2020-, 2023- ja 2024-kanavasidonnan ja Windowsin LDAP-allekirjoitusvaatimukset (KB4520412)

Johdanto

LDAP-kanavasidonnan ja LDAP-allekirjoituksen avulla voit parantaa LDAP-asiakkaiden ja Active Directory -toimialueen ohjauskoneiden välisen viestinnän suojausta. Active Directory -toimialueen ohjauskoneissa on joukko epäluotettavia oletusmäärityksiä LDAP-kanavasidonnalle ja LDAP-allekirjoitukselle, joiden avulla LDAP-asiakkaat voivat viestiä heidän kanssaan ilman LDAP-kanavasidontaa ja LDAP-allekirjoitusta. Tämä voi avata Active Directory -toimialueen ohjauskoneet käyttöoikeuksien haavoittuvuuteen.

Tämä haavoittuvuus saattaa antaa keskitason hyökkääjälle mahdollisuuden välittää todennuspyyntö Microsoftin toimialueen palvelimeen, jota ei ole määritetty edellyttämään kanavan sitomista, allekirjoittamista tai sulkemista saapuville yhteyksille.

Microsoft suosittelee, että järjestelmänvalvojat tekevät ADV190023 kuvatut kovennusmuutokset.

10. maaliskuuta 2020 korjaamme tämän haavoittuvuuden tarjoamalla järjestelmänvalvojille seuraavat vaihtoehdot LDAP-kanavasidonnan määritysten koventamiseksi Active Directory -toimialueen ohjauskoneissa:

Toimialueen ohjauskone: LDAP-palvelimen kanavan sidontatunnusvaatimukset Ryhmäkäytäntö.
Channel Binding Tokens (CBT) -allekirjoitustapahtumat 3039, 3040 ja 3041 hakemistopalvelun tapahtumalokissa tapahtumatunnuksella Microsoft-Windows-Active Directory_DomainService.

Tärkeää: 10. maaliskuuta 2020 julkaistut päivitykset ja päivitykset lähitulevaisuudessa eivät muuta LDAP-allekirjoituksen tai LDAP-kanavan sidonnan oletuskäytäntöjä tai niiden rekisteriekvivalenttia uusissa tai olemassa olevissa Active Directory -toimialueen ohjauskoneissa.

LDAP-allekirjoituksen toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimusten käytäntö on jo olemassa kaikissa tuetuissa Windows-versioissa. Windows Server 2022:sta ja 23H2 Editionista alkaen kaikki uudet Windows-versiot sisältävät kaikki tämän artikkelin muutokset.

Syyt, miksi tämä muutos on tarpeen

Active Directory -toimialueen ohjauskoneiden suojausta voidaan parantaa merkittävästi määrittämällä palvelin hylkäämään SASL (Simple Authentication and Security Layer) LDAP -sidokset, jotka eivät pyydä allekirjoitusta (eheyden tarkistamista) tai hylkäämään LDAP-yksinkertaiset sidokset, jotka suoritetaan selkeällä tekstiyhteydellä (ei SSL/TLS-salattu). SASL:t voivat sisältää protokollia, kuten Negotiate, Kerberos, NTLM ja Digest.

Allekirjoittamaton verkkoliikenne on altis uusintatunnistushyökkäyksille, joissa tunkeutuja sieppaa todennusyrityksen ja lipun myöntämisen. Tunkeutuja voi käyttää lippua uudelleen ja tekeytyä asianmukaiseksi käyttäjäksi. Lisäksi allekirjoittamaton verkkoliikenne on altis mies-keskellä (MiTM) -hyökkäyksille, joissa tunkeilija sieppaa paketteja asiakkaan ja palvelimen välillä, muuttaa paketteja ja lähettää ne sitten palvelimeen. Jos näin tapahtuu Active Directory -toimialueen ohjauskoneessa, hyökkääjä voi saada palvelimen tekemään päätöksiä, jotka perustuvat LDAP-asiakasohjelman väärennettyihin pyyntöihin. LDAPS käyttää omaa erillistä verkkoporttia asiakasohjelmien ja palvelinten yhdistämiseen. LDAP:n oletusportti on portti 389, mutta LDAPS käyttää porttia 636 ja muodostaa SSL/TLS:n asiakasyhteyden muodostamisen yhteydessä.

Kanavan sidontatunnukset auttavat tekemään LDAP-todennuksesta SSL/TLS:n kautta turvallisemman mies-keskimmäisiä hyökkäyksiä vastaan.

10. maaliskuuta 2020 -päivitykset

Tärkeää 10. maaliskuuta 2020 julkaistut päivitykset eivät muuta LDAP-allekirjoituksen tai LDAP-kanavan sidonnan oletuskäytäntöjä tai niiden rekisterivastaavia uusia tai aiemmin luotuja Active Directory -toimialueen ohjauskoneita.

Windows-päivitykset, jotka julkaistaan 10. maaliskuuta 2020, lisäävät seuraavat ominaisuudet:

Uudet tapahtumat kirjataan LDAP-kanavasidontaan liittyvään Tapahtumienvalvonta. Katso lisätietoja näistä tapahtumista taulukosta 1 ja taulukosta 2 .
Uusi toimialueen ohjauskone: LDAP-palvelimen kanavan sidontatunnusvaatimukset ryhmäkäytäntö LDAP-kanavasidonnan määrittämiseksi tuetuissa laitteissa.

LDAP-allekirjoituskäytäntöasetusten ja rekisteriasetusten yhdistäminen sisältyy seuraavasti:

Käytäntöasetus: "Toimialueen ohjauskone: LDAP-palvelimen allekirjoitusvaatimukset"
Rekisteriasetus: LDAPServerIntegrity
Tietotyyppi: DWORD
Rekisteripolku: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ryhmäkäytäntö-asetus	Rekisteriasetus
Ei mikään	1
Edellytä allekirjoitusta	2

LDAP-kanavan sidontakäytäntöasetusten ja rekisteriasetusten yhdistäminen sisältyy seuraavasti:

Käytäntöasetus: "Toimialueen ohjauskone: LDAP-palvelimen kanavan sidontatunnusvaatimukset"
Rekisteriasetus: LdapEnforceChannelBinding
Tietotyyppi: DWORD
Rekisteripolku: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ryhmäkäytäntö-asetus	Rekisteriasetus
Ei koskaan	0
Kun tuettu	1
Aina	2

Taulukko 1: LDAP-allekirjoitustapahtumat

	Kuvaus	Laukaista
2886	Näiden toimialueen ohjauskoneiden suojausta voidaan parantaa merkittävästi määrittämällä palvelin LDAP-allekirjoituksen kelpoisuustarkistuksen varmistamiseksi.	Käynnistyy 24 tunnin välein käynnistyksen tai palvelun aloittamisen yhteydessä, jos ryhmäkäytäntö-asetuksena on Ei mitään. Kirjaamisen vähimmäistaso: 0 tai uudempi
2887	Näiden toimialueen ohjauskoneiden suojausta voidaan parantaa määrittämällä ne hylkäämään yksinkertaiset LDAP-sidontapyynnöt ja muut sidontapyynnöt, jotka eivät sisällä LDAP-allekirjoitusta.	Käynnistyy 24 tunnin välein, kun ryhmäkäytäntö-asetuksena on Ei mitään ja vähintään yksi suojaamaton sidos on suoritettu. Kirjaamisen vähimmäistaso: 0 tai uudempi
2888	Näiden toimialueen ohjauskoneiden suojausta voidaan parantaa määrittämällä ne hylkäämään yksinkertaiset LDAP-sidontapyynnöt ja muut sidontapyynnöt, jotka eivät sisällä LDAP-allekirjoitusta.	Käynnistyy 24 tunnin välein, kun ryhmäkäytäntö-asetuksena on Edellytä allekirjoitusta ja vähintään yksi suojaamaton sidos hylättiin. Kirjaamisen vähimmäistaso: 0 tai uudempi
2889	Näiden toimialueen ohjauskoneiden suojausta voidaan parantaa määrittämällä ne hylkäämään yksinkertaiset LDAP-sidontapyynnöt ja muut sidontapyynnöt, jotka eivät sisällä LDAP-allekirjoitusta.	Käynnistyy, kun asiakas ei käytä allekirjoitusta portin 389 istuntojen sidontaan. Kirjaamisen vähimmäistaso: 2 tai uudempi

