Introduction

La reliure de canal LDAP et la signature LDAP permettent d’augmenter la sécurité des communications entre les clients LDAP et les contrôleurs de domaine Active Directory. Il existe un ensemble de configurations par défaut non sûres pour la reliure de canal LDAP et la signature de LDAP sur des contrôleurs de domaine Active Directory qui permet aux clients LDAP de communiquer avec eux sans appliquer la liaison de canal LDAP et la signature LDAP. Cela peut ouvrir les contrôleurs de domaine Active Directory à une élévation de la vulnérabilité des privilèges.

Cette vulnérabilité peut permettre à un pirate informatique au milieu de transfert avec succès d’une demande d’authentification vers un serveur de domaine Microsoft qui n’a pas été configuré de manière à exiger la reliure, la signature ou l’authentification de canaux entrants.

Microsoft recommande aux administrateurs d’apporter les modifications d’direction décrites dans ADV190023.

Le 10 mars 2020, nous abordons cette vulnérabilité en fournissant aux administrateurs les options suivantes pour lier la liaison du canal LDAP aux contrôleurs de domaine Active Directory :

  • Contrôleur de domaine : exigences de jeton de liaison du canal du serveur LDAP Stratégie de groupe.

  • Événements de signature de jetons de liaison de canal 3039, 3040 et 3041 avec l’expéditeur d’événements Microsoft-Windows-Active Directory_DomainService dans le journal des événements du service d’annuaire.

Important : les mises à jour et mises à jour du 10 mars 2020, très prévisibles à l’avenir, ne modifieront pas les stratégies de liaison par défaut de canal LDAP ou leur équivalent de Registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

Contrôleur de domaine de signature LDAP : la stratégie des exigences de signature de serveur LDAP existe déjà dans toutes les versions d’Windows.

Pourquoi cette modification est nécessaire

La sécurité des contrôleurs de domaine Active Directory peut être considérablement améliorée en configurant le serveur de manière à rejeter le LDAP SASL (Simple Authentication and Security Layer) qui ne demande pas de signature (vérification de l’intégrité) ou de rejet des liaisons simples LDAP effectuées sur une connexion de texte clair (non chiffrée SSL/TLS). Les protocoles SASL peuvent inclure des protocoles tels que Les protocoles Négociation, Kerberos, NTLM et Digest.

Le trafic réseau non signé est susceptible de relire des attaques au cours des lesquelles une tentative d’authentification est interceptée et l’émission d’un ticket. L’accès peut réutiliser le ticket pour usurper l’identité de l’utilisateur légitime. En outre, le trafic réseau non signé est susceptible d’être exposés aux attaques man-in-the-middle (MiTM) dans lesquelles un groupe capture les paquets entre le client et le serveur, modifie les paquets, puis les oriente vers le serveur. Si cela se produit sur un contrôleur de domaine Active Directory, un pirate informatique peut entraîner la prise de décisions par un serveur en fonction de demandes falsifiée du client LDAP. Le LDAPS utilise son propre port réseau distinct pour connecter des clients et des serveurs. Le port par défaut pour LDAP est le port 389, mais il utilise le port 636 et établit SSL/TLS lors de la connexion avec un client.

Les jetons de liaison de canal aident à sécuriser davantage l’authentification LDAP sur SSL/TLS par rapport aux attaques de l’homme au milieu.

Mises à jour du 10 mars 2020

Important Les mises à jour du 10 mars 2020 ne modifient pas la signature LDAP ou les stratégies par défaut de liaison de canal LDAP ou leur équivalent de Registre sur les contrôleurs de domaine Active Directory nouveaux ou existants.

Windows mises à jour qui doivent être publiées le 10 mars 2020 ajoutent les fonctionnalités suivantes :

  • Les nouveaux événements sont enregistrés dans la visionneuse d’événements liée à la liaison de canal LDAP. Pour plus d’informations sur ces événements, voir Tableau 1 et Tableau 2 .

  • Un nouveau contrôleur de domaine : exigences de jeton de liaison de canal du serveur LDAP pour configurer la liaison de canal LDAP sur les appareils pris en charge.

Le mappage entre les paramètres de stratégie de signature LDAP et les paramètres de Registre est inclus comme suit :

  • Paramètre de stratégie : « Contrôleur de domaine : exigences de signature du serveur LDAP »

  • Paramètre du Registre : LDAPServerIntegrity

  • Type de données : DWORD

  • Chemin d’accès du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Paramètre de stratégie de groupe

Paramètre du Registre

Aucune

1

Exiger la signature

2

Le mappage entre les paramètres de stratégie de liaison de canal LDAP et les paramètres de Registre est inclus comme suit :

  • Paramètre de stratégie : « Contrôleur de domaine : exigences de jeton de liaison du canal du serveur LDAP »

  • Paramètre du Registre : LdapEnforceChannelBinding

  • Type de données : DWORD

  • Chemin d’accès du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Paramètre de stratégie de groupe

Paramètre du Registre

Jamais

0

En cas de prise en charge

1

Toujours

2


Tableau 1 : événements de signature LDAP

Description

Déclencheur

2886

La sécurité de ces contrôleurs de domaine peut être considérablement améliorée en configurant le serveur de manière à appliquer la validation de la signature LDAP.

Déclenché toutes les 24 heures au démarrage ou au démarrage du service si la stratégie de groupe est définie sur Aucune. Niveau de journalisation minimum : 0 ou plus

2887

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant de manière à rejeter les demandes lier simples LDAP et autres demandes lier qui n’incluent pas la signature LDAP.

Déclenché toutes les 24 heures lorsque la stratégie de groupe est définie sur Aucune et qu’au moins une liaison non protégée a été terminée. Niveau de journalisation minimum : 0 ou plus

2888

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant de manière à rejeter les demandes lier simples LDAP et autres demandes lier qui n’incluent pas la signature LDAP.

Déclenché toutes les 24 heures lorsque la stratégie de groupe est définie sur Exiger la signature et qu’au moins un lien non protégé a été rejeté. Niveau de journalisation minimum : 0 ou plus

2889

La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant de manière à rejeter les demandes lier simples LDAP et autres demandes lier qui n’incluent pas la signature LDAP.

Déclenché lorsqu’un client n’utilise pas la signature pour les binds sur les sessions sur le port 389. Niveau de journalisation minimum : 2 ou plus

Tableau 2 : événements C INF

Événement

Description

Déclencheur

3039

Le client suivant a effectué une liaison LDAP sur SSL/TLS et a échoué la validation de jeton de liaison de canal LDAP.

Déclenché dans les circonstances suivantes :

  • Lorsqu’un client tente de se lier avec un jeton de liaison de canal mal mis en forme (C INTX) si la stratégie de groupe C INF est définie sur Quand cette stratégie est prise en charge ouToujours.

  • Lorsqu’un client capable de reliure de canal n’envoie pas de C INF si la stratégie de groupe C INF est définie sur Quand elle est prise en charge. L’client  est la liaison de canal capable si la fonctionnalité ANSE est installée ou disponible dans le système d’exploitation et n’est pas désactivée via le paramètre du Registre SuppressExtendedProtection.

  • Lorsqu’un client n’envoie pas de C DONNER si la stratégie de groupe C INF est définie sur Toujours.

Niveau de journalisation minimum : 2

3040

Au cours de la période de 24 heures précédente, # des liaisons PDA non protégées ont été effectuées.

Déclenché toutes les 24 heures lorsque la stratégie de groupe C INF est définie sur Jamais et qu’au moins une liaison non protégée a été terminée. Niveau de journalisation minimum : 0

3041

La sécurité de ce serveur d’annuaire peut être considérablement améliorée en configurant le serveur pour appliquer la validation des jetons de liaison de canal LDAP.

Déclenché toutes les 24 heures au démarrage ou au démarrage du service si la stratégie de groupe C INF est définie sur Jamais. Niveau de journalisation minimum : 0


Pour définir le niveau de journalisation dans le Registre, utilisez une commande qui ressemble à ce qui suit :

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v « 16 LDAP Interface Events » /t REG_DWORD /d 2

Pour plus d’informations sur la configuration de la journalisation des événements de diagnostic Active Directory, consultez l’article suivant dans la Base de connaissances Microsoft :

314980 Configurer la journalisation des événements de diagnostic Active Directory et LDS

Actions recommandées

Nous conseillons vivement aux clients de suivre les étapes suivantes dès que possible :

  1. Installez les mises à jour du 10 mars 2020 Windows des ordinateurs de rôle du contrôleur de domaine (DC) lors de leur publication.

  2. Activez la journalisation de diagnostic des événements LDAP à 2 ou une valeur supérieure.

  3. Surveiller le journal des événements des services d’annuaire sur tous les ordinateurs rôles DC filtrés pour :

    • LDAP Signing failure event 2889 listed in Table 1.

    • LDAP Channel Binding failure event 3039 in Table 2.

      Remarque L’événement 3039 ne peut être généré que lorsque la liaison de canal est définie sur Quand pris en charge ou Toujours.

  4. Identifiez la rendre, le modèle et le type d’appareil pour chaque adresse IP citée par l’événement 2889 comme faisant des appels LDAP non signés ou par 3039 événements comme n’utilisant pas la liaison de canal LDAP.

Groupez les types d’appareils en 1 sur 3 catégories :

  1. Appliance ou routeur

    • Contactez le fournisseur de l’appareil.

  2. Appareil qui ne s’exécute pas sur un Windows d’exploitation

    • Vérifiez que la liaison de canal LDAP et la signature LDAP sont toutes deux prise en charge sur le système d’exploitation, puis sur l’application en travaillant avec le système d’exploitation et le fournisseur d’application.

  3. Appareil qui s’exécute sur un Windows d’exploitation

    • La signature LDAP est disponible pour toutes les applications sur toutes les versions d’Windows. Vérifiez que votre application ou service utilise la signature LDAP.

    • La liaison de canal LDAP nécessite que tous les Windows doivent être installés sur CVE-2017-8563. Vérifiez que votre application ou service utilise la liaison de canal LDAP.

Utilisez les outils de suivi locaux, distants, génériques ou spécifiques de l’appareil, notamment les captures réseau, le gestionnaire de processus ou les traces de débogage pour déterminer si le système d’exploitation principal, un service ou une application effectue des liaisons LDAP non signées ou n’utilise pas le contrôle d’accès client.

Utilisez Windows Gestionnaire des tâches ou un équivalent pour ma propres ID de processus pour le traitement, le service et le nom des applications.

Planning des mises à jour de sécurité

Les mises à jour du 10 mars 2020 fourniront des contrôles pour que les administrateurs se conforment aux configurations de la liaison de canal LDAP et de la signature LDAP sur les contrôleurs de domaine Active Directory. Nous conseillons vivement aux clients de prendre les actions recommandées dans cet article au plus tôt.

Date cible

Événement

S’applique à

10 mars 2020

Obligatoire : Mise à jour de sécurité disponible Windows jour pour toutes les plateformes Windows prise en charge.

Remarque Pour Windows plateformes dont le support standard n’est plus disponible, cette mise à jour de sécurité ne sera disponible que par le biais des programmes de support étendus applicables.

La prise en charge de la liaison de canal LDAP a été ajoutée par CVE-2017-8563 sur Windows Server 2008 et versions ultérieures. Les jetons de liaison de canal sont pris en Windows 10, version 1709 et ultérieures.

Windows XP ne prend pas en charge la reliure de canal LDAP et échouerait lorsque la liaison de canal LDAP était configurée à l’aide d’une valeur de Toujours, mais interopérable avec des PC configurés pour utiliser le paramètre de liaison de canal LDAP plus calme une fois pris en charge.

Windows 10, version 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Mise à jour de sécurité étendue (ESU))

Forum Aux Questions

Pour obtenir des réponses aux questions les plus fréquemment posées sur la reliure de canal LDAP et la signature LDAP sur les contrôleurs de domaine Active Directory, voir Les questions fréquemment posées sur les modifications apportées au protocole d’accès à l’annuaire léger.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×