2020-ra, 2023-ra és 2024-esre vonatkozó LDAP-csatornakötési és LDAP-aláírási követelmények Windows rendszeren (KB4520412)

Ismertető

Az LDAP-csatornakötés és az LDAP-aláírás lehetővé teszik az LDAP-ügyfelek és az Active Directory-tartományvezérlők közötti kommunikáció biztonságának növelését. Az Active Directory-tartományvezérlők az LDAP-csatornakötés és az LDAP-aláírás nem biztonságos alapértelmezett konfigurációinak készlete lehetővé teszi, hogy az LDAP-ügyfelek az LDAP-csatornakötés és az LDAP-aláírás kényszerítése nélkül kommunikáljanak velük. Ezzel megnyithatja az Active Directory-tartományvezérlőket a jogosultsági biztonsági rések kiterjesztéséhez.

Ez a biztonsági rés lehetővé teheti, hogy egy közbeékelt támadó sikeresen továbbítsa a hitelesítési kérést egy Olyan Microsoft-tartományi kiszolgálónak, amely nincs úgy konfigurálva, hogy csatornakötést, aláírást vagy zárolást követeljen meg a bejövő kapcsolatokon.

A Microsoft azt javasolja a rendszergazdáknak, hogy végezzenek el a ADV190023.

2020. március 10-én a következő lehetőségeket biztosítjuk a rendszergazdáknak az LDAP-csatornakötés konfigurálásának megerősítésére az Active Directory-tartományvezérlőkön:

Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend.
Csatornakötési tokenek (CBT) a 3039-es, 3040-es és 3041-es események aláírása a Microsoft-Windows-Active Directory_DomainService eseményküldővel a Címtárszolgáltatás eseménynaplójában.

Fontos: A 2020. március 10-i frissítések és frissítések a belátható jövőben nem módosítják az LDAP-aláírási vagy LDAP-csatornakötés alapértelmezett szabályzatait, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.

Az LDAP-aláíró tartományvezérlő: AZ LDAP-kiszolgáló aláírási követelményeire vonatkozó szabályzat már létezik a Windows összes támogatott verziójában. A Windows Server 2022, 23H2 Edition verziótól kezdve a Windows összes új verziója tartalmazni fogja a cikkben szereplő összes módosítást.

Miért van szükség a módosításra

Az Active Directory-tartományvezérlők biztonsága jelentősen javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy elutasítsa az egyszerű hitelesítési és biztonsági rétegbeli (SASL) LDAP-kötéseket, amelyek nem kérnek aláírást (integritás-ellenőrzés), vagy elutasítja a világos szöveges (nem SSL/TLS-titkosított) kapcsolaton végrehajtott egyszerű LDAP-kötéseket. Az SASL tartalmazhat olyan protokollokat, mint az egyeztetés, a Kerberos, az NTLM és a kivonatoló protokollok.

Az aláíratlan hálózati forgalom érzékeny a visszajátszásos támadásokra, amelyekben a behatoló elfogja a hitelesítési kísérletet és a jegy kiállítását. A behatoló újrafelhasználhatja a jegyet, hogy megszemélyesítse a valódi felhasználót. Emellett az aláíratlan hálózati forgalom hajlamos a közbeékelt (MiTM) támadásokra, amelyek során egy behatoló rögzíti az ügyfél és a kiszolgáló közötti csomagokat, módosítja a csomagokat, majd továbbítja őket a kiszolgálóra. Ha ez egy Active Directory-tartomány-vezérlőn történik, a támadók olyan döntéseket hozhatnak, amelyek az LDAP-ügyfél hamis kérései alapján születnek. Az LDAPS a saját különálló hálózati portját használja az ügyfelek és kiszolgálók összekapcsolásához. Az LDAP alapértelmezett portja a 389-ös port, de az LDAPS a 636-os portot használja, és SSL/TLS-t hoz létre az ügyfélhez való csatlakozáskor.

A csatornakötési jogkivonatok segítenek biztonságosabbá tenni az SSL-/TLS-alapú LDAP-hitelesítést a közbeékelt támadásokkal szemben.

2020. március 10-i frissítések

Fontos A 2020. március 10-i frissítések nem módosítják az LDAP-aláírási vagy LDAP-csatornakötési alapértelmezett házirendeket, illetve azok beállításjegyzék-megfelelőit az új vagy meglévő Active Directory-tartományvezérlőkön.

A 2020. március 10-én megjelenő Windows-frissítések a következő funkciókat adják hozzá:

A rendszer új eseményeket naplóz az LDAP-csatornakötéssel kapcsolatos eseménymegtekintő. Az események részleteiért tekintse meg az 1 . és a 2. táblázatot .
Új tartományvezérlő: Az LDAP-kiszolgálócsatorna kötési tokenkövetelményei Csoportházirend az LDAP-csatorna kötésének konfigurálásához a támogatott eszközökön.

Az LDAP-aláírási házirend beállításai és a beállításjegyzék beállításai közötti megfeleltetés a következő:

Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei"
Beállításjegyzék-beállítás: LDAPServerIntegrity
Adattípus: DWORD
Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Csoportházirend beállítás	Beállításjegyzék-beállítás
Nincs	1
Aláírás megkövetelése	2

Az LDAP-csatorna kötési házirendjének beállításai és a beállításjegyzék beállításai közötti leképezés a következő:

Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgálócsatorna kötési tokenkövetelményei"
Beállításjegyzék-beállítás: LdapEnforceChannelBinding
Adattípus: DWORD
Beállításjegyzék elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Csoportházirend beállítás	Beállításjegyzék-beállítás
Soha	0
Ha támogatott	1
Mindig	2

1. táblázat: LDAP-aláírási események

	Ismertetés	Ravaszt
2886	Ezeknek a tartományvezérlőknek a biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-aláírás érvényesítésének kikényszerítésére.	24 óránként aktiválódik, indításkor vagy szolgáltatás indításakor, ha a Csoportházirend Nincs értékre van állítva. Minimális naplózási szint: 0 vagy magasabb
2887	Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.	24 óránként aktiválódik, ha Csoportházirend Nincs értékre van állítva, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0 vagy magasabb
2888	Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.	24 óránként aktiválódik, amikor Csoportházirend Aláírás megkövetelése értékre van állítva, és legalább egy nem védett kötés el lett utasítva. Minimális naplózási szint: 0 vagy magasabb
2889	Ezeknek a tartományvezérlőknek a biztonsága javítható azáltal, hogy úgy konfigurálja őket, hogy elutasítsák az egyszerű LDAP-kötési kéréseket és az ldAP-aláírást nem tartalmazó egyéb kötési kérelmeket.	Akkor aktiválódik, ha egy ügyfél nem használ aláírást kötésekhez a 389-es porton lévő munkameneteken. Minimális naplózási szint: 2 vagy magasabb

2. táblázat: CBT-események

Esemény	Ismertetés	Ravaszt
3039	A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem sikerült érvényesíteni az LDAP-csatorna kötési jogkivonatát.	A következő körülmények bármelyike esetén aktiválódik: Ha egy ügyfél nem megfelelően formázott csatornakötési jogkivonattal (CBT) kísérli meg a kötést, ha a CBT Csoportházirend Támogatott vagy Mindig értékre van állítva. Ha egy olyan ügyfél, amely képes csatornakötésre, nem küld CBT-t, ha a CBT Csoportházirend a Támogatott állapot értékre van állítva.Az ügyfél akkor képes csatornakötésre, ha az EPA szolgáltatás telepítve van vagy elérhető az operációs rendszerben, és nem tiltható le a SuppressExtendedProtection beállításjegyzék-beállításon keresztül. További információ: KB5021989. Ha egy ügyfél nem küld CBT-t, ha a CBT Csoportházirend Always értékre van állítva. Minimális naplózási szint: 2
3040	Az előző 24 órás időszakban a nem védett LDAPs-kötések száma lett végrehajtva.	24 óránként aktiválódik, ha a CBT Csoportházirend Értéke Soha, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0
3041	A címtárkiszolgáló biztonsága jelentősen javítható azáltal, hogy konfigurálja a kiszolgálót az LDAP-csatornakötési jogkivonatok érvényesítésének kikényszerítésére.	24 óránként aktiválódik indításkor vagy szolgáltatás indításakor, ha a CBT Csoportházirend Értéke Soha. Minimális naplózási szint: 0