Taulukko 2: CBT-tapahtumat

Tapahtuma	Kuvaus	Laukaista
3039	Seuraava asiakas suoritti LDAP-sidonnan SSL/TLS:n suhteen ja epäonnistui LDAP-kanavan sidontatunnuksen kelpoisuuden tarkistamisessa.	Käynnistyy seuraavissa tilanteissa: Kun asiakas yrittää sitoa väärin muotoillun CBT(Channel Binding Token) -tunnuksen, jos CBT-ryhmäkäytäntö arvoksi on määritetty Kun tuettu tai Aina. Kun kanavasidontakykyinen asiakas ei lähetä CBT:tä, jos CBT-ryhmäkäytäntö-asetuksena on Tuettu. Asiakas pystyy sitomaan kanavan, jos EPA-ominaisuus on asennettu tai käytettävissä käyttöjärjestelmässä eikä sitä ole poistettu käytöstä rekisteriasetuksen SuppressExtendedProtection kautta. Lisätietoja on artikkelissa KB5021989. Kun asiakas ei lähetä CBT:tä, jos CBT-ryhmäkäytäntö arvoksi on määritetty Aina. Kirjaamisen vähimmäistaso: 2
3040	Edellisen 24 tunnin aikana suoritettiin #suojaamattomia LDAP-sidoksia.	Käynnistyy 24 tunnin välein, kun CBT-ryhmäkäytäntö-asetuksena on Ei koskaan ja vähintään yksi suojaamaton sidos on suoritettu. Kirjaamisen vähimmäistaso: 0
3041	Tämän hakemistopalvelimen suojausta voidaan parantaa merkittävästi määrittämällä palvelin valvomaan LDAP-kanavan sidontatunnusten kelpoisuuden tarkistamista.	Käynnistyy 24 tunnin välein käynnistyksen tai palvelun aloittamisen yhteydessä, jos CBT-ryhmäkäytäntö-asetuksena on Ei koskaan. Kirjaamisen vähimmäistaso: 0

Jos haluat määrittää rekisterin kirjaamistason, käytä seuraavaa komentoa:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Lisätietoja Active Directoryn diagnostiikkatapahtumien kirjaamisen määrittämisestä on artikkelissa Active Directoryn ja LDS-diagnostiikkatapahtumien kirjaamisen määrittäminen.

8. elokuuta 2023 -päivitykset

Jotkin asiakaskoneet eivät voi käyttää LDAP-kanavan sidontatunnuksia active directory -toimialueen ohjauskoneisiin sitomiseen. Microsoft julkaisee suojauspäivityksen 8. elokuuta 2023. Windows Server 2022:ssa tämä päivitys lisää järjestelmänvalvojille asetuksia näiden asiakasohjelmien valvontaa varten. Voit ottaa CBT-tapahtumat 3074 ja 3075 käyttöön tapahtumalähteellä **Microsoft-Windows-ActiveDirectory_DomainService** Hakemistopalvelun tapahtumalokissa.

Tärkeää 8. elokuuta 2023 julkaistu päivitys ei muuta LDAP-allekirjoitusta, LDAP-kanavasidonnan oletuskäytäntöjä tai niiden rekisteriekvivalenttia uusissa tai olemassa olevissa Active Directory -tietokoneissa.

