2020, 2023 ja 2024 LDAP-kanali sidumise ja LDAP allkirjastamise nõuded Windowsi jaoks (KB4520412)

Sissejuhatus

LDAP-kanali sidumine ja LDAP-allkirjastamine pakuvad võimalusi LDAP-klientide ja Active Directory domeenikontrollerite vahelise suhtluse turvalisuse suurendamiseks. Active Directory domeenikontrollerites on komplekt ebaturvalistest vaikekonfiguratsioonidest LDAP-kanali sidumiseks ja LDAP-allkirjastamiseks, mis võimaldavad LDAP-klientidel nendega suhelda, jõustamata LDAP-kanali sidumist ja LDAP-allkirjastamist. See võib avada Active Directory domeenikontrollerid õiguste laiendamise nõrkusele.

See nõrkus võib lubada keskel ründajal edastada autentimistaotluse edukalt Microsofti domeeniserverisse, mis pole konfigureeritud nõudma sissetulevate ühenduste kanali sidumist, allkirjastamist või sulgemist.

Microsoft soovitab administraatoritel teha ADV190023 kirjeldatud raskendavaid muudatusi.

10. märtsil 2020 kõrvaldame selle nõrkuse, pakkudes administraatoritele järgmisi võimalusi LDAP-kanali sidumise konfiguratsioonide karmistamiseks Active Directory domeenikontrollerites:

Domeenikontroller: LDAP-serverikanali sidumisloa nõuded Rühmapoliitika.
Kanali sidumistõendid (CBT) allkirjastavad sündmusi 3039, 3040 ja 3041 sündmuse saatja Microsoft-Windows-Active Directory_DomainService kataloogiteenuse sündmuselogis.

NB! 10. märtsi 2020 värskendused ja värskendused lähitulevikus ei muuda LDAP-allkirja ega LDAP-kanali sidumise vaikepoliitikaid ega nende registriekvivalenti uutel või olemasolevatel Active Directory domeenikontrolleritel.

LDAP-allkirja domeenikontroller: LDAP-serveri allkirjastamisnõuete poliitika on kõigis Windowsi toetatud versioonides juba olemas. Alates versioonist Windows Server 2022, 23H2 Edition sisaldavad kõik Windowsi uued versioonid kõiki selles artiklis tehtud muudatusi.

Miks see muudatus on vajalik

Active Directory domeenikontrollerite turvalisust saab märkimisväärselt parandada, konfigureerides serveri hülgama lihtsa autentimise ja turbekihi (SASL) LDAP-sidumised, mis ei taotle allkirjastamist (tervikluskontrolli) või Hülgavad LDAP lihtsad sidumised, mis tehakse selge tekstiga (mitte-SSL/TLS-krüptitud). SASL võib sisaldada protokolle, nagu Negotiate'i, Kerberose, NTLM-i ja Digesti protokollid.

Allkirjastamata võrguliiklust kahtlustatakse taasesitusründena, kus sissetungija püüab kinni autentimise katse ja pileti väljastamise. Sissetungija saab taaskasutada piletit ja esineda päris kasutajana. Lisaks on allkirjastamata võrguliiklus vastuvõtlik keskmise suurusega (MiTM) rünnakutele, kus sissetungija jäädvustab kliendi ja serveri vahelisi pakette, muudab pakette ja saadab need seejärel serverisse. Kui see juhtub Active Directory domeenikontrolleris, võib ründaja panna serveri tegema otsuseid, mis põhinevad LDAP-kliendi võltsitud taotlustel. LDAPS kasutab klientide ja serverite ühendamiseks eraldi võrguporti. LDAP-i vaikeport on port 389, kuid LDAPS kasutab porti 636 ja loob kliendiga ühenduse loomisel SSL/TLS-i.

Kanali sidumistõendid aitavad muuta LDAP-autentimise SSL-i/TLS-i kaudu turvalisemaks inimkeskmise rünnakute vastu.

10. märtsi 2020 värskendused

Tähtis 10. märtsi 2020 värskendused ei muuda LDAP-allkirja ega LDAP-kanali sidumise vaikepoliitikaid ega nende registriekvivalenti uutel või olemasolevatel Active Directory domeenikontrolleritel.

