Introducción

La vinculación de canales LDAP y la firma LDAP proporcionan formas de aumentar la seguridad de las comunicaciones entre los clientes LDAP y los controladores de dominio de Active Directory. Existe un conjunto de configuraciones predeterminadas no seguras para el enlace de canales LDAP y la firma LDAP en los controladores de dominio de Active Directory que permiten a los clientes LDAP comunicarse con ellos sin forzar la vinculación de canales LDAP y la firma LDAP. Esto puede abrir los controladores de dominio de Active Directory a una elevación de la vulnerabilidad de privilegios.

Esta vulnerabilidad podría permitir que un atacante man-in-the-middle reenvía correctamente una solicitud de autenticación a un servidor de dominio de Microsoft que no se ha configurado para requerir el enlace, la firma o el sellado de canales en las conexiones entrantes.

Microsoft recomienda a los administradores que realicen los cambios de endurecimiento descritos en ADV190023.

El 10 de marzo de 2020 estamos abordando esta vulnerabilidad proporcionando las siguientes opciones para que los administradores resanen las configuraciones de enlace de canal LDAP en controladores de dominio de Active Directory:

  • Controlador de dominio: requisitos de token de enlace de canal de servidor LDAP Directiva de grupo.

  • Eventos de firma de tokens de enlace de canal (CBT) 3039, 3040 y 3041 con el remitente de eventos Microsoft-Windows-Active Directory_DomainService en el registro de eventos del servicio de directorio.

Importante: Las actualizaciones y actualizaciones del 10 de marzo de 2020 en un futuro próximo no cambiarán las directivas predeterminadas de enlace de canal LDAP o de firma LDAP ni su equivalente de registro en controladores de dominio de Active Directory nuevos o existentes.

Controlador de dominio de firma LDAP: la directiva de requisitos de firma de servidor LDAP ya existe en todas las versiones compatibles de Windows.

Por qué se necesita este cambio

La seguridad de los controladores de dominio de Active Directory se puede mejorar significativamente configurando el servidor para rechazar los vínculos LDAP de nivel simple de autenticación y seguridad (SASL) que no solicitan la firma (comprobación de integridad) o para rechazar los vínculos sencillos de LDAP que se realizan en una conexión de texto claro (no cifrada con SSL/TLS). Las SASL pueden incluir protocolos como los protocolos Negotiate, Kerberos, NTLM y Digest.

El tráfico de red sin firma es susceptible de reproducir ataques en los que un intruso intercepta el intento de autenticación y la emisión de un vale. El intruso puede volver a usar el vale para suplantar al usuario legítimo. Además, el tráfico de red sin firma es susceptible a ataques man-in-the-middle (MiTM) en los que un intruso captura paquetes entre el cliente y el servidor, cambia los paquetes y, a continuación, los reenvía al servidor. Si esto ocurre en un controlador de dominio de Active Directory, un atacante puede hacer que un servidor tome decisiones basadas en solicitudes falsificadas del cliente LDAP. LDAPS usa su propio puerto de red distinto para conectar clientes y servidores. El puerto predeterminado para LDAP es el puerto 389, pero LDAPS usa el puerto 636 y establece SSL/TLS al conectarse con un cliente.

Los tokens de enlace de canal ayudan a que la autenticación LDAP a través de SSL/TLS sea más segura frente a los ataques man-in-the-middle.

Actualizaciones del 10 de marzo de 2020

Importante Las actualizaciones del 10 de marzo de 2020 no cambian las directivas predeterminadas de enlace de canal LDAP o de firma LDAP ni su equivalente de registro en controladores de dominio de Active Directory nuevos o existentes.

Windows actualizaciones que se publicarán el 10 de marzo de 2020, agregue las siguientes características:

  • Los nuevos eventos se registran en el Visor de eventos relacionado con el enlace del canal LDAP. Vea tabla 1 y tabla 2 para obtener más información sobre estos eventos.

  • Un nuevo controlador de dominio: requisitos de token de enlace de canal de servidor LDAP Directiva de grupo para configurar el enlace de canal LDAP en dispositivos compatibles.

La asignación entre la configuración de directiva de firma LDAP y la configuración del Registro se incluye de la siguiente manera:

  • Configuración de directiva: "Controlador de dominio: requisitos de firma de servidor LDAP"

  • Configuración del Registro: LDAPServerIntegrity

  • DataType: DWORD

  • Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Configuración de directiva de grupo

Configuración del Registro

Ninguno

1

Requerir firma

2

La asignación entre la configuración de directiva de enlace de canal LDAP y la configuración del Registro se incluye de la siguiente manera:

  • Configuración de directiva: "Controlador de dominio: requisitos de token de enlace de canal de servidor LDAP"

  • Configuración del Registro: LdapEnforceChannelBinding

  • DataType: DWORD

  • Ruta del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Configuración de directiva de grupo

Configuración del Registro

Nunca

0

Cuando se admite

1

Siempre

2


Tabla 1: Eventos de firma LDAP

Descripción

Desencadenador

2886

La seguridad de estos controladores de dominio se puede mejorar significativamente configurando el servidor para exigir la validación de la firma LDAP.

Se activa cada 24 horas, al iniciar o iniciar el servicio si la directiva de grupo se establece en Ninguno. Nivel de registro mínimo: 0 o superior

2887

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP sencillas y otras solicitudes de enlace que no incluyen la firma LDAP.

Se activa cada 24 horas cuando la directiva de grupo se establece en Ninguno y se ha completado al menos un enlace sin protección. Nivel de registro mínimo: 0 o superior

2888

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP sencillas y otras solicitudes de enlace que no incluyen la firma LDAP.

Se desencadena cada 24 horas cuando la directiva de grupo se establece en Requerir firma y se rechazó al menos un enlace desprotegido. Nivel de registro mínimo: 0 o superior

2889

La seguridad de estos controladores de dominio se puede mejorar configurándolos para rechazar solicitudes de enlace LDAP sencillas y otras solicitudes de enlace que no incluyen la firma LDAP.

Se desencadena cuando un cliente no usa la firma para enlazar en sesiones en el puerto 389. Nivel de registro mínimo: 2 o superior

Tabla 2: eventos CBT

Evento

Descripción

Desencadenador

3039

El cliente siguiente realizó un enlace LDAP a través de SSL/TLS y falló la validación del token de enlace del canal LDAP.

Activado en cualquiera de las siguientes circunstancias:

  • Cuando un cliente intenta enlazar con un token de enlace de canal (CBT) con formato incorrecto si la directiva de grupo CBT se establece en Cuando se admite o Siempre.

  • Cuando un cliente capaz de encuadernación de canal no envía un CBT si la directiva de grupo CBT está establecida en Cuando se admite. Aclient  es un enlace de canal capaz si la característica DEA está instalada o disponible en el sistema operativo y no está deshabilitada a través de la configuración del Registro SuppressExtendedProtection.

  • Cuando un cliente no envía un CBT si la directiva de grupo CBT está establecida en Siempre.

Nivel de registro mínimo: 2

3040

Durante el período anterior de 24 horas, se realizaron # de enlace de LDAP sin protección.

Se activa cada 24 horas cuando la directiva de grupo CBT se establece en Nunca y se completó al menos un enlace sin protección. Nivel de registro mínimo: 0

3041

La seguridad de este servidor de directorios se puede mejorar significativamente configurando el servidor para exigir la validación de tokens de enlace de canal LDAP.

Se activa cada 24 horas, al iniciar o iniciar el servicio si la directiva de grupo CBT está establecida en Nunca. Nivel de registro mínimo: 0


Para establecer el nivel de registro en el Registro, use un comando similar al siguiente:

Reg Agregar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 eventos de interfaz LDAP" /t REG_DWORD /d 2

Para obtener más información sobre cómo configurar el registro de eventos de diagnóstico de Active Directory, vea el siguiente artículo en Microsoft Knowledge Base:

314980 Cómo configurar el registro de eventos de diagnóstico de Active Directory y SUD

Acciones recomendadas

Recomendamos encarecidamente a los clientes que tomen los pasos siguientes lo antes posible:

  1. Instale las actualizaciones del 10 de marzo de 2020 Windows en los equipos de rol de controlador de dominio (DC) cuando se publicen las actualizaciones.

  2. Habilite el registro de diagnóstico de eventos LDAP a 2 o posteriores.

  3. Supervisar el registro de eventos de servicios de directorio en todos los equipos de rol de DC filtrados para:

    • Evento de error de firma LDAP 2889 que se muestra en la Tabla 1.

    • Evento de error Enlace de canal LDAP 3039 en la tabla 2.

      Nota El evento 3039 solo se puede generar cuando el enlace de canal está establecido en Cuando se admite o Siempre.

  4. Identifique la fabricación, el modelo y el tipo de dispositivo para cada dirección IP citada por el evento 2889 como realizar llamadas LDAP sin firma o eventos 3039 como no usar enlace de canal LDAP.

Agrupar tipos de dispositivos en 1 de 3 categorías:

  1. Dispositivo o enrutador

    • Póngase en contacto con el proveedor de dispositivos.

  2. Dispositivo que no se ejecuta en un Windows operativo

    • Compruebe que tanto la vinculación de canales LDAP como la firma LDAP son compatibles con el sistema operativo y, a continuación, la aplicación trabajando con el sistema operativo y el proveedor de aplicaciones.

  3. Dispositivo que se ejecuta en un Windows operativo

    • La firma LDAP está disponible para su uso por todas las aplicaciones en todas las versiones compatibles de Windows. Compruebe que su aplicación o servicio usa la firma LDAP.

    • La vinculación de canales LDAP requiere que todos Windows dispositivos tengan instalados CVE-2017-8563. Compruebe que su aplicación o servicio usa el enlace de canal LDAP.

Use herramientas de seguimiento locales, remotas, genéricas o específicas de dispositivos, como capturas de red, administradores de procesos o seguimientos de depuración para determinar si el sistema operativo principal, un servicio o una aplicación realizan enlaces LDAP sin firma o no usan CBT.

Use Windows de tareas o equivalente para asignar el id. de proceso a los nombres de proceso, servicio y aplicaciones.

Programación de actualización de seguridad

Las actualizaciones del 10 de marzo de 2020 proporcionarán controles para que los administradores resanen las configuraciones de enlace de canal LDAP y firma LDAP en controladores de dominio de Active Directory. Recomendamos encarecidamente a los clientes que tomen las acciones recomendadas en este artículo lo antes posible.

Fecha de destino

Evento

Se aplica a

10 de marzo de 2020

Necesario: Actualización de seguridad disponible en Windows actualización para todas las plataformas Windows compatibles.

Nota Para Windows plataformas que no son compatibles con el estándar, esta actualización de seguridad solo estará disponible a través de los programas de soporte extendido aplicables.

CVE-2017-8563 agregó compatibilidad de enlace de canales LDAP en Windows Server 2008 y versiones posteriores. Los tokens de enlace de canal son compatibles Windows 10, versión 1709 y versiones posteriores.

Windows XP no admite la vinculación de canales LDAP y se produciría un error al configurar el enlace de canal LDAP con un valor de Siempre, pero interoperaría con los DCs configurados para usar una configuración de enlace de canal LDAP más relajada de Cuando se admite.

Windows 10, versión 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Actualización de seguridad extendida (ESU))

Preguntas frecuentes

Para obtener respuestas a las preguntas más frecuentes sobre el enlace de canales LDAP y el inicio de sesión LDAP en controladores de dominio de Active Directory, vea Preguntas más frecuentes sobre los cambios en el protocolo ligero de acceso a directorios.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×