Kaikki maaliskuun 2020 päivitysosion ohjeet koskevat myös tätä. Uudet valvontatapahtumat edellyttävät yllä oleissa ohjeissa kuvattuja käytäntö- ja rekisteriasetuksia. On myös käyttöönottovaihe uusien valvontatapahtumien tarkastelemiseksi. Uudet käyttöönottotiedot ovat suositellut toiminnot -osiossa alla.

Taulukko 3: CBT-tapahtumat

Tapahtuma

Kuvaus

Laukaista

3074

Seuraava asiakas suoritti LDAP-sidonnan SSL/TLS:n kautta ja olisi epäonnistunut kanavan sidontatunnuksen kelpoisuuden tarkistamisessa, jos hakemistopalvelin olisi määritetty valvomaan Kanavan sidontatunnusten kelpoisuuden tarkistamista.

Käynnistyy seuraavissa tilanteissa:

Kun asiakas yrittää sitoa väärin muotoillun CBT (Channel Binding Token) -tunnuksen avulla

Kirjaamisen vähimmäistaso: 2

3075

Seuraava asiakas suoritti LDAP-sidonnan SSL/TLS:n suhteen eikä antanut kanavan sidontatietoja. Kun tämä hakemistopalvelin on määritetty valvomaan Channel Binding -tunnusten kelpoisuuden tarkistamista, tämä sidontatoiminto hylätään.

Käynnistyy seuraavissa tilanteissa:

Kun kanavasidontakykyinen asiakas ei lähetä CBT:tä
Asiakas pystyy sitomaan kanavan, jos EPA-ominaisuus on asennettu tai käytettävissä käyttöjärjestelmässä eikä sitä ole poistettu käytöstä rekisteriasetuksen SuppressExtendedProtection kautta. Lisätietoja on artikkelissa KB5021989.

Kirjaamisen vähimmäistaso: 2

Huomautus Kun määrität kirjaustasoksi vähintään 2, tapahtumatunnus 3074 kirjataan lokiin. Järjestelmänvalvojat voivat tämän avulla valvoa ympäristöä asiakkaille, jotka eivät käytä kanavan sidontatunnuksia. Tapahtumat sisältävät seuraavat diagnostiikkatiedot asiakkaiden tunnistamiseksi:

Client IP address: 192.168.10.5:62709
Käyttäjätiedot, jotka asiakas yritti todentaa seuraavasti:
CONTOSO\Järjestelmänvalvoja
Asiakas tukee kanavan sidontaa:EPÄTOSI
Asiakas sallittu tuetussa tilassa:TOSI
Valvontatulosmerkinnät:0x42

10. lokakuuta 2023 -päivitykset

Elokuussa 2023 lisätyt valvontamuutokset ovat nyt käytettävissä Windows Server 2019:ssä. Tässä käyttöjärjestelmässä tämä päivitys lisää järjestelmänvalvojille asetukset, joilla he voivat valvoa näitä asiakkaita. Voit ottaa CBT-tapahtumat 3074 ja 3075 käyttöön. Käytä tapahtumalähdettä **Microsoft-Windows-ActiveDirectory_DomainService** Hakemistopalvelun tapahtumalokissa.

Tärkeää 10. lokakuuta 2023 julkaistu päivitys ei muuta LDAP-allekirjoitusta, LDAP-kanavasidonnan oletuskäytäntöjä tai niiden rekisteriekvivalenttia uusissa tai olemassa olevissa Active Directory -tietokoneissa.

Kaikki maaliskuun 2020 päivitysosion ohjeet koskevat myös tätä. Uudet valvontatapahtumat edellyttävät yllä oleissa ohjeissa kuvattuja käytäntö- ja rekisteriasetuksia. On myös käyttöönottovaihe uusien valvontatapahtumien tarkastelemiseksi. Uudet käyttöönottotiedot ovat suositellut toiminnot -osiossa alla.

14. marraskuuta 2023 -päivitykset

Elokuussa 2023 lisätyt valvontamuutokset ovat nyt käytettävissä Windows Server 2022:ssa. Sinun ei tarvitse asentaa MSIs-ohjelmia tai luoda käytäntöjä suositeltujen toimintojen vaiheessa 3 kuvatulla tavalla.

9. tammikuuta 2024 -päivitykset

Lokakuussa 2023 lisätyt valvontamuutokset ovat nyt käytettävissä Windows Server 2019:ssä. Sinun ei tarvitse asentaa MSIs-ohjelmia tai luoda käytäntöjä suositeltujen toimintojen vaiheessa 3 kuvatulla tavalla.

Suositellut toimet

Suosittelemme asiakkaita tekemään seuraavat toimet mahdollisimman pian:

Varmista, että 10. maaliskuuta 2020 tai sitä uudemmat Windows-päivitykset on asennettu toimialueen ohjauskoneen (DC) roolitietokoneisiin. Jos haluat ottaa käyttöön LDAP-kanavan sidonnan valvontatapahtumat, varmista, että 8. elokuuta 2023 tai uudemmat päivitykset on asennettu Windows Server 2022: n tai Server 2019:n DCs-tietokoneisiin.
Ota LDAP-tapahtumien diagnostiikkalokiin kirjaaminen käyttöön vähintään 2.00 .
Ota elokuun 2023 tai lokakuun 2023 valvontatapahtumapäivitykset käyttöön ryhmäkäytäntö avulla. Voit ohittaa tämän vaiheen, jos olet asentanut marraskuun 2023 tai uudemmat päivitykset Windows Server 2022:een. Jos olet asentanut tammikuun 2024 tai uudemmat päivitykset Windows Server 2019:ään, voit myös ohittaa tämän vaiheen.
- Lataa kaksi käyttöönotto-MSI käyttöjärjestelmäversiota kohden Microsoft Download Centeristä:
- Laajenna msi asentaaksesi uudet ADMX-tiedostot, jotka sisältävät käytäntömääritykset. Jos käytät keskitettyä kauppaa ryhmäkäytäntö, kopioi ADMX-tiedostot Keskussäilöön.
- Käytä vastaavia käytäntöjä toimialueen ohjauskoneiden OU:ssa tai Server 2022: n tai Server 2019 DCs:n alijoukossa.
- Käynnistä dc uudelleen, jotta muutokset tulevat voimaan.
Valvo hakemistopalveluiden tapahtumalokia kaikissa DC-roolitietokoneissa, jotka on suodatettu:
- LDAP-allekirjoitusvirhetapahtuma 2889 taulukossa 1.
- LDAP Channel Binding failure event 3039 taulukossa 2.
- LDAP-kanavan sidonnan valvontatapahtumat 3074 ja 3075 taulukossa 3.
  
  Huomautus Tapahtumat 3039, 3074 ja 3075 voidaan luoda vain, kun Kanavan sidonta -asetuksena on Kun tuettu tai Aina.
Määritä laitteen merkki, malli ja tyyppi kullekin IP-osoitteelle, jonka mainitset:
- Tapahtuma 2889 allekirjoittamattomien LDAP-puheluiden soittamista varten
- Tapahtuma 3039, kun LDAP-kanavan sidontaa ei käytetä
- Tapahtuma 3074 tai 3075, koska LDAP-kanavan sidonta ei ole mahdollista

Laitetyypit

Ryhmittele laitetyypit yhteen luokista kolmeen:

Laite tai reititin -
- Ota yhteyttä laitepalveluntarjoajaan.
Laite, joka ei toimi Windows-käyttöjärjestelmässä -
- Varmista, että sekä LDAP-kanavasidonta että LDAP-allekirjoitus ovat tuettuja käyttöjärjestelmässä ja sovelluksessa. Tee tämä toimimalla käyttöjärjestelmän ja sovelluspalveluntarjoajan kanssa.
Laite, joka toimii Windows-käyttöjärjestelmässä -
- LDAP-allekirjoitus on kaikkien sovellusten käytettävissä kaikissa tuetuissa Windows-versioissa. Varmista, että sovellus tai palvelu käyttää LDAP-allekirjoitusta.
- LDAP-kanavasidonta edellyttää, että kaikkiin Windows-laitteisiin on asennettu CVE-2017-8563 . Varmista, että sovellus tai palvelu käyttää LDAP-kanavasidontaa.