Windowsi värskendused, mis antakse välja 10. märtsil 2020, lisavad järgmised funktsioonid.

Uued sündmused logitakse LDAP-kanali sidumise Sündmusevaatur. Nende sündmuste üksikasjad leiate tabelitest 1 ja 2 .
Uus domeenikontroller: LDAP-serveri kanali sidumisloa nõuded Rühmapoliitika konfigureerida LDAP-kanali sidumist toetatud seadmetes.

LDAP-allkirjapoliitika sätete ja registrisätete vaheline vastendus on järgmine.

Poliitikasäte: "Domeenikontroller: LDAP-serveri allkirjastamisnõuded"
Registrisäte: LDAPServerIntegrity
Andmetüüp: DWORD
Registritee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Rühmapoliitika säte	Registrisäte
Pole	1
Nõua allkirjastamist	2

LDAP-kanali sidumispoliitika sätete ja registrisätete vastendus on järgmised.

Poliitikasäte: "Domain controller: LDAP server channel binding token requirements"
Registrisäte: LdapEnforceChannelBinding
Andmetüüp: DWORD
Registritee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Rühmapoliitika säte	Registrisäte
Mitte kunagi	0
Kui seda toetatakse	1
Alati	2

Tabel 1: LDAP-allkirjasündmused

	Kirjeldus	Vallandada
2886	Nende domeenikontrollerite turvalisust saab oluliselt parandada, konfigureerides serveri LDAP-allkirja valideerimise jõustamiseks.	Käivitatakse iga 24 tunni järel käivitamisel või teenuse käivitamisel, kui Rühmapoliitika on seatud väärtusele Pole. Minimaalne logimistase: 0 või suurem
2887	Nende domeenikontrollerite turvalisust saab parandada, konfigureerides need Hülgama lihtsad LDAP-sidumistaotlused ja muud sidumistaotlused, mis ei sisalda LDAP-allkirjastamist.	Käivitatakse iga 24 tunni järel, kui Rühmapoliitika väärtuseks on seatud Pole ja lõpule on viidud vähemalt üks kaitsmata sidumine. Minimaalne logimistase: 0 või suurem
2888	Nende domeenikontrollerite turvalisust saab parandada, konfigureerides need Hülgama lihtsad LDAP-sidumistaotlused ja muud sidumistaotlused, mis ei sisalda LDAP-allkirjastamist.	Käivitatakse iga 24 tunni järel, kui Rühmapoliitika on seatud väärtusele Nõua allkirjastamist ja vähemalt üks kaitsmata sidumine lükati tagasi. Minimaalne logimistase: 0 või suurem
2889	Nende domeenikontrollerite turvalisust saab parandada, konfigureerides need Hülgama lihtsad LDAP-sidumistaotlused ja muud sidumistaotlused, mis ei sisalda LDAP-allkirjastamist.	Käivitatakse siis, kui klient ei kasuta port 389 seansside sidumiseks allkirjastamist. Minimaalne logimistase: 2 või uuem

Tabel 2: CBT sündmused

Sündmus	Kirjeldus	Vallandada
3039	Järgmine klient sooritas SSL-i/TLS-i kaudu LDAP-sidumise ja nurjus LDAP-kanali sidumisloa valideerimine.	Käivitatud ühel järgmistest asjaoludest: Kui klient proovib siduda valesti vormindatud kanali sidumistõendiga (CBT), kui CBT Rühmapoliitika on määratud väärtuseks Toetatud või Alati. Kui klient, kes saab kanali sidumist, ei saada CBT,kui CBT Rühmapoliitika on seatud väärtusele Toetatud. Klient saab kanali siduda, kui EPA funktsioon on installitud või saadaval operatsioonisüsteemis ja seda ei keelata registrisätte SuppressExtendedProtection kaudu. Lisateavet leiate teemast KB5021989. Kui klient ei saada CBT-i, kui CBT Rühmapoliitika on seatud väärtusele Alati. Minimaalne logimistase: 2
3040	Eelmise 24 tunni jooksul sooritati kaitsmata LDAP-de arv.	Käivitatakse iga 24 tunni järel, kui CBT Rühmapoliitika väärtuseks on seatud Mitte kunagi ja vähemalt üks kaitsmata sidumine on lõpule viidud. Minimaalne logimistase: 0
3041	Selle kataloogiserveri turvalisust saab oluliselt parandada, konfigureerides serveri LDAP-kanali sidumislubade valideerimise jõustamiseks.	Käivitatakse iga 24 tunni järel, kui CBT Rühmapoliitika on määratud väärtuseks Never (Mitte kunagi). Minimaalne logimistase: 0

Logimistaseme määramiseks registris kasutage käsku, mis sarnaneb järgmisega:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Lisateavet Active Directory diagnostikasündmuste logimise konfigureerimise kohta leiate teemast Active Directory ja LDS-i diagnostikasündmuse logimise konfigureerimine.

8. augusti 2023 värskendused

Mõni klientarvuti ei saa kasutada LDAP-kanali sidumissõnesid Active Directory domeenikontrolleritega (DCs) sidumiseks. Microsoft annab turbevärskenduse välja 8. augustil 2023. Windows Server 2022 korral lisab see värskendus administraatoritele võimaluse neid kliente auditeerida. Saate lubada CBT sündmused 3074 ja 3075 sündmuseallikaga **Microsoft-Windows-ActiveDirectory_DomainService** kataloogiteenuse sündmuselogis.

Tähtis 8. augusti 2023 värskendus ei muuda LDAP-allkirjastamist, LDAP-kanali sidumise vaikepoliitikaid ega nende registriekvivalenti uutes või olemasolevates Active Directory DCdes.

Siin kehtivad ka kõik 2020. aasta märtsi värskenduste jaotises toodud juhised. Uute auditisündmuste jaoks on vaja ülaltoodud juhistes kirjeldatud poliitika- ja registrisätteid. Uute auditisündmuste vaatamiseks on olemas ka lubamise etapp. Uue rakendamise üksikasjad leiate allpool jaotisest Soovitatavad toimingud.

Tabel 3: CBT sündmused

Sündmus

Kirjeldus

Vallandada

3074

Järgmine klient sooritas SSL/TLS-i kaudu LDAP-sidumise ja oleks nurjunud kanali sidumisloa valideerimine, kui kataloogiserver on konfigureeritud jõustama kanali sidumise lubade valideerimist.

Käivitatud ühel järgmistest asjaoludest:

Kui klient proovib siduda valesti vormindatud kanali sidumistõendiga (CBT)

Minimaalne logimistase: 2

3075

Järgmine klient sooritas SSL-i/TLS-i kaudu LDAP-sidumise ega esitanud kanali sidumise teavet. Kui see kataloogiserver on konfigureeritud jõustama kanali sidumislubade valideerimist, siis see sidumistoiming hüljatakse.

Käivitatud ühel järgmistest asjaoludest:

Kui klient, kes on võimeline kanali siduma, ei saada CBT
Klient saab kanali siduda, kui EPA funktsioon on installitud või saadaval operatsioonisüsteemis ja seda ei keelata registrisätte SuppressExtendedProtection kaudu. Lisateavet leiate teemast KB5021989.

Minimaalne logimistase: 2

Märkus Kui määrate logimistasemeks vähemalt 2, logitakse sündmuse ID 3074. Administraatorid saavad seda kasutada nende klientide keskkonna auditeerimiseks, kes ei tööta kanali sidumislubadega. Sündmused sisaldavad klientide tuvastamiseks järgmist diagnostikateavet:

Client IP address: 192.168.10.5:62709
Identiteet, mida klient proovis autentida järgmiselt:
CONTOSO\Administraator
Klient toetab kanali sidumist:FALSE
Klient on lubatud toetatud režiimis:TRUE
Audititulemite lipud:0x42

10. oktoobri 2023 värskendused

2023. aasta augustis lisatud auditeerimismuudatused on nüüd saadaval opsüsteemis Windows Server 2019. Selle operatsioonisüsteemi jaoks lisab see värskendus suvandid administraatoritele nende klientide auditeerimiseks. Saate lubada CBT sündmused 3074 ja 3075. Kasutage kataloogiteenuse sündmuselogis sündmuseallikat **Microsoft-Windows-ActiveDirectory_DomainService**.

Tähtis 10. oktoobri 2023 värskendus ei muuda LDAP-allkirjastamist, LDAP-kanali sidumise vaikepoliitikaid ega nende registriekvivalenti uutes või olemasolevates Active Directory DCdes.

Siin kehtivad ka kõik 2020. aasta märtsi värskenduste jaotises toodud juhised. Uute auditisündmuste jaoks on vaja ülaltoodud juhistes kirjeldatud poliitika- ja registrisätteid. Uute auditisündmuste vaatamiseks on olemas ka lubamise etapp. Uue rakendamise üksikasjad leiate allpool jaotisest Soovitatavad toimingud.

14. novembri 2023 värskendused

2023. aasta augustis lisatud auditeerimismuudatused on nüüd saadaval opsüsteemis Windows Server 2022. Te ei pea MSI-sid installima ega poliitikaid looma, nagu on kirjeldatud soovitatud toimingute juhises 3.

9. jaanuari 2024 värskendused

2023. aasta oktoobris lisatud auditeerimismuudatused on nüüd saadaval opsüsteemis Windows Server 2019. Te ei pea MSI-sid installima ega poliitikaid looma, nagu on kirjeldatud soovitatud toimingute juhises 3.

Soovitatud tegevused

Soovitame klientidel esimesel võimalusel teha järgmist.

Veenduge, et 10. märtsi 2020 või uuemad Windowsi värskendused oleksid installitud domeenikontrolleri rolliarvutitesse. Kui soovite lubada LDAP-kanali sidumise auditisündmused, veenduge, et Windows Server 2022 või Server 2019 DC-desse installitaks 8. augusti 2023 või uuemad värskendused.
LDAP-sündmuste diagnostikalogimise lubamine 2 või uuemale versioonile.
Lubage Rühmapoliitika abil 2023. aasta augusti või 2023. aasta oktoobri auditisündmuse värskendused. Võite selle toimingu vahele jätta, kui olete installinud Windows Server 2022 2023. aasta novembri või uuemad värskendused. Kui olete Windows Server 2019 installinud 2024. aasta jaanuari või uuemad värskendused, võite selle toimingu ka vahele jätta.
- Laadige Microsofti allalaadimiskeskusest alla kaks operatsioonisüsteemi versiooni lubamise MPI-d:
- Poliitikamääratlusi sisaldavate uute ADMX-failide installimiseks laiendage MSI-d. Kui kasutate Rühmapoliitika jaoks Keskset poodi, kopeerige ADMX-failid Kesksalve.
- Rakendage vastavad poliitikad oma domeenikontrollerite OU-le või server 2022 või Server 2019 DCde alamhulgale.
- Muudatuste jõustumiseks taaskäivitage DC.
Jälgige kataloogiteenuste sündmuselogi kõigis DC rolliarvutites, mille jaoks on filtreeritud:
- LDAP allkirjastamise nurjumise sündmus 2889 tabelis 1.
- LDAP-kanali sidumise nurjumise sündmus 3039 tabelis 2.
- LDAP-kanali sidumise auditisündmused 3074 ja 3075 tabelis 3.
  
  Märkus Sündmusi 3039, 3074 ja 3075 saab genereerida ainult siis, kui kanali sidumine on määratud väärtuseks Toetatud või Alati.
Tehke iga tsiteeritud IP-aadressi jaoks kindlaks seadme tee, mudel ja tüüp.
- Sündmus 2889 allkirjastamata LDAP-kõnede tegemiseks
- Sündmus 3039, mis ei kasuta LDAP-kanali sidumist
- Sündmus 3074 või 3075, kuna LDAP-kanali sidumine pole võimalik

Seadmetüübid

Rühmitage seadmetüübid 1 kolmest kategooriast:

Seade või ruuter -
- Pöörduge seadme pakkuja poole.
Seade, mis ei tööta Windowsi operatsioonisüsteemis –
- Veenduge, et nii LDAP-kanali sidumine kui ka LDAP-allkirjastamine oleks opsüsteemis ja rakenduses toetatud. Selleks tehke koostööd operatsioonisüsteemi ja rakenduse pakkujaga.
Seade, mis töötab Windowsi operatsioonisüsteemis –
- LDAP-allkirjastamine on saadaval kõigi rakenduste jaoks kõigis Windowsi toetatud versioonides. Veenduge, et teie rakendus või teenus kasutaks LDAP-allkirjastamist.
- LDAP-kanali sidumiseks peab kõigis Windowsi seadmetes olema installitud CVE-2017-8563 . Veenduge, et teie rakendus või teenus kasutaks LDAP-kanali sidumist.

Kasutage kohalikke, kaug-, üld- või seadmekohaseid jälgimistööriistu. Nende hulka kuuluvad võrguhõived, protsessihaldur või silumisjälgimised. Tehke kindlaks, kas põhioperatsioonisüsteem, teenus või rakendus teostab allkirjastamata LDAP-d või ei kasuta CBT-d.

Kasutage Windowsi tegumihaldurit või samaväärset funktsiooni protsessi ID vastendamiseks protsessi, teenuse ja rakenduse nimedega.

Turbevärskenduse ajakava

2020. aasta 10. märtsi värskendusega lisati administraatoritele juhtelemendid LDAP-kanali sidumise ja LDAP-allkirja konfiguratsioonide karmistamiseks Active Directory domeenikontrollerites. 8. augustil ja 10. oktoobril 2023 lisatud värskendused lisavad administraatoritele suvandid selliste klientarvutite auditeerimiseks, mis ei saa kasutada LDAP-kanali sidumissõnesid. Soovitame klientidel selles artiklis soovitatud toiminguid teha esimesel võimalusel.

Sihitav aeg	Sündmus	Kehtib järgmisele:
10. märts 2020	Nõutav. Turbevärskendus on saadaval Windows Update kõigi toetatud Windowsi platvormide jaoks. Märkus Windowsi platvormide jaoks, mille standardtugi on otsas, on see turbevärskendus saadaval ainult kohaldatavate pikendatud toe programmide kaudu. CVE-2017-8563 lisas LDAP-kanali sidumise toe Windows Server 2008 ja uuemates versioonides. Kanali sidumistõendid on toetatud Windows 10 versioonis 1709 ja uuemates versioonides. Windows XP ei toeta LDAP-kanali sidumist ja nurjub, kui LDAP-kanali sidumine on konfigureeritud väärtuse Always (Alati) abil, kuid interopereeriks DC-dega, mis on konfigureeritud kasutama LDAP-kanali sidumise lõdvemat sätet When support (Kui seda toetatakse).	Windows Server 2022 Windows 10, versioon 20H2 Windows 10, versioon 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (pikendatud turbevärskendus (ESU))
8. august 2023	Lisab LDAP-kanali sidumisloa auditisündmused (3074 & 3075). Need on Windows Server 2022-s vaikimisi keelatud.	Windows Server 2022
10. oktoober 2023	Lisab LDAP-kanali sidumisloa auditisündmused (3074 & 3075). Need on Windows Server 2019-s vaikimisi keelatud.	Windows Server 2019
14. november 2023	LDAP-kanali sidumislubade auditeerimise sündmused on saadaval Windows Server 2022-s ilma lubamise MSI-d installimata (kirjeldatud soovitatud toimingute juhises 3).	Windows Server 2022
9. jaanuar 2024	LDAP-kanali sidumislubade auditisündmused on saadaval windows Server 2019-s ilma lubamise MSI-d installimata (kirjeldatud soovitatud toimingute juhises 3).	Windows Server 2019

Korduma kippuvad küsimused

Vastused korduma kippuvatele küsimustele LDAP-kanali sidumise ja LDAP-allkirja kohta Active Directory domeenikontrollerites leiate järgmistest teemadest.