Povezivanje kanala LDAP 2020, 2023 i 2024 i LDAP i potpisivanje LDAP-a za Windows (KB4520412)

Uvod

Povezivanje kanala LDAP i potpisivanje LDAP nude načine za povećanje sigurnosti za komunikaciju između LDAP klijenata i domenskog kontrolera servisa Active Directory. Skup nesigurnih zadanih konfiguracija za povezivanje kanala LDAP i potpisivanje LDAP postoje na domenski kontrolerima servisa Active Directory koji omogućuju LDAP klijentima komunikaciju s njima bez nametanje povezivanja kanala LDAP i potpisivanja LDAP. To može otvoriti domenske kontrolere servisa Active Directory radi ranjivosti povećanja ovlasti.

Ta ranjivost može omogućiti napadaču u sredini da uspješno proslijedi zahtjev za provjeru autentičnosti na Poslužitelj domene tvrtke Microsoft koji nije konfiguriran tako da zahtijeva povezivanje, potpisivanje ili brtvljenje kanala na dolaznim vezama.

Microsoft preporučuje administratorima da unesete promjene koje su opisane u članku ADV190023.

10. ožujka 2020. rješavamo tu ranjivost pružanjem sljedećih mogućnosti administratorima da otežu konfiguracije povezivanja kanala LDAP na domenskim kontrolerima servisa Active Directory:

Kontrolor domene: preduvjeti tokena za povezivanje kanala LDAP poslužitelja Pravilnik grupe.
Događaji potpisivanja tokena povezivanja kanala (CBT) 3039, 3040 i 3041 s pošiljateljem događaja Microsoft-Windows-Active Directory_DomainService u zapisniku događaja imeničkog servisa.

Važno: ažuriranja i ažuriranja od 10. ožujka 2020. u doglednoj budućnosti neće promijeniti zadane pravilnike za potpisivanje LDAP-a ni povezivanje kanala LDAP ili njihove ekvivalente registra na novim ili postojećim kontrolorima domena servisa Active Directory.

LDAP potpisivanje Domenski kontroler: Pravila za potpisivanje LDAP poslužitelja već postoji u svim podržanim verzijama sustava Windows. Počevši od sustava Windows Server 2022, 23H2 Edition, sve nove verzije sustava Windows sadržavat će sve promjene u ovom članku.

Zašto je potrebna ova promjena

Sigurnost domenskog kontrolera servisa Active Directory može se znatno poboljšati konfiguriranjem poslužitelja tako da odbije LDAP (Simple Authentication and Security Layer) LDAP veze koje ne zahtijevaju potpisivanje (provjeru integriteta) ili odbacivanje jednostavnih veza LDAP koji se izvode na jasnom tekstu (ne-SSL/TLS šifrirana) vezi. SASLs može obuhvaćati protokole kao što su Pregovori, Kerberos, NTLM i Digest protokoli.

Nepotpisani mrežni promet osjetljiv je na reprize napada u kojima uljez može presresti pokušaj provjere autentičnosti i izdavanje potvrde za provjeru autentičnosti. Uljez može ponovno koristiti potvrdu za provjeru autentičnosti za oponašanje legitimnog korisnika. Osim toga, nepotpisan mrežni promet osjetljiv je na napade muškarca u sredini (MiTM) u kojima uljez snima pakete između klijenta i poslužitelja, mijenja pakete, a zatim ih prosljeđuje poslužitelju. Ako se to dogodi na kontroloru domene servisa Active Directory, napadač može uzrokovati da poslužitelj donosi odluke koje se temelje na zahtjevima LDAP klijenta. LDAPS koristi vlastiti zasebni mrežni priključak za povezivanje klijenata i poslužitelja. Zadani je priključak za LDAP priključak 389, ali LDAPS koristi priključak 636 i uspostavlja SSL/TLS nakon povezivanja s klijentom.

Tokeni povezivanja kanala olakšavaju sigurnost LDAP provjere autentičnosti putem SSL-a/TLS-a od napada muškarca u sredini.

Ažuriranja od 10. ožujka 2020.

Važno Ažuriranja od 10. ožujka 2020. ne mijenjaju zadane pravilnike za potpisivanje LDAP ili povezivanje kanala LDAP ili njihove ekvivalente registra na novim ili postojećim domenski kontrolerima servisa Active Directory.

Ažuriranja sustava Windows koja će se objaviti 10. ožujka 2020. dodaju sljedeće značajke:

Novi se događaji zapisuje u Preglednik događaja vezi s povezivanjem kanala LDAP. Pojedinosti o tim događajima potražite u tablici 1 i tablici 2.
Novi domenski kontroler: preduvjeti tokena za povezivanje kanala LDAP poslužitelja pravilnik grupe konfigurirati povezivanje kanala LDAP na podržanim uređajima.

Mapiranje između postavki pravila potpisivanja LDAP-a i postavki registra obuhvaćeno je na sljedeći način:

Postavka pravilnika: "Domain controller: LDAP server signing requirements"
Postavka registra: LDAPServerIntegrity
Vrsta podataka: DWORD
Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

pravilnik grupe postavke	Postavka registra
Nijedno	1
Traži potpisivanje	2

Mapiranje između postavki pravilnika za povezivanje kanala LDAP i postavki registra obuhvaćeno je na sljedeći način:

Postavka pravilnika: "Domain controller: LDAP server channel binding token requirements"
Postavka registra: LdapEnforceChannelBinding
Vrsta podataka: DWORD
Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

pravilnik grupe postavke	Postavka registra
Nikad	0
Kada je podržano	1
Uvijek	2

Tablica 1: Događaji potpisivanja LDAP-a

	Opis	Okidač
2886	Sigurnost tih kontrolora domena može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti potpisivanja LDAP-a.	Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je pravilnik grupe postavljena na Ništa. Minimalna razina zapisivanja: 0 ili novija
2887	Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.	Aktivira se svaka 24 sata kada pravilnik grupe postavljen na Ništa, a dovršeno je najmanje jedno nezaštićeno povezivanje. Minimalna razina zapisivanja: 0 ili novija
2888	Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.	Aktivira se svaka 24 sata kada pravilnik grupe na Traži potpisivanje, a najmanje je jedno nezaštićena veza odbijena. Minimalna razina zapisivanja: 0 ili novija
2889	Sigurnost tih domenskog kontrolera može se poboljšati tako da ih konfigurirate tako da odbijete jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne uključuju potpisivanje LDAP-a.	Aktivira se kada klijent ne koristi potpisivanje za veze na sesijama na priključku 389. Minimalna razina zapisivanja: 2 ili novija

Tablica 2: CBT događaji

Događaj	Opis	Okidač
3039	Sljedeći klijent izvršio je vezu LDAP putem SSL/TLS-a i nije uspjela provjera valjanosti tokena povezivanja kanala LDAP.	Pokreće se u bilo kojoj od sljedećih okolnosti: Kada se klijent pokuša povezati s nepravilno oblikovanim tokenom za povezivanje kanala (CBT) ako je CBT pravilnik grupe postavljen na Kada je podržano ili Uvijek. Kada klijent koji može povezati kanal ne pošalje CBT ako je CBT pravilnik grupe postavljen na Kada je podržano. Klijent može vezati kanal ako je značajka EPA instalirana ili dostupna u OS-u, a nije onemogućena putem postavke registra SuppressExtendedProtection. Dodatne informacije potražite u članku KB5021989. Kada klijent ne pošalje CBT ako je CBT pravilnik grupe postavljen na Uvijek. Minimalna razina zapisivanja: 2
3040	Tijekom prethodnih 24-satnog razdoblja izvršeno je # nezaštićenih LDAP vezanja.	Aktivira se svaka 24 sata kada je CBT pravilnik grupe postavljen na Nikad i dovršeno je najmanje jedno nezaštićeni vezanje. Minimalna razina zapisivanja: 0
3041	Sigurnost ovog poslužitelja direktorija može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti tokena povezivanja kanala LDAP.	Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je CBT pravilnik grupe postavljen na Nikad. Minimalna razina zapisivanja: 0

Da biste postavili razinu zapisivanja u registru, koristite naredbu sličnu sljedećoj:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Dodatne informacije o konfiguriranju zapisivanja dijagnostičkih događaja servisa Active Directory potražite u članku Konfiguriranje zapisnika dijagnostičkih događaja servisa Active Directory i LDS.

Ažuriranja od 8. kolovoza 2023.

Neka klijentska računala ne mogu koristiti tokene povezivanja kanala LDAP za povezivanje s domenskim kontrolerima (DC-jevima servisa Active Directory). Microsoft će objaviti sigurnosno ažuriranje 8. kolovoza 2023. U sustavu Windows Server 2022 ovo ažuriranje dodaje mogućnosti administratorima za nadzor tih klijenata. CbT događaje 3074 i 3075 možete omogućiti s izvorom događaja **Microsoft-Windows-ActiveDirectory_DomainService** u zapisniku događaja imeničkog servisa.

Važno Ažuriranje od 8. kolovoza 2023. ne mijenja LDAP potpisivanje, zadane pravilnike povezivanja kanala LDAP ili njihove ekvivalente registra na novim ili postojećim DC-jima servisa Active Directory.

Ovdje se primjenjuju i sve smjernice u odjeljku o ažuriranjima iz ožujka 2020. Za nove događaje nadzora potrebne su postavke pravilnika i registra navedene u prethodno navedenim smjernicama. Postoji i korak omogućivanja da biste vidjeli nove događaje nadzora. Nove pojedinosti o implementaciji nalaze se u odjeljku Preporučene akcije u nastavku.

Tablica 3: CBT događaji

Događaj

Opis

Okidač

3074

Sljedeći klijent izvršio je LDAP vezu preko SSL/TLS-a i ne bi uspio provjeru valjanosti tokena povezivanja kanala ako je poslužitelj direktorija konfiguriran za nametanje provjere valjanosti tokena za povezivanje kanala.

Pokreće se u bilo kojoj od sljedećih okolnosti:

Kada se klijent pokuša povezati s neispravno oblikovanim tokenom za povezivanje kanala (CBT)

Minimalna razina zapisivanja: 2

3075

Sljedeći klijent izvršio je LDAP vezu preko SSL/TLS-a i nije pružio informacije o povezivanju kanala. Kada je poslužitelj direktorija konfiguriran tako da nameće provjeru valjanosti tokena povezivanja kanala, operacija povezivanja bit će odbijena.

Pokreće se u bilo kojoj od sljedećih okolnosti:

Kada klijent koji može vezati kanal ne pošalje CBT
Klijent može vezati kanal ako je značajka EPA instalirana ili dostupna u OS-u, a nije onemogućena putem postavke registra SuppressExtendedProtection. Dodatne informacije potražite u članku KB5021989.

Minimalna razina zapisivanja: 2

Napomena Kada postavite razinu zapisivanja na najmanje 2, bilježi se ID događaja 3074. Administratori to mogu koristiti za nadzor okruženja za klijente koji ne funkcioniraju s tokenima za povezivanje kanala. Događaji će sadržavati sljedeće dijagnostičke podatke za identifikaciju klijenata:

Client IP address: 192.168.10.5:62709
Identitet koji je klijent pokušao provjeriti kao:
CONTOSO\Administrator
Klijent podržava povezivanje kanala:FALSE
Klijent dopušten u podržanom načinu rada:TRUE
Zastavice rezultata nadzora:0x42

Ažuriranja za 10. listopada 2023.

Promjene nadzora dodane u kolovozu 2023. sada su dostupne u sustavu Windows Server 2019. Za taj operacijski sustav ovo ažuriranje dodaje mogućnosti administratorima za nadzor tih klijenata. Možete omogućiti CBT događaje 3074 i 3075. Koristite izvor događaja **Microsoft-Windows-ActiveDirectory_DomainService** u zapisniku događaja imeničkog servisa.

