκατασταθεί όλες οι συσκευές Windows CVE-2017-8563 . Βεβαιωθείτε ότι η εφαρμογή ή η υπηρεσία σας χρησιμοποιεί σύνδεση καναλιού LDAP.

Χρησιμοποιήστε τοπικά, απομακρυσμένα, γενικά ή ειδικά εργαλεία ανίχνευσης για τη συσκευή. Σε αυτές περιλαμβάνονται καταγραφές δικτύου, διαχείριση διεργασιών ή ανιχνεύσεις εντοπισμού σφαλμάτων. Προσδιορίστε αν το βασικό λειτουργικό σύστημα, μια υπηρεσία ή μια εφαρμογή εκτελεί μη υπογεγραμμένες συνδέσεις LDAP ή δεν χρησιμοποιεί CBT.

Χρησιμοποιήστε τη Διαχείριση Εργασιών των Windows ή ένα ισοδύναμο για να αντιστοιχίσετε το αναγνωριστικό διεργασίας με τα ονόματα διεργασιών, υπηρεσιών και εφαρμογών.

Χρονοδιάγραμμα ενημέρωσης ασφαλείας

Η ενημέρωση της 10ης Μαρτίου 2020 πρόσθεσε στοιχεία ελέγχου για διαχειριστές, προκειμένου να σκληρύνει τις ρυθμίσεις παραμέτρων για τη σύνδεση καναλιού LDAP και την υπογραφή LDAP σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory. Οι ενημερώσεις της 8ης Αυγούστου και της 10ης Οκτωβρίου 2023 προσθέτουν επιλογές για διαχειριστές σε υπολογιστές-πελάτες ελέγχου που δεν μπορούν να χρησιμοποιήσουν διακριτικά σύνδεσης καναλιού LDAP. Συνιστάται ιδιαίτερα στους πελάτες να προβούν στις ενέργειες που προτείνονται σε αυτό το άρθρο το συντομότερο δυνατό.

Ημερομηνία-στόχος	Συμβάν	Ισχύει για
10 Μαρτίου 2020	Απαιτείται: Η ενημέρωση ασφαλείας είναι διαθέσιμη σε Windows Update για όλες τις υποστηριζόμενες πλατφόρμες Windows. Σημείωση Για τις πλατφόρμες Windows που δεν υποστηρίζονται τυπικά, αυτή η ενημέρωση ασφαλείας θα είναι διαθέσιμη μόνο μέσω των κατάλληλων προγραμμάτων εκτεταμένης υποστήριξης. Η υποστήριξη σύνδεσης καναλιού LDAP προστέθηκε από το CVE-2017-8563 στον Windows Server 2008 και νεότερες εκδόσεις. Τα διακριτικά σύνδεσης καναλιού υποστηρίζονται στην Windows 10, έκδοση 1709 και νεότερες εκδόσεις. Τα Windows XP δεν υποστηρίζουν σύνδεση καναλιού LDAP και αποτυγχάνουν όταν ρυθμίζεται η σύνδεση καναλιού LDAP με χρήση της τιμής Always, αλλά θα γίνεται διαλειτουργικότητα με DCs που έχουν ρυθμιστεί ώστε να χρησιμοποιούν πιο χαλαρή ρύθμιση σύνδεσης καναλιού LDAP της ρύθμισης Όταν υποστηρίζεται.	Windows Server 2022 Windows 10, έκδοση 20H2 Windows 10, έκδοση 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Εκτεταμένη ενημέρωση ασφαλείας (ESU))
8 Αυγούστου 2023	Προσθέτει συμβάντα ελέγχου διακριτικού σύνδεσης καναλιού LDAP (3074 & 3075). Είναι απενεργοποιημένες από προεπιλογή στον Windows Server 2022.	Windows Server 2022
10 Οκτωβρίου 2023	Προσθέτει συμβάντα ελέγχου διακριτικού σύνδεσης καναλιού LDAP (3074 & 3075). Είναι απενεργοποιημένες από προεπιλογή στον Windows Server 2019.	Windows Server 2019
14 Νοεμβρίου 2023	Τα συμβάντα ελέγχου διακριτικού σύνδεσης καναλιού LDAP είναι διαθέσιμα στον Windows Server 2022 χωρίς την εγκατάσταση MSI ενεργοποίησης (όπως περιγράφεται στο Βήμα 3 των προτεινόμενων ενεργειών).	Windows Server 2022
9 Ιανουαρίου 2024	Τα συμβάντα ελέγχου διακριτικού σύνδεσης καναλιού LDAP είναι διαθέσιμα στον Windows Server 2019 χωρίς την εγκατάσταση MSI ενεργοποίησης (όπως περιγράφεται στο Βήμα 3 των προτεινόμενων ενεργειών).	Windows Server 2019

Συνήθεις ερωτήσεις

Για απαντήσεις σε συνήθεις ερωτήσεις σχετικά με τη σύνδεση καναλιού LDAP και την υπογραφή LDAP σε ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory, ανατρέξτε στα θέματα: