Uvod

Povezivanje LDAP kanala i potpisivanje LDAP-a omogućuju povećanje sigurnosti komunikacije između LDAP klijenata i kontrolora domena servisa Active Directory. Skup nesigurnih zadanih konfiguracija za povezivanje LDAP kanala i potpisivanje LDAP-a postoje na kontrolerima domena servisa Active Directory koji LDAP klijentima omogućuje komunikaciju s njima bez potrebe za povezivanjem LDAP kanala i potpisivanjem LDAP-a. Na taj se način kontroleri domena servisa Active Directory mogu otvoriti radi povećanja slabe ovlasti.

Ta slaba točka može omogućiti napadaču koji se nalazi u sredini da uspješno proslijedi zahtjev za provjeru autentičnosti na poslužitelj Domene tvrtke Microsoft koji nije konfiguriran tako da zahtijeva povezivanje, potpisivanje ili zatvaranje kanala na dolaznim vezama.

Microsoft preporučuje administratorima da otvrdnu promjene opisane u programu ADV190023.

10. ožujka 2020. rješavamo tu slabu točke pružanjem sljedećih mogućnosti za administratore da otvrdnu konfiguracije povezivanja LDAP kanala na kontrolerima domena servisa Active Directory:

  • Kontroler domene: preduvjeti za povezivanje tokena za kanal LDAP poslužitelja Pravilnik grupe.

  • Događaji potpisivanja tokena za povezivanje kanala (CBT) 3039, 3040 i 3041 s pošiljateljem događaja Microsoft-Windows-Active Directory_DomainService u zapisniku događaja imeničkog servisa.

Važno:ažuriranja i ažuriranja za 10. ožujka 2020. u predvidljivoj budućnosti neće promijeniti zadane pravilnike za potpisivanje LDAP-a ili LDAP kanale ili njihove ekvivalente registra na novim ili postojećim kontrolerima domena servisa Active Directory.

Kontroler domene za potpisivanje LDAP-a: LDAP poslužiteljski preduvjeti već postoje u svim podržanim verzijama Windows.

Zašto je potrebna ova promjena

Sigurnost kontrolera domena servisa Active Directory može se znatno poboljšati konfiguriranjem poslužitelja tako da odbije jednostavnu provjeru autentičnosti i sigurnosni sloj (SASL) LDAP veza koja ne zahtijeva potpisivanje (provjeru integriteta) ni odbacivanje jednostavnih veza LDAP-a koji se izvode na jasnom tekstu (ne-SSL/TLS-šifriranom) vezom. SASLs može obuhvaćati protokole kao što su Pregovori, Kerberos, NTLM i Digest protokoli.

Nepotpisani mrežni promet osjetljiv je na reprize napada u kojima uljez može presresti pokušaj provjere autentičnosti i izdavanje potvrde za provjeru autentičnosti. Uljez može ponovno koristiti potvrdu za provjeru autentičnosti za oponašanje legitimnog korisnika. Osim toga, nepotpisani mrežni promet osjetljiv je na napade između klijenta i poslužitelja, promjene paketa i prosljeđivanje na poslužitelj. Ako se to dogodi na kontroloru domene servisa Active Directory, napadač može uzrokovati da poslužitelj donosi odluke utemeljene na krivotvorenim zahtjevima klijenta LDAP. LDAPS koristi vlastiti zasebni mrežni priključak za povezivanje klijenata i poslužitelja. Zadani je priključak za LDAP priključak 389, ali LDAPS koristi priključak 636 i uspostavlja SSL/TLS nakon povezivanja s klijentom.

Tokeni za povezivanje kanala pomažu da LDAP provjera autentičnosti putem SSL-a/TLS-a bude sigurnija od napada s čovjekom u sredini.

Ažuriranja za 10. ožujka 2020.

Važno Ažuriranja od 10. ožujka 2020. ne mijenjaju zadane pravilnike za potpisivanje LDAP-a ili LDAP kanale ili njihove ekvivalente registra na novim ili postojećim kontrolorima domene servisa Active Directory.

Windows ažuriranja koja će biti objavljena 10. ožujka 2020. dodaju sljedeće značajke:

  • Novi se događaji zapisuju u preglednik događaja povezan s povezivanjem LDAP kanala. Detalje o tim događajima potražite u tablicama 1 i tablici 2.

  • Novi kontroler domene: preduvjeti za LDAP poslužiteljski token za kanale za povezivanje grupe za konfiguriranje povezivanja LDAP kanala na podržanim uređajima.