A naplózási szint beállításához használja a következőhöz hasonló parancsot:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

További információ az Active Directory diagnosztikai eseménynaplózásának konfigurálásáról: Az Active Directory és az LDS diagnosztikai eseménynaplózásának konfigurálása.

2023. augusztus 8-i frissítések

Egyes ügyfélszámítógépek nem használhatnak LDAP-csatornakötési jogkivonatokat az Active Directory-tartományvezérlőkhöz (TARTOMÁNYVEZÉRLŐK) való kötéshez. A Microsoft 2023. augusztus 8-án kiad egy biztonsági frissítést. Windows Server 2022 esetén ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. A 3074-ös és 3075-ös CBT-eseményeket a Címtárszolgáltatás eseménynaplójában a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrással engedélyezheti.

Fontos A 2023. augusztus 8-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.

A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.

3. táblázat: CBT-események

Esemény

Ismertetés

Ravaszt

3074

A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és ha a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kényszerítésére lett konfigurálva, a csatornakötési jogkivonatok érvényesítése meghiúsult volna.

A következő körülmények bármelyike esetén aktiválódik:

Ha egy ügyfél nem megfelelően formázott csatornakötési jogkivonattal (CBT) próbál kötést létrehozni

Minimális naplózási szint: 2

3075

A következő ügyfél LDAP-kötést hajtott végre SSL/TLS protokollon keresztül, és nem adott meg csatornakötési információkat. Ha ez a címtárkiszolgáló a csatornakötési tokenek érvényesítésének kikényszerítésére van konfigurálva, a rendszer elutasítja ezt a kötési műveletet.

A következő körülmények bármelyike esetén aktiválódik:

Ha egy csatornakötésre képes ügyfél nem küld CBT-t
Az ügyfél akkor képes csatornakötésre, ha az EPA szolgáltatás telepítve van vagy elérhető az operációs rendszerben, és nem tiltható le a SuppressExtendedProtection beállításjegyzék-beállításon keresztül. További információ: KB5021989.

Minimális naplózási szint: 2

Megjegyzés Ha a naplózási szintet legalább 2-esre állítja, a rendszer a 3074-es eseményazonosítót naplózza. A rendszergazdák ezzel naplózhatják a környezetüket olyan ügyfelek esetében, amelyek nem működnek csatornakötési jogkivonatokkal. Az események a következő diagnosztikai adatokat tartalmazzák az ügyfelek azonosításához:

Client IP address: 192.168.10.5:62709
Identitás, amelyet az ügyfél a következőként próbált hitelesíteni:
CONTOSO\Rendszergazda
Az ügyfél támogatja a csatornakötést:HAMIS
Támogatott módban engedélyezett ügyfél:IGAZ
Auditeredmény-jelzők:0x42

2023. október 10-i frissítések

A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Az operációs rendszer esetében ez a frissítés lehetővé teszi a rendszergazdák számára az ügyfelek naplózását. Engedélyezheti a CBT 3074-ös és 3075-ös eseményeit. Használja a **Microsoft-Windows-ActiveDirectory_DomainService** eseményforrást a Címtárszolgáltatás eseménynaplójában.