Käytä paikallisia, etä-, yleis- tai laitekohtaisia jäljitystyökaluja. Näitä ovat esimerkiksi verkkokaappaukset, prosessien hallinta tai virheenkorjausjäljet. Määritä, suorittaako ydinkäyttöjärjestelmä, palvelu tai sovellus allekirjoittamattomia LDAP-sidoksia vai ei.

Käytä Windowsin tehtävienhallintaa tai vastaavaa prosessin tunnuksen yhdistämistä prosessien, palveluiden ja sovellusten nimien käsittelyyn.

Suojauspäivityksen aikataulu

10. maaliskuuta 2020 julkaistu päivitys lisäsi järjestelmänvalvojille ohjausobjekteja LDAP-kanavasidonnan ja LDAP-kirjautumisen määritysten koventamiseksi Active Directory -toimialueen ohjauskoneissa. 8. elokuuta ja 10. lokakuuta 2023 julkaistut päivitykset lisäävät järjestelmänvalvojille asetuksia asiakaskoneisiin, jotka eivät voi käyttää LDAP-kanavan sidontatunnuksia. Kehotamme asiakkaita ryhtymään tässä artikkelissa suositeltuihin toimiin mahdollisimman pian.

Tavoitepäivämäärä	Tapahtuma	Koskee seuraavia:
10. maaliskuuta 2020	Pakollinen: suojauspäivitys saatavilla Windows Update kaikissa tuetuissa Windows-ympäristöissä. Huomautus Windows-ympäristöissä, jotka eivät tue vakiota, tämä suojauspäivitys on saatavilla vain sovellettavien laajennettujen tukiohjelmien kautta. CVE-2017-8563 lisäsi LDAP-kanavasidonnan tuen Windows Server 2008:ssa ja sitä uudemmissa versioissa. Kanavan sidontatunnuksia tuetaan Windows 10 versiossa 1709 ja sitä uudemmissa versioissa. Windows XP ei tue LDAP-kanavasidontaa, ja se epäonnistui, kun LDAP-kanavasidonta määritetään aina-arvon avulla, mutta se toimisi yhdessä DCs-tietokoneiden kanssa, jotka on määritetty käyttämään LDAP-kanavan lievempää sidonta-asetusta , kun sitä tuetaan.	Windows Server 2022 Windows 10, versio 20H2 Windows 10, versio 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Extended Security Update (ESU))
8. elokuuta 2023	Lisää LDAP-kanavan sidonnan tunnusten valvontatapahtumat (3074 & 3075). Ne on oletusarvoisesti poistettu käytöstä Windows Server 2022:ssa.	Windows Server 2022
10. lokakuuta 2023	Lisää LDAP-kanavan sidonnan tunnusten valvontatapahtumat (3074 & 3075). Ne on oletusarvoisesti poistettu käytöstä Windows Server 2019:ssä.	Windows Server 2019
14. marraskuuta 2023	LDAP-kanavan sidontatunnusten valvontatapahtumat ovat käytettävissä Windows Server 2022:ssa asentamatta MSI-käyttöönottoa (suositeltujen toimintojen vaiheessa 3 kuvatulla tavalla).	Windows Server 2022
9. tammikuuta 2024	LDAP-kanavan sidonnan tunnusten valvontatapahtumat ovat käytettävissä Windows Server 2019:ssä asentamatta MSI-käyttöönottoa (suositeltujen toimintojen vaiheessa 3 kuvatulla tavalla).	Windows Server 2019

Usein kysytyt kysymykset

Vastauksia usein kysyttyihin kysymyksiin LDAP-kanavasidonnaisuudesta ja LDAP-allekirjoittamisesta Active Directory -toimialueen ohjauskoneissa on seuraavissa kysymyksissä: