כריכת ערוץ 2020‎ LAPD‎ ודרישת חתימת LDAP עבור Windows

סיכום

כריכת ערוץ LDAP וכן חתימת LDAP מספקים דרכים לשיפור האבטחה של תקשורת ברשת בין Active Directory Domain Services (AD DS) או Active Directory Lightweight Directory Services ‏(AD LDS) ולקוחותיה. קיימת פגיעות בתצורת ברירת המחדל של Lightweight Directory Access Protocol (‏LDAP) ולכן כריכת הערוץ וחתימת LDAP עשויות לחשוף בקרי Active Directory Domain להגדלת פגיעויות של הרשאות. Microsoft Security Advisory ‏ADV190023 מטפל בבעיה באמצעות המלצה למנהלי המערכת להפעיל כריכת ערוץ LDAP וחתימת LAPD בבקרי Active Directory Domain. יש לבצע הקשחה זו באופן ידני עד שמהדורת האבטחה תאפשר לבצע הגדרות אלה כברירת מחדל. 

Microsoft מתכוונת לשחרר עדכון אבטחה ב- Windows update כדי לאפשר שינויי הקשחה של כריכת ערוץ LDAP וכן חתימת LDAP וצופה שעדכון זה יהיה זמין במרץ 2020.

מדוע יש צורך בשינוי זה

Microsoft ממליצה למנהלי מערכת לבצע את שינויי הקשחה המתוארים ב- ADV190023 מכיוון שכשמשתמשים בהגדרות ברירת מחדל, קיים גידול של הפגיעות ברמת הרשאות ב- Microsoft Windows שעלול לאפשר לפורץ ברמה בינונית להעביר בהצלחה את בקשת האימות לשרת Windows LDAP, כגון מערכת שמפעילה AD DS או AD LDS, שתצורתה לא נקבעה לצורך חתימה או סגירה בהתקשרויות נכנסות.  האבטחה של שרת ספריות יכולה להשתפר באופן משמעותי באמצעות קביעת התצורה של השרת כדי לדחות אימות פשוט וכריכות LDAP של שכבות אבטחה (SASL) שאינם מבקשים חתימה (אימות תקינות) או כדי לדחות כריכות LDAP פשוטות שמבוצעות בחיבור טקסט ברור (ללא הצפנת SSL/TLS). רכיבי SASL עשויים לכלול פרוטוקולים כגון Negotiate, ‏Kerberos, ‏NTLM ו- Digest. תעבורת רשת לא חתומה פגיעה לתקיפות חוזרות שבהן פורץ מיירט את ניסיון האימות ואת הנפקת הכרטיס. הפורץ יכול לעשות שימוש חוזר בכרטיס כדי להתחזות למשתמש לגיטימי. בנוסף, תעבורת רשת לא חתומה חשופה להתקפות של מתווכים שבהן פורץ לוכד מנות בין הלקוח והשרת, משנה אותן ולאחר מכן מעביר אותן אל השרת. אם הדבר מתרחש בשרת LDAP, התוקף יכול לגרום לשרת לקבל החלטות שמבוססות על בקשות מזויפות מלקוח LDAP.

פעולות מומלצות

אנו ממליצים למנהלי מערכת להפעיל כריכת ערוץ LDAP וחתימת LDAP בין זמן זה ועד למרץ 2020 כדי למצוא ולתקן כל מערכת הפעלה, אפליקציה או בעיית תאימות המכשירים המתווכים בסביבותיהם. אם נמצאה בעיית תאימות כלשהי, מנהלי המערכת יצטרכו ליצור קשר עם היצרן של מערכת ההפעלה, האפליקציה או המכשיר הספציפיים לקבלת לתמיכה.

חשוב כל גרסה של מערכת הפעלה, אפליקציה ומכשיר מתווך שמבצעים בדיקת גורם מתווך בתעבורת LDAP צפויים להיות מושפעים משינוי הקשחה זה.

מועד עדכון אבטחה

Microsoft מכוונת ללוח הזמנים הבא כדי להפוך את התמיכה באיגוד ערוץ LDAP ובחתימת LDAP לזמין. לתשומת לבך, ציר הזמן להלן כפוף לשינויים. אנו נעדכן דף זה כשהתהליך יחל ובהתאם לצורך.

תאריך יעד

‏‏אירוע

חל על

13 באוגוסט 2019

בצע פעולה: Microsoft Security Advisory ADV190023 פורסם כדי להציג את התמיכה באיגוד ערוץ LDAP ובחתימת LDAP. מנהלי מערכת יצטרכו לבדוק הגדרות אלה בסביבותיהם לאחר ביצוע התאמות ידניות בשרתים שלהם.

Windows Server 2008 SP2,
Windows 7 SP1,
Windows Server 2008 R2 SP1, 
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
גרסה 1709 של Windows 10,
גרסה 1803 של Windows 10,
גרסה 1809 של Windows 10,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

מרץ 2020

נדרש : עדכון אבטחה זמין ב- Windows Update עבור כל הפלטפורמות הנתמכות של Windows שיהפכו את איגוד ערוץ LDAP וחתימת LDAP בשרתי Active Directory לזמינים כברירת מחדל.

הערה עבור פלטפורמות Windows שאינן כלולות בתמיכה רגילה, עדכון אבטחה זה יהיה זמין רק באמצעות תוכניות התמיכה המורחבת הישימות.

Windows Server 2008 SP2 (עדכון אבטחה מורחב (ESU)) ,
ב- Windows 7 SP1 (ESU),
שרת Windows Server 2008 R2 SP1 (ESU),
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
גרסה 1709 של Windows 10,
גרסה 1803 של Windows 10,
גרסה 1809 של Windows 10,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

שאלות נפוצות

על סמך משוב ש- Microsoft קיבלה, לקוחות מעדיפים שנפרסם את העדכון לאחר חגי סוף השנה ב- 2019. מנהלי מערכת רבים מגבילים את שינויי התצורה לתקופת החגים. מנהלי מערכת גם יזדקקו לפרק זמן מסוים כדי לבדוק את שינויי התצורה האלה ולהתאים את סביבותיהם בהתאם לצורך כדי לתמוך בהם. לוח הזמנים עבור מהדורה זו נועד לספק מספיק זמן כדי להתכונן לשינוי זה.

 

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×