Mapiranje između postavki pravilnika za potpisivanje LDAP-a i postavki registra obuhvaćeno je na sljedeći način:

  • Postavka pravilnika: "Domain controller: LDAP server signing requirements" (Kontroler domene: preduvjeti za potpisivanje LDAP poslužitelja)

  • Postavka registra: LDAPServerIntegrity

  • Vrsta podataka: DWORD

  • Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Postavka pravilnika grupe

Postavka registra

Nijedno

1

Zahtijevanje potpisivanja

2

Mapiranje između postavki pravilnika za povezivanje kanala LDAP i postavki registra obuhvaćeno je na sljedeći način:

  • Postavka pravilnika: "Domain controller: LDAP server channel binding token requirements" (Kontroler domene: preduvjeti za povezivanje kanala LDAP poslužitelja)

  • Postavka registra: LdapEnforceChannelBinding

  • Vrsta podataka: DWORD

  • Put registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Postavka pravilnika grupe

Postavka registra

Nikad

0

Kada je podržano

1

Uvijek

2


Tablica 1: događaji potpisivanja LDAP-a

Opis

Okidač

2886

Sigurnost tih kontrolera domena može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti potpisivanja LDAP-a.

Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je pravilnik grupe postavljen na Ništa. Minimalna razina zapisivanja: 0 ili noviji

2887

Sigurnost tih kontrolera domena može se poboljšati tako da ih konfigurirate tako da odbiju jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne obuhvaćaju potpisivanje LDAP-a.

Pokreće se svaka 24 sata kada je pravilnik grupe postavljen na Ništa, a dovršeno je najmanje jedno nezaštićeno povezivanje. Minimalna razina zapisivanja: 0 ili noviji

2888

Sigurnost tih kontrolera domena može se poboljšati tako da ih konfigurirate tako da odbiju jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne obuhvaćaju potpisivanje LDAP-a.

Pokreće se svaka 24 sata kada je pravilnik grupe postavljen na Zahtijevaj potpisivanje, a odbijeno je najmanje jedno nezaštićeno povezivanje. Minimalna razina zapisivanja: 0 ili noviji

2889

Sigurnost tih kontrolera domena može se poboljšati tako da ih konfigurirate tako da odbiju jednostavne zahtjeve za povezivanje LDAP-a i druge zahtjeve za povezivanje koji ne obuhvaćaju potpisivanje LDAP-a.

Pokreće se kada klijent ne koristi potpisivanje za veze na sesijama na priključku 389. Minimalna razina zapisivanja: 2 ili noviji

Tablica 2: DOGAĐAJI U VEZI S CBT-OM

Događaj

Opis

Okidač

3039

Sljedeći klijent izveo je LDAP vezu preko SSL/TLS i nije uspio provjeru valjanosti tokena za povezivanje LDAP kanala.

Pokreće se u bilo kojem od sljedećih okolnosti:

  • Kada klijent pokuša povezati s nepravilno oblikovanim tokenom za povezivanje kanala (CBT) ako je pravilnik grupe ZA CBT postavljen na Kada je podržano ili Uvijek.

  • Kada klijent koji podržava povezivanje kanala ne pošalje CBT ako je pravilnik grupe za CBT postavljen na Kada je podržano.Klijent je moguće povezivanje kanala ako je značajka EPA instalirana ili dostupna u operacijskom sustavu, a nije onemogućena putem postavke registra  SuppressExtendedProtection.

  • Kada klijent ne pošalje CBT ako je pravilnik grupe za CBT postavljen na Uvijek.

Minimalna razina zapisivanja: 2

3040

Tijekom prethodnog razdoblja od 24 sata izvršeno je # nezaštićenih LDAP-ova.

Pokreće se svaka 24 sata kada je pravilnik grupe za CBT postavljen na Nikad, a dovršeno je najmanje jedno nezaštićeno povezivanje. Minimalna razina zapisivanja: 0

3041

Sigurnost tog poslužitelja direktorija može se znatno poboljšati konfiguriranjem poslužitelja radi nametanje provjere valjanosti LDAP tokena za povezivanje kanala.

Pokreće se svaka 24 sata, pri pokretanju ili pokretanju servisa ako je pravilnik grupe ZA CBT postavljen na Nikad. Minimalna razina zapisivanja: 0


Da biste postavili razinu zapisivanja u registru, koristite naredbu sličnu sljedećoj:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Dodatne informacije o konfiguriranju zapisnika dijagnostičkih događaja servisa Active Directory potražite u sljedećem članku u Microsoftovoj bazi znanja:

314980 Konfiguriranje zapisnika dijagnostičkih događaja servisa Active Directory i LDS

Preporučene radnje

Preporučujemo korisnicima da što prije poduzmu sljedeće korake:

  1. Instalirajte ažuriranja od 10. ožujka 2020. Windows na računalima s ulogama kontrolera domene (DC) kada se ažuriranja izjasne.

  2. Omogućite dijagnostičko zapisivanje LDAP događaja na 2 ili noviji.

  3. Monitor Directory services event log on all DC role computers filtered for:

    • Događaj LDAP potpisivanja 2889 naveden u tablici 1.

    • LDAP channel Binding failure event 3039 in Table 2.

      Napomena Događaj 3039 može se generirati samo kada je povezivanje kanala postavljeno na Kada je podržano ili Uvijek.

  4. Odredite make, model i vrstu uređaja za svaku IP adresu navedenu u događaju 2889 kao nepotpisane LDAP pozive ili 3039 događaja jer ne koristite LDAP povezivanje kanala.

Grupiraj vrste uređaja u 1 od 3 kategorije:

  1. Uređaj ili usmjerivač

    • Obratite se davatelju uređaja.

  2. Uređaj koji se ne koristi na Windows operacijskom sustavu

    • Provjerite jesu li u operacijskom sustavu podržano i povezivanje LDAP kanala i potpisivanje LDAP-a, a zatim aplikaciju pomoću rada s operacijskim sustavom i davateljem aplikacija.

  3. Uređaj koji se pokrene na Windows operacijskom sustavu

    • Potpisivanje LDAP-a dostupno je svim aplikacijama u svim podržanim verzijama Windows. Provjerite koristi li vaša aplikacija ili servis potpisivanje LDAP-a.

    • Povezivanje LDAP kanala zahtijeva da Windows svi uređaji imaju instaliranu aplikaciju CVE-2017-8563. Provjerite koristi li aplikacija ili servis povezivanje LDAP kanala.

Koristite lokalne, udaljene, generičke alate za praćenje ili alate za praćenje specifične za uređaj, uključujući mrežne zapise, upravitelje procesa ili praćenje pogrešaka da biste utvrdili izvodi li temeljni operacijski sustav, servis ili aplikacija nepotpisan LDAP veza ili ne koristi CBT.

Pomoću Windows upravitelja zadataka ili jednakovrijednog mapiranja ID-a procesa za obradu, servis i nazive aplikacija.

Zakazivanje sigurnosnog ažuriranja

Ažuriranja od 10. ožujka 2020. omogućit će administratorima da otvrdnu konfiguracije povezivanja LDAP kanala i potpisivanja LDAP-a na kontrolerima domene servisa Active Directory. Preporučujemo korisnicima da u najranijoj prilici u ovom članku posatraju radnje preporučene u ovom članku.

Ciljani datum

Događaj

Odnosi se na

10. ožujka 2020.

Obavezno: sigurnosno ažuriranje dostupno na Windows ažuriranje za sve podržane Windows platforme.

Napomena Za Windows platforme koje nisu standardne podrške, sigurnosno ažuriranje bit će dostupno samo putem primjenjivih proširenih programa podrške.

Podršku za povezivanje kanala LDAP dodao je CVE-2017-8563 u sustavu Windows Server 2008 i novijim verzijama. Tokeni za povezivanje kanala podržani su u Windows 10, verziji 1709 i novijim verzijama.

Windows XP ne podržava povezivanje LDAP kanala i neće uspjeti kada je LDAP povezivanje kanala konfigurirano pomoću vrijednosti Uvijek, ali bi funkcioniralo s DC-ovima konfiguriranim tako da koristi opušteniju postavku povezivanja LDAP kanala od Kada je podržano.

Windows 10, verzija 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 ( Prošireno sigurnosno ažuriranje (ESU))

Najčešća pitanja

Odgovore na najčešća pitanja o povezivanju LDAP kanala i potpisivanju LDAP-a na kontrolerima domena servisa Active Directory možete pronaći u članku Najčešća pitanja o promjenama protokola Lightweight Directory Access Protocol.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Koliko ste zadovoljni kvalitetom prijevoda?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×