Važno Ažuriranje od 10. listopada 2023. ne mijenja LDAP potpisivanje, zadane pravilnike povezivanja kanala LDAP ili njihove ekvivalente registra na novim ili postojećim DC-jevima servisa Active Directory.

Ovdje se primjenjuju i sve smjernice u odjeljku o ažuriranjima iz ožujka 2020. Za nove događaje nadzora potrebne su postavke pravilnika i registra navedene u prethodno navedenim smjernicama. Postoji i korak omogućivanja da biste vidjeli nove događaje nadzora. Nove pojedinosti o implementaciji nalaze se u odjeljku Preporučene akcije u nastavku.

Ažuriranja za 14. studenog 2023.

Promjene nadzora dodane u kolovozu 2023. sada su dostupne u sustavu Windows Server 2022. Ne morate instalirati MSI-je ili stvarati pravilnike kao što je spomenuto u 3. koraku preporučenih akcija.

Ažuriranja od 9. siječnja 2024.

Promjene nadzora dodane u listopadu 2023. sada su dostupne u sustavu Windows Server 2019. Ne morate instalirati MSI-je ili stvarati pravilnike kao što je spomenuto u 3. koraku preporučenih akcija.

Preporučene radnje

Korisnicima preporučujemo da što prije ukažu na sljedeće korake:

Provjerite jesu li ažuriranja sustava Windows od 10. ožujka 2020. ili novija instalirana na računalima s ulogama kontrolora domene (DC). Ako želite omogućiti događaje nadzora povezivanja kanala LDAP, provjerite jesu li ažuriranja od 8. kolovoza 2023. ili novija instalirana na WINDOWS Server 2022 ili Server 2019 DCs.
Omogućite zapisivanje dijagnostičkih događaja LDAP na 2 ili više.
Omogućite ažuriranja događaja nadzora u kolovozu 2023. ili listopada 2023. pomoću pravilnik grupe. Taj korak možete preskočiti ako ste instalirali ažuriranja za studeni 2023. ili novija u sustavu Windows Server 2022. Ako ste instalirali ažuriranja za siječanj 2024. ili novija u sustavu Windows Server 2019, možete preskočiti i ovaj korak.
- Preuzmite dva MSI-ja za omogućavanje po verziji OS-a iz Microsoftova centra za preuzimanje:
- Proširite MSI-je da biste instalirali nove ADMX datoteke koje sadrže definicije pravilnika. Ako središnju trgovinu koristite za pravilnik grupe, kopirajte ADMX datoteke u središnju trgovinu.
- Primijenite odgovarajuće pravilnike na OU domenskog kontrolera ili na podskup PC-ja poslužitelja 2022 ili Server 2019.
- Ponovno pokrenite DC da bi promjene stupjeli na snagu.
Pratite zapisnik događaja imeničkih servisa na svim računalima dc uloga filtriranima za:
- Događaj LDAP potpisivanja 2889 u tablici 1.
- Događaj LDAP povezivanja kanala 3039 u tablici 2.
- Događaji nadzora povezivanja kanala LDAP 3074 i 3075 u tablici 3.
  
  Napomena Događaji 3039, 3074 i 3075 mogu se generirati samo ako je povezivanje kanala postavljeno na Kada je podržano ili Uvijek.
Odredite proizvođača, model i vrstu uređaja za svaku IP adresu koju navodi:
- Događaj 2889 za upućivanje nepotpisanih LDAP poziva
- Event 3039 for not using LDAP Channel Binding
- Događaj 3074 ili 3075 zbog nesposovanja povezivanja kanala LDAP

Vrste uređaja

Grupiraj vrste uređaja u 1 od 3 kategorije:

Uređaj ili usmjerivač -
- Obratite se davatelju uređaja.
Uređaj koji se ne izvodi na operacijskom sustavu Windows –
- Provjerite jesu li i povezivanje kanala LDAP i potpisivanje LDAP podržani u operacijskom sustavu i u aplikaciji. Učinite to tako da radite s operacijskim sustavom i davateljem aplikacija.
Uređaj koji se izvodi na operacijskom sustavu Windows –
- Potpisivanje LDAP-a dostupno je za korištenje u svim aplikacijama u svim podržanim verzijama sustava Windows. Provjerite koristi li vaša aplikacija ili servis potpisivanje LDAP-a.
- Povezivanje kanala LDAP zahtijeva da svi uređaji sa sustavom Windows imaju instaliran CVE-2017-8563 . Provjerite koristi li aplikacija ili usluga povezivanje kanala LDAP.

Koristite lokalne, udaljene, generičke alate za praćenje ili alate za praćenje specifične za uređaj. To obuhvaća snimke mreže, upravitelja procesa ili praćenje pogrešaka. Odredite izvodi li temeljni operacijski sustav, servis ili aplikacija nepotpisanu LDAP vezuje ili ne koristi CBT.

Upotrijebite Upravitelj zadataka sustava Windows ili ekvivalent za mapiranje ID-a procesa radi obrade, servisa i naziva aplikacija.

Zakazivanje sigurnosnog ažuriranja

Ažuriranje od 10. ožujka 2020. dodalo je kontrole za administratore da bi oteželi konfiguracije povezivanja kanala LDAP i potpisivanje LDAP-a na domenskim kontrolerima servisa Active Directory. Ažuriranja od 8. kolovoza 2023. dodavati mogućnosti administratorima za nadzor klijentskih računala koja ne mogu koristiti tokene povezivanja kanala LDAP. Korisnicima preporučujemo da čim prije ukažu na preporučene radnje u ovom članku.

Ciljani datum	Događaj	Odnosi se na
10. ožujka 2020.	Obavezno: sigurnosno ažuriranje dostupno na Windows Update svim podržanim platformama sustava Windows. Napomena Za platforme sustava Windows koje nisu podržane standardnom podrškom ovo sigurnosno ažuriranje bit će dostupno samo putem primjenjivih programa proširene podrške. Podršku za povezivanje kanala LDAP dodao je CVE-2017-8563 u sustavu Windows Server 2008 i novijim verzijama. Tokeni povezivanja kanala podržani su Windows 10 verziji 1709 i novijim verzijama. Windows XP ne podržava povezivanje kanala LDAP i ne bi uspijevao kada je povezivanje kanala LDAP konfigurirano pomoću vrijednosti Uvijek, ali bi funkcioniralo s DC-jevima konfiguriranima tako da koriste opušteniju postavku povezivanja kanala LDAP kada je podržano.	Windows Server 2022 Windows 10, verzija 20H2 Windows 10, verzija 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Prošireno sigurnosno ažuriranje (ESU))
8. kolovoza 2023.	Dodaje događaje nadzora tokena povezivanja kanala LDAP (3074 & 3075). One su onemogućene prema zadanim postavkama u sustavu Windows Server 2022.	Windows Server 2022
10. listopada 2023.	Dodaje događaje nadzora tokena povezivanja kanala LDAP (3074 & 3075). One su onemogućene prema zadanim postavkama u sustavu Windows Server 2019.	Windows Server 2019
14. studenog 2023.	Događaji nadzora tokena povezivanja kanala LDAP dostupni su u sustavu Windows Server 2022 bez instaliranja MSI-ja za omogućavanje (kao što je opisano u 3. koraku preporučenih akcija).	Windows Server 2022
9. siječnja 2024.	Događaji nadzora tokena povezivanja kanala LDAP dostupni su u sustavu Windows Server 2019 bez instaliranja MSI-ja za omogućavanje (kao što je opisano u 3. koraku preporučenih akcija).	Windows Server 2019

Najčešća pitanja

Odgovore na najčešća pitanja o povezivanju kanala LDAP i potpisivanju LDAP-a na domenski kontrolerima servisa Active Directory potražite u članku: