Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Actualizado el 09/01/2024

Ver nuevo contenido en las actualizaciones del 9 de enero de 2024.

Introducción

El enlace de canales LDAP y la firma LDAP proporcionan formas de aumentar la seguridad de las comunicaciones entre clientes LDAP y controladores de dominio de Active Directory. Existe un conjunto de configuraciones predeterminadas no seguras para el enlace de canales LDAP y la firma LDAP en los controladores de dominio de Active Directory que permiten a los clientes LDAP comunicarse con ellos sin forzar el enlace de canales LDAP y la firma LDAP. Esto puede abrir los controladores de dominio de Active Directory a una vulnerabilidad de elevación de privilegios.

Esta vulnerabilidad podría permitir que un atacante de tipo man-in-the-middle reenvíe correctamente una solicitud de autenticación a un servidor de dominio de Microsoft que no se ha configurado para requerir la encuadernación de canales, firma o sellado en conexiones entrantes.

Microsoft recomienda a los administradores que realicen los cambios de protección descritos en ADV190023.

El 10 de marzo de 2020 abordamos esta vulnerabilidad proporcionando las siguientes opciones para que los administradores protejan las configuraciones de enlace de canales LDAP en controladores de dominio de Active Directory:

  • Controlador de dominio: Requisitos de token de enlace de canal de servidor LDAP directiva de grupo.

  • Eventos de firma de tokens de enlace de canal (CBT) 3039, 3040 y 3041 con el remitente de eventos Microsoft-Windows-Active Directory_DomainService en el registro de eventos de Servicio de directorio.

Importante: Las actualizaciones del 10 de marzo de 2020 y las actualizaciones en un futuro próximo no cambiarán las directivas predeterminadas de firma ldap o enlace de canales LDAP ni su equivalente del Registro en controladores de dominio de Active Directory nuevos o existentes.

El controlador de dominio de firma LDAP: la directiva de requisitos de firma de servidor LDAP ya existe en todas las versiones compatibles de Windows. A partir de Windows Server 2022, 23H2 Edition, todas las nuevas versiones de Windows contendrán todos los cambios de este artículo.

Razones por las que se necesita este cambio

La seguridad de los controladores de dominio de Active Directory se puede mejorar significativamente configurando el servidor para rechazar los enlaces LDAP de la Capa de seguridad y autenticación sencilla (SASL) que no solicitan la firma (verificación de integridad) ni rechazan los enlaces simples LDAP que se realizan en una conexión de texto claro (no ssl/tls cifrado). Los SASL incluyen protocolos como Negotiate, Kerberos, NTLM y Digest.

El tráfico de red sin firmar es vulnerable a ataques de reproducción en los que un intruso intercepta el intento de autenticación y la emisión de un vale. El intruso puede reutilizar el vale para hacerse pasar por el usuario legítimo. Además, el tráfico de red sin firmar es susceptible a ataques de tipo man-in-the-middle (MiTM) en los que un intruso captura paquetes entre el cliente y el servidor, cambia los paquetes y, a continuación, los reenvía al servidor. Si esto ocurre en un controlador de Dominio de Active Directory, un atacante puede hacer que un servidor tome decisiones que se basan en solicitudes falsificadas del cliente LDAP. LDAPS utiliza su propio puerto de red distinto para conectar clientes y servidores. El puerto predeterminado para LDAP es el puerto 389, pero LDAPS usa el puerto 636 y establece SSL/TLS al conectarse con un cliente.

Los tokens de enlace de canal ayudan a que la autenticación LDAP a través de SSL/TLS sea más segura frente a ataques de tipo man-in-the-middle.

Actualizaciones del 10 de marzo de 2020

Importante Las actualizaciones del 10 de marzo de 2020 no cambian las directivas predeterminadas de firma de canal LDAP o de enlace de canal LDAP ni su equivalente del Registro en controladores de dominio de Active Directory nuevos o existentes.

Las actualizaciones de Windows que se publicarán el 10 de marzo de 2020 agregan las siguientes características:

  • Los nuevos eventos se registran en el Visor de eventos relacionados con el enlace de canales LDAP. Consulte la Tabla 1 y la Tabla 2 para obtener más información sobre estos eventos.

  • Un nuevo controlador de dominio: los requisitos de token de enlace de canal de servidor LDAP directiva de grupo configurar el enlace de canales LDAP en dispositivos compatibles.

La asignación entre la configuración de la directiva de firma LDAP y la configuración del Registro se incluye de la siguiente manera:

  • Configuración de directiva: "Controlador de dominio: requisitos de firma de servidor LDAP"

  • Configuración del Registro: LDAPServerIntegrity

  • Datatype: DWORD

  • Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Configuración de directiva de grupo

Configuración del Registro

Ninguno

1

Requerir firma

2

La asignación entre la configuración de la directiva de enlace de canales LDAP y la configuración del Registro se incluye de la siguiente manera:

  • Configuración de directiva: "Controlador de dominio: requisitos de token de enlace de canal de servidor LDAP"

  • Configuración del Registro: LdapEnforceChannelBinding

  • Datatype: DWORD

  • Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Configuración de directiva de grupo

Configuración del Registro

Nunca.

0

Cuando se admite

1

Siempre

2


Tabla 1: Eventos de firma LDAP

Descripción

Desencadenador

2886

La seguridad de estos controladores de dominio se puede mejorar significativamente configurando el servidor para aplicar la validación de la firma LDAP.

Se desencadena cada 24 horas, al iniciar o iniciar el servicio si el directiva de grupo está establecido en Ninguno. Nivel de registro mínimo: 0 o superior

2887

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP.

Se desencadena cada 24 horas cuando directiva de grupo se establece en Ninguno y se ha completado al menos un enlace desprotegido. Nivel de registro mínimo: 0 o superior

2888

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP.

Se desencadena cada 24 horas cuando directiva de grupo se establece en Requerir firma y se rechazó al menos un enlace desprotegido. Nivel de registro mínimo: 0 o superior

2889

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP simples y otras solicitudes de enlace que no incluyen la firma LDAP.

Desencadenado cuando un cliente no utiliza la firma para los enlaces en las sesiones en el puerto 389. Nivel de registro mínimo: 2 o superior

Tabla 2: Eventos CBT

Evento

Descripción

Desencadenador

3039

El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y falló la validación de token de enlace de canal LDAP.

Desencadenada en cualquiera de las siguientes circunstancias:

  • Cuando un cliente intenta enlazar con un token de enlace de canal (CBT) con formato incorrecto si el directiva de grupo CBT se establece en Cuando se admite o Siempre.

  • Cuando un cliente que es capaz de enlace de canal no envía una CBT si el directiva de grupo CBT se establece en Cuando se admite. Un cliente es capaz de enlazar canales si la característica EPA está instalada o disponible en el sistema operativo y no está deshabilitada a través de la configuración del Registro SuppressExtendedProtection. Para obtener más información, consulta KB5021989.

  • Cuando un cliente no envía un CBT si el directiva de grupo CBT se establece en Siempre.

Nivel de registro mínimo: 2

3040

Durante el período de 24 horas anterior, se realizó el n.º de enlaces LDAP no protegidos.

Se desencadena cada 24 horas cuando el directiva de grupo CBT se establece en Nunca y se ha completado al menos un enlace no protegido. Nivel de registro mínimo: 0

3041

La seguridad de este servidor de directorios se puede mejorar significativamente configurando el servidor para exigir la validación de tokens de enlace de canal LDAP.

Se desencadena cada 24 horas, al iniciar o iniciar el servicio si el directiva de grupo CBT se establece en Nunca. Nivel de registro mínimo: 0

Para establecer el nivel de registro en el Registro, use un comando similar al siguiente:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Para obtener más información sobre cómo configurar el registro de eventos de diagnóstico de Active Directory, consulte Cómo configurar el registro de eventos de diagnóstico de Active Directory y LDS.

Actualizaciones del 8 de agosto de 2023

Algunos equipos cliente no pueden usar tokens de enlace de canal LDAP para enlazar a controladores de dominio (DCs) de Active Directory. Microsoft publicará una actualización de seguridad el 8 de agosto de 2023. En el caso de Windows Server 2022, esta actualización agrega opciones para que los administradores auditen estos clientes. Puede habilitar los eventos CBT 3074 y 3075 con el origen de eventos **Microsoft-Windows-ActiveDirectory_DomainService** en el registro de eventos de Servicio de directorio.

Importante La actualización del 8 de agosto de 2023 no cambia la firma LDAP, las directivas predeterminadas de enlace de canales LDAP ni su equivalente del Registro en los DCs nuevos o existentes de Active Directory.

Aquí también se aplican todas las instrucciones de la sección de actualizaciones de marzo de 2020. Los nuevos eventos de auditoría requerirán la configuración de directiva y registro descrita en las instrucciones anteriores. También hay un paso de habilitación para ver los nuevos eventos de auditoría. Los nuevos detalles de la implementación se encuentran en la sección Acciones recomendadas a continuación.

Tabla 3: Eventos CBT

Evento

Descripción

Desencadenador

3074

El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y no pudo realizar la validación de token de enlace de canal si el servidor de directorio se configuró para exigir la validación de tokens de enlace de canal.

Desencadenada en cualquiera de las siguientes circunstancias:

  • Cuando un cliente intenta enlazar con un token de enlace de canal (CBT) con formato incorrecto

Nivel de registro mínimo: 2

3075

El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y no proporcionó información de enlace de canal. Cuando este servidor de directorio está configurado para exigir la validación de tokens de enlace de canal, se rechazará esta operación de enlace.

Desencadenada en cualquiera de las siguientes circunstancias:

  • Cuando un cliente capaz de enlazar canales no envía una CBT

  • Un cliente es capaz de enlazar canales si la característica EPA está instalada o disponible en el sistema operativo y no está deshabilitada a través de la configuración del Registro SuppressExtendedProtection. Para obtener más información, consulta KB5021989.

Nivel de registro mínimo: 2

Nota Al establecer el nivel de registro en al menos 2, se registra el id. de evento 3074. Los administradores pueden usarlo para auditar su entorno para los clientes que no funcionan con tokens de enlace de canal. Los eventos contendrán la siguiente información de diagnóstico para identificar a los clientes:


Client IP address: 192.168.10.5:62709
Identidad que el cliente ha intentado autenticar como:
CONTOSO\Administrator
El cliente admite el enlace de canales:FALSE
Cliente permitido en cuando el modo admitido:TRUE
Marcas de resultados de auditoría:0x42

Actualizaciones del 10 de octubre de 2023

Los cambios de auditoría agregados en agosto de 2023 ya están disponibles en Windows Server 2019. Para ese sistema operativo, esta actualización agrega opciones para que los administradores auditen estos clientes. Puede habilitar los eventos CBT 3074 y 3075. Use el origen de eventos **Microsoft-Windows-ActiveDirectory_DomainService** en el registro de eventos de Servicio de directorio.

Importante La actualización del 10 de octubre de 2023 no cambia la firma LDAP, las directivas predeterminadas de enlace de canales LDAP ni su equivalente del Registro en los DCs nuevos o existentes de Active Directory.

Aquí también se aplican todas las instrucciones de la sección de actualizaciones de marzo de 2020. Los nuevos eventos de auditoría requerirán la configuración de directiva y registro descrita en las instrucciones anteriores. También hay un paso de habilitación para ver los nuevos eventos de auditoría. Los nuevos detalles de la implementación se encuentran en la sección Acciones recomendadas a continuación.

Actualizaciones del 14 de noviembre de 2023

Los cambios de auditoría agregados en agosto de 2023 ya están disponibles en Windows Server 2022. No es necesario instalar los MSIs ni crear directivas como se menciona en el paso 3 de Acciones recomendadas.

Actualizaciones del 9 de enero de 2024

Los cambios de auditoría agregados en octubre de 2023 ya están disponibles en Windows Server 2019. No es necesario instalar los MSIs ni crear directivas como se menciona en el paso 3 de Acciones recomendadas.

Acciones recomendadas

Recomendamos encarecidamente a los clientes que realicen los siguientes pasos lo antes posible:

  1. Asegúrate de que las actualizaciones de Windows del 10 de marzo de 2020 o posteriores estén instaladas en equipos de rol de controlador de dominio (DC). Si desea habilitar eventos de auditoría de enlace de canales LDAP, asegúrese de que las actualizaciones del 8 de agosto de 2023 o posteriores se instalan en los equipos con Windows Server 2022 o Server 2019.

  2. Habilite el registro de diagnóstico de eventos LDAP a 2 o superior.

  3. Habilite las actualizaciones de eventos de auditoría de agosto de 2023 u octubre de 2023 con directiva de grupo. Puede omitir este paso si ha instalado las actualizaciones de noviembre de 2023 o posteriores en Windows Server 2022. Si ha instalado las actualizaciones de enero de 2024 o posteriores en Windows Server 2019, también puede omitir este paso.

    • Descarga los dos MSIs de habilitación por versión de SO desde el Centro de descarga de Microsoft:

    • Expanda los MSIs para instalar los nuevos archivos ADMX que contienen las definiciones de directiva. Si usa el Almacén central para directiva de grupo, copie los archivos ADMX en el Almacén central.

    • Aplique las directivas correspondientes a la unidad organizativa controladoras de dominio o a un subconjunto de los controladores de dominio de Server 2022 o Server 2019.

    • Reinicie el controlador de dominio para que los cambios surtan efecto.

  4. Supervise el registro de eventos de servicios de directorio en todos los equipos de rol de DC filtrados por:

    • Evento de error de firma LDAP 2889 en la tabla 1.

    • Evento de error de enlace de canal LDAP 3039 en la tabla 2.

    • Eventos de auditoría de enlace de canales LDAP 3074 y 3075 en la tabla 3.

      Nota Los eventos 3039, 3074 y 3075 solo se pueden generar cuando el enlace de canales se establece en Cuando se admite o Siempre.

  5. Identifica la marca, el modelo y el tipo de dispositivo para cada dirección IP citada por:

    • Evento 2889 para realizar llamadas LDAP sin firmar

    • Evento 3039 para no usar enlace de canales LDAP

    • Evento 3074 o 3075 para no poder enlazar canales LDAP

Tipos de dispositivos

Agrupar tipos de dispositivos en 1 de 3 categorías:

  1. Dispositivo o enrutador:

    • Ponte en contacto con el proveedor de dispositivos.

  2. Dispositivo que no se ejecuta en un sistema operativo Windows:

    • Compruebe que el enlace de canales LDAP y la firma LDAP son compatibles con el sistema operativo y la aplicación. Para ello, trabaje con el sistema operativo y el proveedor de aplicaciones.

  3. Dispositivo que se ejecuta en un sistema operativo Windows:

    • La firma LDAP está disponible para que la usen todas las aplicaciones en todas las versiones compatibles de Windows. Compruebe que la aplicación o el servicio está usando la firma LDAP.

    • La enlace de canales LDAP requiere que todos los dispositivos Windows tengan CVE-2017-8563 instalado. Compruebe que la aplicación o el servicio está usando el enlace de canales LDAP.

Use herramientas de seguimiento locales, remotas, genéricas o específicas del dispositivo. Estos incluyen capturas de red, el administrador de procesos o seguimientos de depuración. Determine si el sistema operativo principal, un servicio o una aplicación está realizando enlaces LDAP sin firmar o no está usando CBT.

Use el Administrador de tareas de Windows o un equivalente para asignar el id. de proceso a los nombres de proceso, servicio y aplicación.

Programación de la actualización de seguridad

La actualización del 10 de marzo de 2020 agregó controles para que los administradores endurecen las configuraciones para el enlace de canales LDAP y la firma LDAP en controladores de dominio de Active Directory. Las actualizaciones del 8 de agosto y del 10 de octubre de 2023 agregan opciones para que los administradores auditen los equipos cliente que no pueden usar tokens de enlace de canales LDAP. Recomendamos encarecidamente a los clientes que realicen las acciones recomendadas en este artículo lo antes posible.

Fecha de destino

Evento

La información de este artículo se refiere a:

10 de marzo de 2020

Necesario: Actualización de seguridad disponible en Windows Update para todas las plataformas windows compatibles.

Nota Para las plataformas Windows que no tienen soporte estándar, esta actualización de seguridad solo estará disponible a través de los programas de soporte extendido aplicables.

CVE-2017-8563 agregó compatibilidad de enlace de canales LDAP en Windows Server 2008 y versiones posteriores. Los tokens de enlace de canales son compatibles con Windows 10, versión 1709 y versiones posteriores.

Windows XP no admite el enlace de canales LDAP y producirá un error cuando se configure el enlace de canales LDAP mediante un valor de Siempre, pero interoperaría con los DCs configurados para usar una configuración de enlace de canal LDAP más relajado de Cuando se admite.

Windows Server 2022

Windows 10, versión 20H2

Windows 10, versión 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2 Windows Server 2012



Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Extended Security Update (ESU))

8 de agosto de 2023

Agrega eventos de auditoría de token de enlace de canal LDAP (3074 & 3075). Están deshabilitadas de manera predeterminada en Windows Server 2022.

Windows Server 2022

10 de octubre de 2023

Agrega eventos de auditoría de token de enlace de canal LDAP (3074 & 3075). Están deshabilitadas de manera predeterminada en Windows Server 2019.

Windows Server 2019

14 de noviembre de 2023

Los eventos de auditoría de token de enlace de canal LDAP están disponibles en Windows Server 2022 sin instalar un MSI de habilitación (como se describe en el paso 3 de acciones recomendadas).

Windows Server 2022

9 de enero de 2024

Los eventos de auditoría de token de enlace de canales LDAP están disponibles en Windows Server 2019 sin instalar un MSI de habilitación (como se describe en el paso 3 de acciones recomendadas).

Windows Server 2019

Preguntas más frecuentes

Para obtener respuestas a las preguntas más frecuentes sobre el enlace de canales LDAP y la firma LDAP en controladores de dominio de Active Directory, vea:

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×