Fontos A 2023. október 10-i frissítés nem módosítja az LDAP-aláírást, az LDAP-csatorna kötésének alapértelmezett szabályzatait, illetve azok beállításjegyzékbeli megfelelőit az új vagy meglévő Active Directory-okon.

A 2020. márciusi frissítések szakasz összes útmutatója itt is érvényes. Az új naplózási eseményekhez a fenti útmutatóban ismertetett szabályzat- és beállításjegyzék-beállításokra lesz szükség. Az új naplózási események megtekintéséhez egy engedélyezési lépés is rendelkezésre áll. Az új implementáció részletei az alábbi Javasolt műveletek szakaszban találhatók.

2023. november 14-i frissítések

A 2023 augusztusában hozzáadott naplózási módosítások már elérhetők a Windows Server 2022-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.

2024. január 9-i frissítések

A 2023 októberében hozzáadott naplózási módosítások már elérhetők a Windows Server 2019-ben. Nem kell telepítenie az MSI-ket, és nem kell szabályzatokat létrehoznia az Ajánlott műveletek 3. lépésében leírtak szerint.

Ajánlott műveletek

Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb hajtsanak végre a következő lépéseket:

Győződjön meg arról, hogy a 2020. március 10-i vagy újabb Windows-frissítések telepítve vannak a tartományvezérlői szerepkörű számítógépeken. Ha engedélyezni szeretné az LDAP-csatornakötés naplózási eseményeit, győződjön meg arról, hogy a 2023. augusztus 8-i vagy újabb frissítések telepítve vannak a Windows Server 2022 vagy a Server 2019 rendszerű számítógépeken.
Engedélyezze az LDAP-események diagnosztikai naplózását 2 vagy újabb verzióra.
Engedélyezze a 2023. augusztusi vagy 2023. októberi naplózási eseményfrissítéseket a Csoportházirend használatával. Ezt a lépést kihagyhatja, ha telepítette a Windows Server 2022 2023. novemberi vagy újabb frissítéseit. Ha telepítette a Windows Server 2019 2024. januári vagy újabb frissítéseit, kihagyhatja ezt a lépést is.
- Töltse le a két engedélyező MSI-t operációsrendszer-verziónként a Microsoft letöltőközpontból:
- Bontsa ki az MSI-ket a szabályzatdefiníciókat tartalmazó új ADMX-fájlok telepítéséhez. Ha a Central Store-t használja a Csoportházirend, másolja az ADMX-fájlokat a központi tárolóba.
- Alkalmazza a megfelelő szabályzatokat a tartományvezérlők szervezeti egységére vagy a Server 2022 vagy Server 2019 tartományvezérlők egy részhalmazára.
- A módosítások érvénybe léptetéséhez indítsa újra a tartományvezérlőt.
Monitorozza a Címtárszolgáltatások eseménynaplót az összes olyan tartományvezérlői szerepkörű számítógépen, amely a következőre szűrt:
- LDAP-aláírási hibaesemény 2889 az 1. táblában.
- AZ LDAP-csatorna kötésének 3039-es hibaeseménye a 2. táblában.
- AZ LDAP-csatornakötés 3074-es és 3075-ös naplózási eseményei a 3. táblázatban.
  
  Megjegyzés A 3039-es, 3074-es és 3075-ös események csak akkor hozhatók létre, ha a Csatornakötés értéke Támogatott vagy Mindig.
Azonosítsa az eszköz típusát, típusát és típusát a következő által hivatkozott IP-címekhez:
- 2889-s esemény aláíratlan LDAP-hívások kezdeményezéséhez
- 3039-es esemény az LDAP-csatornakötés használatának kihagyásáért
- 3074-es vagy 3075-ös esemény, ha nem lehet LDAP-csatornakötést alkalmazni

Eszköztípusok

Az eszköztípusok csoportosítása 3 kategóriából 1-be:

Berendezés vagy útválasztó –
- Lépjen kapcsolatba az eszközszolgáltatóval.
Windows operációs rendszeren nem futó eszköz –
- Ellenőrizze, hogy az LDAP-csatornakötés és az LDAP-aláírás is támogatott-e az operációs rendszeren és az alkalmazásban. Ehhez használja az operációs rendszert és az alkalmazásszolgáltatót.
Windows operációs rendszeren futó eszköz –
- Az LDAP-aláírást minden alkalmazás használhatja a Windows összes támogatott verziójában. Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-aláírást használ-e.
- Az LDAP-csatornakötéshez minden Windows-eszközön telepítve kell lennie a CVE-2017-8563-nak . Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-csatornakötést használ-e.

Használjon helyi, távoli, általános vagy eszközspecifikus nyomkövetési eszközöket. Ilyenek például a hálózati rögzítések, a folyamatkezelő vagy a hibakeresési nyomkövetések. Állapítsa meg, hogy az alapvető operációs rendszer, szolgáltatás vagy alkalmazás aláíratlan LDAP-kötéseket hajt-e végre, vagy nem használja a CBT-t.

Használja a Windows Feladatkezelőt vagy annak megfelelőt a folyamatazonosítónak a folyamat, a szolgáltatás és az alkalmazásnevek megfeleltetéséhez.

Biztonsági frissítési ütemterv

A 2020. március 10-i frissítés új vezérlőkkel bővítette a rendszergazdák számára az LDAP-csatornakötés és az LDAP-aláírás konfigurálásának megerősítését az Active Directory-tartományvezérlőkön. A 2023. augusztus 8-i és október 10-i frissítések lehetőséget adnak a rendszergazdáknak az LDAP-csatornakötési jogkivonatokat nem használó ügyfélgépek naplózására. Határozottan javasoljuk ügyfeleinknek, hogy a lehető leghamarabb meghozhassák az ebben a cikkben javasolt műveleteket.

Céldátum	Esemény	A következőkre vonatkozik:
2020. március 10.	Kötelező: A biztonsági frissítés az Windows Update minden támogatott Windows-platformon elérhető. Megjegyzés A standard támogatáson kívüli Windows-platformok esetében ez a biztonsági frissítés csak a vonatkozó kiterjesztett támogatási programokon keresztül érhető el. Az LDAP-csatornakötések támogatását a CVE-2017-8563 adta hozzá a Windows Server 2008 és újabb verziókon. A csatornakötési jogkivonatok a Windows 10 1709-es és újabb verzióiban támogatottak. A Windows XP nem támogatja az LDAP-csatornakötést, és sikertelen lenne, ha az LDAP-csatornakötés Always érték használatával van konfigurálva, de együttműködne a konfigurált nic-ekkel, hogy lazább LDAP-csatornakötési beállítást használjanak ( Ha támogatott).	Windows Server 2022 Windows 10, 20H2-es verzió Windows 10, 1909-es verzió (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Kiterjesztett biztonsági frissítés (ESU))
2023. augusztus 8.	Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2022-ben.	Windows Server 2022
2023. október 10.	Hozzáadja az LDAP-csatorna kötési jogkivonatának naplózási eseményeit (3074 & 3075). Alapértelmezés szerint le vannak tiltva a Windows Server 2019-ben.	Windows Server 2019
2023. november 14.	Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2022-ben (az ajánlott műveletek 3. lépésében leírtak szerint).	Windows Server 2022
2024. január 9.	Az LDAP-csatorna kötési jogkivonatainak naplózási eseményei engedélyező MSI telepítése nélkül érhetők el a Windows Server 2019-ben (az ajánlott műveletek 3. lépésében leírtak szerint).	Windows Server 2019

Gyakori kérdések

Az LDAP-csatornakötéssel és az Active Directory-tartományvezérlők ldAP-aláírásával kapcsolatos gyakori kérdésekre adott válaszokért lásd: