Requisito 2020 relativo al binding di canale LDAP e alla firma LDAP per Windows

Si applica a: Windows 10, version 1909Windows 10, version 1903Windows 10, version 1809

Riepilogo


Binding di canale LDAP e firma LDAP offrono modi per aumentare la sicurezza delle comunicazioni di rete tra un'istanza di Active Directory Domain Services (Active Directory Domain Services) o di Active Directory Lightweight Directory Services (AD LDS) e i relativi client. È presente una vulnerabilità nella configurazione predefinita del binding di canale LDAP (Lightweight Directory Access Protocol) e della firma LDAP che può esporre i controller di dominio di Active Directory a vulnerabilità relative all'elevazione dei privilegi. L'avviso di sicurezza ADV190023 Microsoft consente di risolvere il problema consigliando agli amministratori di abilitare binding di canale LDAP e firma LDAP sui controller di dominio di Active Directory. È necessario eseguire questa protezione avanzata manualmente fino al rilascio dell'aggiornamento della sicurezza, che abilita automaticamente tali impostazioni. 

Microsoft intende rilasciare un aggiornamento della sicurezza su Windows Update per abilitare le modifiche di protezione avanzata relative a binding di canale LDAP e firma LDAP. Questo aggiornamento sarà disponibile a marzo 2020.

Perché è necessaria questa modifica


Microsoft consiglia agli amministratori di apportare le modifiche di protezione avanzata descritte in ADV190023 poiché quando si utilizzano le impostazioni predefinite, si verifica una vulnerabilità relativa all'elevazione dei privilegi in Microsoft Windows che potrebbe consentire all'autore di un attacco man-in-the-middle di inoltrare una richiesta di autenticazione a un server LDAP Windows, ad esempio un sistema che esegue Active Directory Domain Services o AD LDS, non configurato in modo da richiedere la firma o il sealing sulle connessioni in entrata. La sicurezza di un server di directory può essere notevolmente migliorata configurando il server in modo da rifiutare i binding LDAP Simple Authentication and Security Layer (SASL) che non richiedono la firma (verifica di integrità) o di rifiutare i binding LDAP semplici eseguiti su una connessione non crittografata (senza crittografia SSL/TLS). I binding SASL possono includere protocolli quali Negotiate, Kerberos, NTLM e Digest. Il traffico di rete non firmato è suscettibile agli attacchi replay, che consentono a un intruso di intercettare il tentativo di autenticazione e l'emissione di un ticket. L'intruso potrà quindi riutilizzare il ticket per rappresentare l'utente legittimo. Il traffico di rete non firmato è inoltre soggetto ad attacchi man-in-the-middle, che consentono a un intruso di acquisire i pacchetti tra il client e il server, modificarli e inoltrarli al server. Se ciò si verifica su un server LDAP, un autore di attacchi può indurre un server a prendere decisioni basate su richieste contraffatte provenienti dal client LDAP.

Azioni consigliate


Microsoft consiglia vivamente agli amministratori di abilitare il binding di canale LDAP e la firma LDAP da ora fino a marzo 2020 per trovare e risolvere eventuali problemi di compatibilità correlati a sistemi operativi, applicazioni o dispositivi intermedi nel loro ambiente. Se viene rilevato un problema di compatibilità, gli amministratori dovranno contattare il produttore del sistema operativo, dell'applicazione o del dispositivo specifico ai fini del supporto.

Importante: questa modifica di protezione avanzata ha maggiore probabilità di influire su qualsiasi versione di sistema operativo, applicazione e dispositivo intermedio che esegue un'ispezione man-in-the-middle del traffico LDAP.

Pianificazione dell'aggiornamento della sicurezza


Microsoft desidera applicare la seguente pianificazione per abilitare il supporto del binding di canale LDAP e della firma LDAP. La sequenza temporale qui sotto è soggetta a modifiche. Questa pagina verrà aggiornata all'inizio del processo, come necessario.

Data target

Evento

Si applica a

13 agosto 2019

Azione da intraprendere: avviso di sicurezza Microsoft ADV190023 pubblicato per introdurre il supporto per binding di canale LDAP e firma LDAP. Gli amministratori dovranno testare queste impostazioni nel proprio ambiente dopo averle regolate manualmente nei server in uso.

Windows Server 2008 SP2
Windows 7 SP1

Windows Server 2008 R2 SP1 
Windows Server 2012

Windows 8.1
Windows Server 2012 R2
Windows 10, 1507
Windows Server 2016
Windows 10, 1607
Windows 10, 1703
Windows 10, 1709
Windows 10, 1803
Windows 10, 1809
Windows Server 2019

Windows 10, 1903
Windows 10, 1909

Marzo 2020

Richiesto: aggiornamento della sicurezza disponibile su Windows Update per tutte le piattaforme Windows supportate, che consente di abilitare, per impostazione predefinita, il binding di canale LDAP e la firma LDAP sui server Active Directory.

Nota Per le piattaforme Windows che non supportano standard, questo aggiornamento della sicurezza sarà disponibile solo tramite i programmi di supporto esteso applicabili.

Windows Server 2008 SP2 (Aggiornamento della sicurezza esteso)
Windows 7 SP1 (Aggiornamento della sicurezza esteso)

Windows Server 2008 R2 SP1 (Aggiornamento della sicurezza esteso)
Windows Server 2012

Windows 8.1
Windows Server 2012 R2
Windows 10, 1507
Windows Server 2016
Windows 10, 1607
Windows 10, 1703
Windows 10, 1709
Windows 10, 1803
Windows 10, 1809
Windows Server 2019

Windows 10, 1903
Windows 10, 1909