2020, 2023 ודרישות כריכת ערוץ LDAP וחתימה על LDAP עבור Windows (KB4520412)

מבוא

כריכת ערוץ LDAP וחתימה על LDAP מספקות דרכים להגברת האבטחה עבור תקשורת בין לקוחות LDAP לבקרי תחום של Active Directory. ערכה של תצורות ברירת מחדל לא בטוחות עבור כריכת ערוץ LDAP וחתימה על LDAP קיימת בבקרי תחום של Active Directory, הנותנים ללקוחות LDAP לקיים איתם תקשורת מבלי לאכוף איגוד ערוץ LDAP וחתימה על LDAP. פעולה זו יכולה לפתוח בקרי תחום של Active Directory ל העלאה של פגיעות הרשאה.

פגיעות זו עלולה לאפשר לתוקף של גבר באמצע להעביר בהצלחה בקשת אימות לשרת תחום של Microsoft שלא הוגדר לדרוש איגוד ערוץ, חתימה או אטימה בחיבורים נכנסים.

Microsoft ממליצה למנהלי מערכת לבצע את השינויים הקשים המתוארים ADV190023.

ב- 10 במרץ 2020 אנו לטפל בפגיעות זו על-ידי מתן האפשרויות הבאות עבור מנהלי מערכת הקשיים על התצורות עבור איגוד ערוץ LDAP בבקרי תחום של Active Directory:

בקר תחום: דרישות אסימוני איגוד של ערוץ שרת LDAP .
אירועי חתימה של אירועי אסימוני איגוד ערוץ (CBT) 3039, 3040 ו- 3041 עם שולח האירוע Microsoft-Windows-Active Directory_DomainService ביומן האירועים של שירות מדריך הכתובות.

חשוב: העדכונים והעדכונים של 10 במרץ 2020 בעתיד הניתן להצגה, לא ישתנו את מדיניות ברירת המחדל של איגוד ערוץ LDAP או את ברירת המחדל של הרישום בבקרי תחום חדשים או קיימים של Active Directory.

בקר התחום של חתימת LDAP: מדיניות דרישות החתימה של שרת LDAP כבר קיימת בכל הגירסאות הנתמכות של Windows. החל מ- Windows Server 2022, מהדורת 23H2, כל הגירסאות החדשות של Windows יכילו את כל השינויים במאמר זה.

מדוע יש צורך בשינוי זה

ניתן לשפר באופן משמעותי את האבטחה של בקרי תחום של Active Directory על-ידי קביעת התצורה של השרת לדחות איגודי LDAP מסוג Simple Authentication and Security Layer (SASL) שאינם מבקשים חתימה (אימות תקינות) או לדחות איגודים פשוטים של LDAP המבוצעים בחיבור טקסט רגיל (שאינו SSL/TLS-encrypted). רכיבי SASL עשויים לכלול פרוטוקולים כגון Negotiate, ‏Kerberos, ‏NTLM ו- Digest.

תעבורת רשת לא חתומה פגיעה לתקיפות חוזרות שבהן פורץ מיירט את ניסיון האימות ואת הנפקת הכרטיס. הפורץ יכול לעשות שימוש חוזר בכרטיס כדי להתחזות למשתמש לגיטימי. בנוסף, תעבורת רשת לא חתרמה חשופה לתקיפות Man-in-the-middle (MiTM) שבהן פורץ לוכד מנות בין הלקוח לשרת, משנה את המנות ולאחר מכן מעביר אותן לשרת. אם הדבר מתרחש בבקר תחום של Active Directory, תוקף עלול לגרום לשרת לקבל החלטות המבוססות על בקשות מזויפות מלקוח LDAP. הפונקציה LDAPS משתמשת ביציאה רשת ייחודית משלה כדי לחבר לקוחות לשרתים. יציאת ברירת המחדל עבור LDAP היא יציאה 389, אך LDAPS משתמשת ביציאה 636 ומבססת SSL/TLS בעת התחברות עם לקוח.

אסימוני איגוד ערוץ עוזרים להפוך את אימות LDAP דרך SSL/TLS לאבטח יותר כנגד מתקפות של אדם באמצע.

עדכונים ל- 10 במרץ 2020

חשוב עדכוני 10 במרץ 2020 אינם משתנים את מדיניות ברירת המחדל של חתימת LDAP או את מדיניות ברירת המחדל של איגוד ערוץ LDAP או את שוות הערך ברישום בבקרי תחום חדשים או קיימים של Active Directory.

עדכוני Windows להפצה ב- 10 במרץ 2020 מוסיפים את התכונות הבאות:

אירועים חדשים נרשמים ב- מציג האירועים הקשורים לאיגוד ערוץ LDAP. ראה טבלה 1 וטבלה 2 לקבלת פרטים על אירועים אלה.
בקר תחום חדש: דרישות אסימון איגוד של ערוץ שרת LDAP מדיניות קבוצתית להגדיר איגוד ערוץ LDAP במכשירים נתמכים.

המיפוי בין הגדרות מדיניות חתימת LDAP להגדרות הרישום נכלל באופן הבא:

הגדרת מדיניות: "בקר תחום: דרישות חתימה של שרת LDAP"
הגדרת רישום: LDAPServerIntegrity
סוג נתונים: DWORD
נתיב רישום: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

מדיניות קבוצתית אישית	הגדרת רישום
ללא	1
דרוש חתימה	2

המיפוי בין הגדרות מדיניות איגוד ערוץ LDAP להגדרות הרישום נכלל באופן הבא:

הגדרת מדיניות: "בקר תחום: דרישות אסימון איגוד של ערוץ שרת LDAP"
הגדרת רישום: LdapEnforceChannelBinding
סוג נתונים: DWORD
נתיב רישום: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

מדיניות קבוצתית אישית	הגדרת רישום
לעולם לא	0
כאשר הוא נתמך	1
תמיד	2

טבלה 1: אירועי חתימה של LDAP

	תיאור	ההדק
2886	ניתן לשפר באופן משמעותי את האבטחה של בקרי תחום אלה על-ידי קביעת התצורה של השרת לאכיפת אימות של חתימת LDAP.	מופעל כל 24 שעות, בעת אתחול או הפעלת שירות אם מדיניות קבוצתית מוגדר ללא. רמת רישום מינימלית: 0 ואילך
2887	ניתן לשפר את האבטחה של בקרי תחום אלה על-ידי קביעת התצורה שלהם לדחות בקשות איגוד פשוטות של LDAP ובקשות איגוד אחרות שלא כוללות חתימת LDAP.	מופעל כל 24 שעות מדיניות קבוצתית מוגדר ל'ללא' ולפחות איגוד לא מוגן אחד הושלם. רמת רישום מינימלית: 0 ואילך
2888	ניתן לשפר את האבטחה של בקרי תחום אלה על-ידי קביעת התצורה שלהם לדחות בקשות איגוד פשוטות של LDAP ובקשות איגוד אחרות שלא כוללות חתימת LDAP.	מופעל כל 24 שעות מדיניות קבוצתית מוגדר לדרוש חתימה ולפחות איגוד לא מוגן אחד נדחה. רמת רישום מינימלית: 0 ואילך
2889	ניתן לשפר את האבטחה של בקרי תחום אלה על-ידי קביעת התצורה שלהם לדחות בקשות איגוד פשוטות של LDAP ובקשות איגוד אחרות שלא כוללות חתימת LDAP.	מופעל כאשר לקוח אינו משתמש בחתימה עבור איגודים בהפעלות ביציאה 389. רמת רישום מינימלית: 2 ומעלה

טבלה 2: אירועי CBT

‏‏אירוע	תיאור	ההדק
3039	הלקוח הבא ביצע איגוד LDAP באמצעות SSL/TLS ונכשל באימות אסימון איגוד ערוץ LDAP.	מופעל בנסיבות הבאות: כאשר לקוח מנסה לבצע איגוד עם אסימון איגוד ערוץ (CBT) בתבנית שגויה, אם ה- CBT מדיניות קבוצתית מוגדר כ'כאשר נתמך' או 'תמיד'. כאשר לקוח בעל יכולת לאיגוד ערוץ אינו שולח CBT אם ה- CBT מדיניות קבוצתית למצב כאשר הוא נתמך. לקוח יכול לבצע איגוד ערוץ אם תכונת ה- EPA מותקנת או זמינה במערכת ההפעלה ולא הפכה ללא זמינה באמצעות הגדרת הרישום SuppressExtendedProtection. לקבלת מידע נוסף, ראה KB5021989. כאשר לקוח אינו שולח CBT אם קובץ CBT מדיניות קבוצתית מוגדר ל'תמיד'. רמת רישום מינימלית: 2
3040	במהלך התקופה הקודמת של 24 שעות, בוצעה # של איגודי LDAP לא מוגנים.	מופעל כל 24 שעות כאשר CBT מדיניות קבוצתית מוגדר ל'לעולם לא' ולפחות איגוד לא מוגן אחד הושלם. רמת רישום מינימלית: 0
3041	ניתן לשפר באופן משמעותי את האבטחה של שרת מדריך כתובות זה על-ידי קביעת התצורה של השרת לאכיפת אימות של אסימוני איגוד ערוץ LDAP.	מופעל כל 24 שעות, בעת אתחול או תחילת שירות אם CBT מדיניות קבוצתית מוגדר כ לעולם לא. רמת רישום מינימלית: 0

כדי להגדיר את רמת הרישום ברישום, השתמש בפקודה הדומה לפקודה הבאה:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

לקבלת מידע נוסף כיצד לקבוע את התצורה של רישום אירועי אבחון של Active Directory, ראה כיצד לקבוע את התצורה של רישום אירועי אבחון של Active Directory ו- LDS.

עדכונים ל- 8 באוגוסט 2023

מחשבי לקוח מסוימים אינם יכולים להשתמש באסימוני איגוד ערוץ LDAP כדי לאגד לבקרי תחום (DCs) של Active Directory. Microsoft תפיץ עדכון אבטחה ב- 8 באוגוסט 2023. עבור Windows Server 2022, עדכון זה מוסיף אפשרויות עבור מנהלי מערכת לביקורת של לקוחות אלה. באפשרותך להפוך אירועי CBT 3074 ו- 3075 לזמינים עם מקור האירוע **Microsoft-Windows-ActiveDirectory_DomainService** ביומן האירועים של שירות מדריך הכתובות.

חשוב העדכון של 8 באוגוסט 2023 אינו משנה חתימת LDAP, מדיניות ברירת מחדל של איגוד ערוץ LDAP או את ברירת המחדל של הרישום במחשבי DC חדשים או קיימים של Active Directory.

כל ההנחיות בסעיף עדכוני מרץ 2020 חלות גם כאן. אירועי הביקורת החדשים ידרשו את הגדרות המדיניות והרישום המתוארות בהדרכה לעיל. קיים גם שלב הפעלה כדי לראות את אירועי הביקורת החדשים. פרטי היישום החדשים מופיעים במקטע פעולות מומלצות להלן.

טבלה 3: אירועי CBT

‏‏אירוע

תיאור

ההדק

3074

הלקוח הבא ביצע איגוד LDAP באמצעות SSL/TLS, והוא נכשל באימות אסימון איגוד הערוץ אם שרת מדריך הכתובות הוגדר לאכיפת אימות של אסימוני איגוד ערוץ.

מופעל בנסיבות הבאות:

כאשר לקוח מנסה לאגד עם אסימון איגוד ערוץ (CBT) בתבנית שגויה

רמת רישום מינימלית: 2

3075

הלקוח הבא ביצע איגוד LDAP באמצעות SSL/TLS ולא ספק מידע איגוד ערוץ. כאשר שרת מדריך כתובות זה מוגדר לאכיפת אימות של אסימוני איגוד ערוץ, פעולת איגוד זו תידחה.

מופעל בנסיבות הבאות:

כאשר לקוח בעל יכולת לאיגוד ערוץ אינו שולח CBT
לקוח יכול לבצע איגוד ערוץ אם תכונת ה- EPA מותקנת או זמינה במערכת ההפעלה ולא הפכה ללא זמינה באמצעות הגדרת הרישום SuppressExtendedProtection. לקבלת מידע נוסף, ראה KB5021989.

רמת רישום מינימלית: 2

הערה בעת הגדרת רמת הרישום ל- 2 לפחות, מזהה האירוע 3074 נרשם. מנהלי מערכת יכולים להשתמש באפשרות זו כדי לבצע ביקורת על הסביבה שלהם עבור לקוחות שאינם פועלים עם אסימוני איגוד ערוץ. האירועים יכילו את מידע האבחון הבא כדי לזהות את הלקוחות:

Client IP address:מקשים
192.168.10.5:62709
הזהות שהלקוח ניסה לבצע אימות בתור:
CONTOSO\Administrator
הלקוח תומך באיגוד ערוץ:FALSE
לקוח המותר במצב נתמך:TRUE
דגלי תוצאות ביקורת:0x42

עדכונים ל- 10 באוקטובר 2023

שינויי הביקורת שנוספו באוגוסט 2023 זמינים כעת ב- Windows Server 2019. עבור מערכת הפעלה זו, עדכון זה מוסיף אפשרויות עבור מנהלי מערכת לביקורת של לקוחות אלה. באפשרותך להפוך אירועי CBT לזמינים 3074 ו- 3075. השתמש במקור האירוע **Microsoft-Windows-ActiveDirectory_DomainService** ביומן האירועים של שירות מדריך הכתובות.

חשוב העדכון של 10 באוקטובר 2023 אינו משנה חתימת LDAP, מדיניות ברירת מחדל של איגוד ערוץ LDAP או את ברירת המחדל של הרישום במחשבי DC חדשים או קיימים של Active Directory.

כל ההנחיות בסעיף עדכוני מרץ 2020 חלות גם כאן. אירועי הביקורת החדשים ידרשו את הגדרות המדיניות והרישום המתוארות בהדרכה לעיל. קיים גם שלב הפעלה כדי לראות את אירועי הביקורת החדשים. פרטי היישום החדשים מופיעים במקטע פעולות מומלצות להלן.

עדכונים ל- 14 בנובמבר 2023

שינויי הביקורת שנוספו באוגוסט 2023 זמינים כעת ב- Windows Server 2022. אין צורך להתקין MSIs או ליצור פריטי מדיניות כפי שצוין בשלב 3 של פעולות מומלצות.

עדכונים ל- 9 בינואר 2024

שינויי הביקורת שנוספו באוקטובר 2023 זמינים כעת ב- Windows Server 2019. אין צורך להתקין MSIs או ליצור פריטי מדיניות כפי שצוין בשלב 3 של פעולות מומלצות.

פעולות מומלצות

אנו ממליצים ללקוחות לבצע את השלבים הבאים בהקדם האפשרי:

ודא כי עדכוני Windows ב- 10 במרץ 2020 או מאוחרים יותר מותקנים במחשבי התפקידים של בקר התחום (DC). אם ברצונך להפוך אירועי ביקורת של איגוד ערוץ LDAP לזמינים, ודא שהעדכונים של 8 באוגוסט, 2023 או עדכונים מאוחרים יותר מותקנים במחשבי Windows Server 2022 או Server 2019.
אפשר רישום מאבחן של אירועי LDAP ל- 2 ואילך.
הפעל את עדכוני אירועי הביקורת של אוגוסט 2023 או אוקטובר 2023 באמצעות מדיניות קבוצתית. באפשרותך לדלג על שלב זה אם התקנת את העדכונים של נובמבר 2023 ואילך ב- Windows Server 2022. אם התקנת את העדכונים של ינואר 2024 או עדכונים מאוחרים יותר ב- Windows Server 2019, באפשרותך גם לדלג על שלב זה.
- הורד את שני ההסתימות MSIs לכל גירסת מערכת הפעלה ממרכז ההורדות של Microsoft:
- הרחב את MSIs כדי להתקין את קבצי ADMX החדשים המכילים את הגדרות המדיניות. אם אתה משתמש ב- Central Store מדיניות קבוצתית, העתק את קבצי ADMX לחנות המרכזית.
- החל את המדיניות המתאימה על ה- OU של בקרי התחום שלך או על קבוצת משנה של בקרי Server 2022 או Server 2019 שלך.
- הפעל מחדש את ה- DC כדי שהשינויים ייכנסו לתוקף.
נטר את יומן האירועים של שירותי מדריך הכתובות בכל המחשבים בעלי תפקיד ה- DC המסוננים עבור:
- אירוע 2889 של כשל חתימת LDAP בטבלה 1.
- אירוע כשל איגוד ערוץ LDAP 3039 בטבלה 2.
- אירועי ביקורת 3074 ו- 3075 של איגוד ערוץ LDAP בטבלה 3.
  
  הערה ניתן ליצור אירועים 3039, 3074 ו- 3075 רק כאשר איגוד הערוץ מוגדר ל'מתי נתמך' או 'תמיד'.
זהה את הדגם, הדגם והמכשיר עבור כל כתובת IP שהוזכרה על-ידי:
- אירוע 2889 לביצוע שיחות LDAP לא מסומנות
- אירוע 3039 עבור לא שימוש באיגוד ערוץ LDAP
- אירוע 3074 או 3075 עבור לא יכולת איגוד ערוץ LDAP

סוגי מכשירים

קבץ סוגי מכשירים ל- 1 מתוך 3 קטגוריות:

מכשיר או נתב -
- פנה לספק המכשיר.
התקן שאינו פועל במערכת הפעלה של Windows -
- ודא כי הן איגוד ערוץ LDAP והן חתימת LDAP נתמכים במערכת ההפעלה וביישום. עשה זאת על-ידי עבודה עם מערכת ההפעלה וספק היישומים.
מכשיר הפועל במערכת הפעלה של Windows -
- חתימת LDAP זמינה לשימוש של כל היישומים בכל הגירסאות הנתמכות של Windows. ודא שהיישום או השירות שלך משתמש בחתימה על LDAP.
- כריכת ערוץ LDAP מחייבת שכל מכשירי Windows יהיו בעלי CVE-2017-8563 מותקן. ודא שהיישום או השירות שלך משתמש באיגוד ערוץ LDAP.

השתמש בכלי מעקב מקומיים, מרוחקים, כלליים או ספציפיים למכשיר. אלה כוללים לכידות רשת, מנהל תהליך או מעקבים לאיתור באגים. קבע אם מערכת ההפעלה המרכזית, שירות או יישום מבצעים איגודי LDAP לא חותנים או אינם משתמשים ב- CBT.

השתמש במנהל המשימות של Windows או בשוות ערך כדי למפות את מזהה התהליך כדי לעבד, שירות ושמות יישומים.

מועד עדכון אבטחה

העדכון של 10 במרץ 2020 הוסיף פקדים עבור מנהלי מערכת כדי הקשחת התצורות עבור איגוד ערוץ LDAP וחתימה על LDAP בבקרי תחום של Active Directory. עדכוני 8 באוגוסט ו- 10 באוקטובר 2023 מוסיפים אפשרויות עבור מנהלי מערכת למחשבי לקוח ביקורת שאינם יכולים להשתמש באסימוני איגוד ערוץ LDAP. אנו ממליצים ללקוחות לבצע את הפעולות המומלצות במאמר זה בהזדמנות הקרובה ביותר.

תאריך יעד	‏‏אירוע	חל על
(יום שלישי 10 מרץ 2020)	נדרש: עדכון אבטחה זמין ב- Windows Update עבור כל הפלטפורמות הנתמכות של Windows. הערה עבור פלטפורמות Windows שהתמיכה עבורן אינה סטנדרטית, עדכון אבטחה זה יהיה זמין רק דרך תוכניות התמיכה המורחבת הרלוונטיות. תמיכה באיגוד ערוץ LDAP נוספה על-ידי CVE-2017-8563 ב- Windows Server 2008 ובגרסאות מתקדמות יותר. אסימוני איגוד ערוץ נתמכים Windows 10, בגירסה 1709 ובגרסאות מתקדמות יותר. Windows XP אינו תומך באיגוד ערוץ LDAP ונכשל בעת קביעת תצורה של איגוד ערוץ LDAP באמצעות ערך מסוג 'תמיד', אך יתבצע פעולה הדדית עם מחשבים שהוגדרו לשימוש בהגדרת כריכת ערוץ LDAP רגועה יותר של כאשר הוא נתמך.	Windows Server 2022 Windows 10, גירסה 20H2 Windows 10, גירסה 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (עדכון אבטחה מורחב (ESU))
ה-8 באוגוסט 2023	הוספת אירועי ביקורת של אסימוני איגוד ערוץ LDAP (3074 & 3075). הם אינם זמינים כברירת מחדל ב- Windows Server 2022.	Windows Server 2022
10 באוקטובר 2023	הוספת אירועי ביקורת של אסימוני איגוד ערוץ LDAP (3074 & 3075). הם אינם זמינים כברירת מחדל ב- Windows Server 2019.	Windows Server 2019
ה-14 בנובמבר 2023	אירועי ביקורת של אסימוני איגוד ערוץ LDAP זמינים ב- Windows Server 2022 מבלי להתקין MSI של הפעלה (כמתואר בשלב 3 של פעולות מומלצות).	Windows Server 2022
9 בינואר 2024	אירועי ביקורת של אסימוני איגוד ערוץ LDAP זמינים ב- Windows Server 2019 מבלי להתקין MSI של הפעלה (כמתואר בשלב 3 של פעולות מומלצות).	Windows Server 2019

שאלות נפוצות

לקבלת תשובות לשאלות נפוצות אודות כריכת ערוץ LDAP וחתימה של LDAP בבקרי תחום של Active Directory, ראה: