Ismertető

Az LDAP-csatornakötések és az LDAP-aláírások lehetőséget nyújtanak az LDAP-ügyfelek és az Active Directory-tartományvezérlők közötti kommunikáció biztonságának növelésére. Az LDAP-csatornák kötéséhez és LDAP-aláíráshoz nem biztonságos alapértelmezett konfigurációk létezik olyan Active Directory-tartományvezérlőkben, amelyek lehetővé tik az LDAP-ügyfelek számára, hogy az LDAP-csatornakötések és az LDAP-aláírás kényszerítés nélkül kommunikáljanak velük. Ez az Active Directory-tartományvezérlőket a jogosultsági szint magasabb szintű biztonsági réseként nyithatja meg.

Ez a biztonsági rés lehetővé teheti a középen támadó férfinek, hogy sikeresen továbbküldje a hitelesítési kérelmet egy Olyan Microsoft-tartománykiszolgálónak, amely nincs konfigurálva csatornakötésre, aláírásra vagy lepecsételésre a bejövő kapcsolatokon.

A Microsoft azt javasolja a rendszergazdáknak, hogy tírják le az ADV190023 szoftverben leírt módosításokat.

2020. március 10-én a biztonsági rés ellen az alábbi lehetőségek állnak rendelkezésre a rendszergazdák számára az LDAP-csatornakötések megkétzéséhez az Active Directory tartományvezérlőkön:

  • Tartományvezérlő: LDAP-kiszolgálócsatorna kötés jogkivonat-követelményei Csoportházirend.

  • Channel Binding Tokens (CBT) signing events 3039, 3040 és 3041 with event sender Microsoft-Windows-Active Directory_DomainService in the Directory Service event log.

Fontos:A 2020. március 10-i frissítések és frissítések a közeljövőben nem módosítják az LDAP-aláírásokat és az LDAP-csatornák kötésére vonatkozó alapértelmezett házirendeket, illetve az új vagy meglévő Active Directory-tartományvezérlők beállításjegyzékének megfelelőit.

Az LDAP-aláíró tartományvezérlő: Az LDAP-kiszolgáló aláírási követelményeinek házirendje már létezik a Windows.

Miért van szükség a módosításra

Az Active Directory tartományvezérlők biztonsága jelentős mértékben javítható azáltal, hogy a kiszolgálót konfigurálja az EGYSZERŰ hitelesítés és biztonsági réteg (SASL) LDAP-kapcsolat elutasítására, amely nem kér aláírást (integritás-ellenőrzést), illetve nem utasítja el a nem SSL/TLS-titkosítású kapcsolaton végrehajtott LDAP-egyszerű kötéseket. Az SASL tartalmazhat olyan protokollokat, mint az egyeztetés, a Kerberos, az NTLM és a kivonatoló protokollok.

Az aláíratlan hálózati forgalom érzékeny a visszajátszásos támadásokra, amelyekben a behatoló elfogja a hitelesítési kísérletet és a jegy kiállítását. A behatoló újrafelhasználhatja a jegyet, hogy megszemélyesítse a valódi felhasználót. Az aláíratlan hálózati forgalom továbbá képes arra, hogy mitm-támadásokat generál a középen, ahol egy betolakodó rögzíti a csomagokat az ügyfél és a kiszolgáló között, módosítja a csomagokat, majd továbbítja őket a kiszolgálónak. Ha ez egy Active Directory-tartományvezérlőn fordul elő, a támadóknak olyan döntéseket kell hoznia, amelyek az LDAP-ügyfél által kért hamis kérelmeken alapulnak. Az LDAPS saját külön hálózati portot használ az ügyfelek és a kiszolgálók csatlakoztatásához. Az LDAP alapértelmezett portja a 389-es port, de az LDAPS a 636-os portot használja, és ssl/TLS-t hoz létre az ügyfélhez való csatlakozáskor.

A csatornakötési jogkivonatok segítségével az SSL/TLS-alapú LDAP-hitelesítés biztonságosabb a középen elleni támadásokkal szemben.

2020. március 10-i frissítések

Fontos A 2020. március 10-i frissítések nem módosítják az LDAP-aláírást vagy az LDAP-csatornakötések alapértelmezett házirendeit, illetve az új vagy meglévő Active Directory-tartományvezérlők beállításjegyzékének megfelelőit.

Windows 2020. március 10-én kiadható frissítések a következő funkciókat adjuk hozzá:

  • Az új eseményeket az Eseménynapló az LDAP-csatornakötésekkel kapcsolatban naplózza. Ezekről az eseményekről az 1. és a 2. táblázatban olvashat.

  • Új tartományvezérlő: LDAP-kiszolgálói csatornakötések tokenkövetelményei csoportházirend, amely konfigurálja az LDAP-csatornakötéseket a támogatott eszközökön.

Az LDAP-aláírási házirend beállításai és a beállításjegyzék beállításai közötti megfeleltetés az alábbiak szerint történik:

  • Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgáló-aláírási követelmények"

  • Beállításjegyzék-beállítás: LDAPServerIntegrity

  • Adattípus: DWORD

  • Beállításjegyzékbeli elérési út: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Csoportházirend-beállítás

Beállításjegyzék-beállítás

Nincs

1

Aláírás megkövetelve

2

Az LDAP-csatornakötési házirend beállításai és a beállításjegyzék-beállítások közötti megfeleltetés az alábbiak szerint történik:

  • Házirend-beállítás: "Tartományvezérlő: LDAP-kiszolgálócsatorna kötés jogkivonat-követelményei"

  • Beállításjegyzék-beállítás: LdapEnforceChannelBinding

  • Adattípus: DWORD

  • Beállításjegyzékbeli elérési út: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Csoportházirend-beállítás

Beállításjegyzék-beállítás

Soha

0

Támogatott

1

Mindig

2


1. táblázat: LDAP-aláíró események

Ismertetés

Eseményindító

2886

Ezeknek a tartományvezérlőknek a biztonsága jelentősen javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy érvényesítse az LDAP-aláírást.

24 óránként indulnak el, és a szolgáltatás elindul, ha a csoportházirend Nincs beállításra van állítva. Minimális naplózási szint: 0 vagy újabb

2887

Ezeknek a tartományvezérlőknek a biztonsága javítható úgy, hogy konfigurálja őket az egyszerű LDAP-kötési kérések és az LDAP-aláírást nem foglaló egyéb kötési kérések elutasítására.

24 óránként aktiválódik, ha a Csoportházirend nincs beállításra van állítva, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0 vagy újabb

2888

Ezeknek a tartományvezérlőknek a biztonsága javítható úgy, hogy konfigurálja őket az egyszerű LDAP-kötési kérések és az LDAP-aláírást nem foglaló egyéb kötési kérések elutasítására.

24 óránként aktiválódik, ha a csoportházirendnél az Aláírás megkövetelása beállítás van megállítva, és legalább egy nem védett kötés el lett utasítva. Minimális naplózási szint: 0 vagy újabb

2889

Ezeknek a tartományvezérlőknek a biztonsága javítható úgy, hogy konfigurálja őket az egyszerű LDAP-kötési kérések és az LDAP-aláírást nem foglaló egyéb kötési kérések elutasítására.

Akkor aktiválódik, ha egy ügyfél nem használ aláírást a 389-es porton található munkamenetekben. Minimális naplózási szint: 2 vagy újabb

2. táblázat: CBT-események

Esemény

Ismertetés

Eseményindító

3039

A következő ügyfél LDAP-kötést végzett SSL/TLS-kapcsolaton keresztül, és nem sikerült az LDAP-csatorna kötés jogkivonat-érvényesítése.

A következő körülmények bármelyike esetén kiváltható:

  • Ha egy ügyfél nem megfelelően formázott Channel Binding Tokent (CBT) kísérel meg kötni, ha a CBT csoportházirend a Támogatott vagy a Mindig beállításra van állítva.

  • Ha egy csatornakötést támogató ügyfélprogram nem küld CBT-t, ha a CBT csoportházirend a Támogatottak beállításra van állítva.Az ügyfél olyan csatornakötések, amelyek akkor használhatók, ha az EPA szolgáltatás telepítve van vagy elérhető az operációs rendszerben, és nem lett letiltva a  SuppressExtendedProtection beállításjegyzékbeli beállítással.

  • Ha egy ügyfél nem küld CBT-t, ha a CbT csoportházirend a Always (Mindig) beállításra van állítva.

Minimális naplózási szint: 2

3040

Az előző 24 órás időszakban # számú nem védett LDAP-kötést hajtottak végre.

24 óránként aktiválódik, ha a CbT csoportházirend soha, és legalább egy nem védett kötés befejeződött. Minimális naplózási szint: 0

3041

A címtárkiszolgáló biztonsága jelentős mértékben javítható azáltal, hogy úgy konfigurálja a kiszolgálót, hogy érvényesítse az LDAP-csatorna-kötési jogkivonatokat.

24 óránként indul, és indításkor vagy szolgáltatásindításkor indul, ha a CbT csoportházirend soha van beállítva. Minimális naplózási szint: 0


A beállításjegyzék naplózási szintjének beállításához az alábbihoz hasonló parancsot használjon:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Az Active Directory diagnosztikai események naplózásának konfigurálásával kapcsolatos további információkért lásd a Microsoft Tudásbázis alábbi cikkét:

314980 Az Active Directory és az LDS diagnosztikai események naplózásának konfigurálása

Ajánlott műveletek

Határozottan javasoljuk ügyfeleinknek, hogy a lehető legkorábbi időpontban tetsző lépésekkel lépnek adatokat:

  1. A 2020. március 10-i Windows frissítések telepítése tartományvezérlő (DC) szerepkörrel használható számítógépeken a frissítések telepítésekor.

  2. Az LDAP-események diagnosztikai naplózásának engedélyezése 2-es vagy újabbra.

  3. Címtárszolgáltatás-eseménynapló figyelése minden olyan tartományvezérlői szerepkörű számítógépen, amelyekre szűrve van:

    • LDAP-aláírás hibaeseménye (2889) az 1. táblázatban felsorolva.

    • LDAP Channel Binding failure event 3039 in Table 2.

      Megjegyzés A 3039-es esemény csak akkor generálható, ha a Csatornakötés beállítás a Támogatott vagy a Mindig beállításra van állítva.

  4. Azonosítsa a 2889-es esemény által idézett egyes IP-címekhez tartozó eszköztípust aláíratlan LDAP-hívásokként vagy 3039-es eseményekként úgy, hogy nem használ LDAP-csatornakötést.

Eszköztípusok csoportosítása a 3 kategóriából 1-be:

  1. Készülék vagy útválasztó

    • Lépjen kapcsolatba az eszközszolgáltatóval.

  2. Eszköz, amely nem fut Windows operációs rendszeren

    • Ellenőrizze, hogy az LDAP-csatornakötés és az LDAP-aláírás támogatott-e az operációs rendszeren, majd az alkalmazáson az operációs rendszer és az alkalmazásszolgáltató segítségével.

  3. Eszköz, amely nem Windows operációs rendszeren

    • Az LDAP-aláírás az összes alkalmazás számára elérhető az összes támogatott Windows. Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-aláírást használ-e.

    • Az LDAP-csatornakötések megkövetelik, hogy Windows összes eszközén telepítve legyen a CVE-2017-8563. Ellenőrizze, hogy az alkalmazás vagy szolgáltatás LDAP-csatornakötést használ-e.

A helyi, távoli, általános vagy eszközspecifikus nyomkövetési eszközök (például hálózati rögzítések, folyamatkezelők vagy hibakeresési nyomkövetések) használatával megállapíthatja, hogy a fő operációs rendszer, szolgáltatás vagy alkalmazás aláíratlan LDAP-kötéseket végez-e, vagy nem használ CBT-t.

A Windows feladatkezelővel vagy annak megfelelő értékekkel megfeleltetve feleltetje meg a folyamatazonosítót a folyamatnevek, szolgáltatások és alkalmazások nevének.

Biztonsági frissítési ütemterv

A 2020. március 10-i frissítések vezérlőket biztosítanak a rendszergazdáknak az LDAP-csatornakötések és az Active Directory-tartományvezérlők LDAP-aláírásai konfigurálásának megkéssahoz. Határozottan javasoljuk ügyfeleinknek, hogy a lehető legkorábbi időpontban temetik el a cikkben javasolt műveleteket.

Céldátum

Esemény

Vonatkozik a következőre:

2020. március 10.

Kötelező: Biztonsági frissítés az összes támogatott Windows verzióhoz elérhető Windows frissítésben.

Megjegyzés A Windows nem támogatott platformok esetében ez a biztonsági frissítés csak a vonatkozó kiterjesztett támogatási programokon keresztül lesz elérhető.

Az LDAP-csatornakötések támogatását a CVE-2017-8563 Windows Server 2008 és újabb verziók már támogatják. A csatornakötési jogkivonatokat a Windows 10 1709-es és újabb verziók támogatják.

Windows Az XP nem támogatja az LDAP-csatornakötéseket, és sikertelen lesz, ha az LDAP-csatornakötések beállítása a Always (Mindig) érték meg van állítva, de együttműködik a Ha támogatott módszerrel a nyugodtabb LDAP-csatornabekötési beállítással konfigurált DCS-ekkel.

Windows 10 server 2019 1909-es (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2 Windows Server 2012

Windows Server

2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (kiterjesztett biztonsági frissítés))

Gyakori kérdések

Az LDAP-csatornakötésekkel és az Active Directory-tartományvezérlőkön való LDAP-bejelentkezéssel kapcsolatos gyakori kérdésekre a Gyakori kérdések az Lightweight Directory Access Protocolmódosításaival kapcsolatban.

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Mennyire elégedett a fordítás minőségével?
Mi befolyásolta a felhasználói élményét?

Köszönjük visszajelzését!

×