Introduzione

L'associazione del canale LDAP e la firma LDAP consentono di aumentare la sicurezza per le comunicazioni tra client LDAP e controller di dominio Active Directory. Nei controller di dominio Active Directory è presente un set di configurazioni predefinite non sicure per l'associazione dei canali LDAP e la firma LDAP che consentono ai client LDAP di comunicare con loro senza forzare l'associazione del canale LDAP e la firma LDAP. In questo modo è possibile aprire i controller di dominio Active Directory a una vulnerabilità di elevazione dei privilegi.

Questa vulnerabilità potrebbe consentire a un utente malintenzionato di inoltrare correttamente una richiesta di autenticazione a un server di dominio Microsoft che non è stato configurato per richiedere l'associazione, la firma o il sigillo dei canali sulle connessioni in ingresso.

Microsoft consiglia agli amministratori di apportare le modifiche di protezione avanzata descritte in ADV190023.

Il 10 marzo 2020 stiamo risolvendo questa vulnerabilità fornendo agli amministratori le opzioni seguenti per la protezione avanzata delle configurazioni per il binding dei canali LDAP nei controller di dominio Active Directory:

  • Controller di dominio: requisiti del token di binding del canale del server LDAP Criteri di gruppo.

  • Eventi di firma CBT (Channel Binding Tokens) 3039, 3040 e 3041 con il mittente dell'evento Microsoft-Windows-Active Directory_DomainService nel log eventi del servizio directory.

Importante: gli aggiornamenti e gli aggiornamenti del 10 marzo 2020 nel prossimo futuro non modificheranno i criteri predefiniti di firma LDAP o binding del canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Il criterio Controller di dominio di firma LDAP: requisiti di firma del server LDAP esiste già in tutte le versioni supportate di Windows.

Perché è necessaria questa modifica

La sicurezza dei controller di dominio Active Directory può essere notevolmente migliorata configurando il server in modo da rifiutare i binding LDAP SASL (Simple Authentication and Security Layer) che non richiedono la firma (verifica dell'integrità) o rifiutano i binding semplici LDAP eseguiti su una connessione non crittografata (non SSL/TLS). I binding SASL possono includere protocolli quali Negotiate, Kerberos, NTLM e Digest.

Il traffico di rete non firmato è suscettibile agli attacchi replay, che consentono a un intruso di intercettare il tentativo di autenticazione e l'emissione di un ticket. L'intruso potrà quindi riutilizzare il ticket per rappresentare l'utente legittimo. Inoltre, il traffico di rete non firmato è soggetto ad attacchi man-in-the-middle (MiTM) in cui un intruso acquisisce pacchetti tra il client e il server, modifica i pacchetti e quindi li inoltra al server. Se questo problema si verifica in un controller di dominio Active Directory, un utente malintenzionato può fare in modo che un server possa prendere decisioni basate su richieste falsificate provenienti dal client LDAP. LDAPS usa una porta di rete distinta per connettere client e server. La porta predefinita per LDAP è la porta 389, ma LDAPS usa la porta 636 e stabilisce SSL/TLS al momento della connessione con un client.

I token di associazione dei canali rendono più sicura l'autenticazione LDAP su SSL/TLS contro gli attacchi man-in-the-middle.

Aggiornamenti del 10 marzo 2020

Importante Gli aggiornamenti del 10 marzo 2020 non modificano i criteri predefiniti per la firma LDAP o il binding del canale LDAP o l'equivalente del Registro di sistema nei controller di dominio Active Directory nuovi o esistenti.

Windows aggiornamenti che verranno rilasciati il 10 marzo 2020 aggiungono le caratteristiche seguenti:

  • I nuovi eventi vengono registrati nel Visualizzatore eventi correlati all'associazione di canale LDAP. Per informazioni dettagliate su questi eventi, vedere la tabella 1 e la tabella 2 .

  • Un nuovo controller di dominio: requisiti del token di binding del canale del server LDAP Criteri di gruppo per configurare il binding del canale LDAP nei dispositivi supportati.

Il mapping tra le impostazioni dei criteri di firma LDAP e le impostazioni del Registro di sistema è incluso nel modo seguente:

  • Impostazione dei criteri: "Controller di dominio: requisiti di firma del server LDAP"

  • Impostazione del Registro di sistema: LDAPServerIntegrity

  • DataType: DWORD

  • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Impostazione di Criteri di gruppo

Impostazione del Registro di sistema

Nessuno

1

Richiedi firma

2

Il mapping tra le impostazioni dei criteri di associazione dei canali LDAP e le impostazioni del Registro di sistema è incluso nel modo seguente:

  • Impostazione dei criteri: "Controller di dominio: requisiti del token di binding del canale del server LDAP"

  • Impostazione del Registro di sistema: LdapEnforceChannelBinding

  • DataType: DWORD

  • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Impostazione di Criteri di gruppo

Impostazione del Registro di sistema

Mai

0

Se supportato

1

Sempre

2


Tabella 1: eventi di firma LDAP

Descrizione

Trigger

2886

La sicurezza di questi controller di dominio può essere notevolmente migliorata configurando il server in modo da applicare la convalida della firma LDAP.

Attivato ogni 24 ore, all'avvio o all'avvio del servizio se Criteri di gruppo è impostato su Nessuno. Livello di registrazione minimo: 0 o superiore

2887

La sicurezza di questi controller di dominio può essere migliorata configurandoli in modo da rifiutare semplici richieste di binding LDAP e altre richieste di binding che non includono la firma LDAP.

Attivato ogni 24 ore quando Criteri di gruppo è impostato su Nessuno ed è stato completato almeno un binding non protetto. Livello di registrazione minimo: 0 o superiore

2888

La sicurezza di questi controller di dominio può essere migliorata configurandoli in modo da rifiutare semplici richieste di binding LDAP e altre richieste di binding che non includono la firma LDAP.

Attivato ogni 24 ore quando Criteri di gruppo è impostato su Richiedi firma e almeno un binding non protetto è stato rifiutato. Livello di registrazione minimo: 0 o superiore

2889

La sicurezza di questi controller di dominio può essere migliorata configurandoli in modo da rifiutare semplici richieste di binding LDAP e altre richieste di binding che non includono la firma LDAP.

Generato quando un client non usa la firma per i binding nelle sessioni sulla porta 389. Livello minimo di registrazione: 2 o superiore

Tabella 2: eventi CBT

Evento

Descrizione

Trigger

3039

Il client seguente ha eseguito un binding LDAP su SSL/TLS e non ha superato la convalida del token di binding del canale LDAP.

Attivato in una delle circostanze seguenti:

  • Quando un client prova a eseguire l'associazione con un token di associazione di canale (CBT) formattato in modo non corretto, se i Criteri di gruppo CBT sono impostati su Quando supportato o Sempre.

  • Quando un client che supporta l'associazione di canali non invia un CBT se Criteri di gruppo CBT è impostato su Quando supportato. Aclient  è in grado di eseguire l'associazione dei canali se la caratteristica EPA è installata o disponibile nel sistema operativo e non viene disabilitata tramite l'impostazione del Registro di sistema SuppressExtendedProtection.

  • Quando un client non invia un messaggio CBT se Criteri di gruppo CBT è impostato su Sempre.

Livello di registrazione minimo: 2

3040

Durante il periodo di 24 ore precedente, sono stati eseguiti #di binding LDAP non protetti.

Attivato ogni 24 ore quando Criteri di gruppo CBT è impostato su Mai ed è stato completato almeno un binding non protetto. Livello minimo di registrazione: 0

3041

La sicurezza di questo server di directory può essere notevolmente migliorata configurando il server in modo da applicare la convalida dei token di binding del canale LDAP.

Attivato ogni 24 ore, all'avvio o all'avvio del servizio se Criteri di gruppo CBT è impostato su Mai. Livello minimo di registrazione: 0


Per impostare il livello di registrazione nel Registro di sistema, usare un comando analogo al seguente:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 eventi di interfaccia LDAP" /t REG_DWORD /d 2

Per altre informazioni su come configurare la registrazione degli eventi di diagnostica di Active Directory, vedere l'articolo seguente nella Microsoft Knowledge Base:

314980 Come configurare la registrazione degli eventi di diagnostica di Active Directory e LDS

Azioni consigliate

Consigliamo vivamente ai clienti di eseguire le operazioni seguenti al più presto:

  1. Installare gli aggiornamenti del Windows del 10 marzo 2020 nei computer dei ruoli del controller di dominio (DC) al rilascio degli aggiornamenti.

  2. Abilitare la registrazione diagnostica degli eventi LDAP su 2 o versione successiva.

  3. Monitorare il log eventi dei servizi directory in tutti i computer dei ruoli del controller di dominio filtrati per:

    • Evento di errore di firma LDAP 2889 elencato nella tabella 1.

    • Evento di errore 3039 dell'associazione di canale LDAP nella tabella 2.

      Nota L'evento 3039 può essere generato solo quando l'associazione di canale è impostata su Quando supportata o Sempre.

  4. Identificare la make, il modello e il tipo di dispositivo per ogni indirizzo IP citato dall'evento 2889 come effettuare chiamate LDAP non firmate o da eventi 3039 come non usare l'associazione di canale LDAP.

Raggruppare i tipi di dispositivi in 1 di 3 categorie:

  1. Appliance o router

    • Contattare il provider di dispositivi.

  2. Dispositivo che non viene eseguito in un Windows operativo

    • Verificare che sia il binding del canale LDAP che la firma LDAP siano supportati nel sistema operativo e quindi nell'applicazione usando il sistema operativo e il provider di applicazioni.

  3. Dispositivo che viene eseguito in un Windows operativo

    • La firma LDAP è disponibile per l'uso da parte di tutte le applicazioni in tutte le versioni supportate di Windows. Verificare che l'applicazione o il servizio utilizzi la firma LDAP.

    • Il binding del canale LDAP richiede che in Windows dispositivi mobili sia installato CVE-2017-8563. Verificare che l'applicazione o il servizio utilizzi il binding di canale LDAP.

Usare strumenti di traccia locali, remoti, generici o specifici del dispositivo, tra cui acquisizioni di rete, gestione processi o tracce di debug per determinare se il sistema operativo di base, un servizio o un'applicazione esegue associazioni LDAP non firmate o non usa CBT.

Usare Windows Task Manager o equivalente per mappare l'ID processo ai nomi di processi, servizi e applicazioni.

Pianificazione dell'aggiornamento della sicurezza

Gli aggiornamenti del 10 marzo 2020 forniscono agli amministratori controlli per la protezione avanzata delle configurazioni per l'associazione dei canali LDAP e la firma LDAP nei controller di dominio Active Directory. È consigliabile consigliare ai clienti di eseguire le azioni consigliate in questo articolo al più presto.

Data target

Evento

Si applica a

10 marzo 2020

Obbligatorio: aggiornamento della sicurezza disponibile in Windows per tutte le piattaforme Windows supportate.

Nota Per Windows non supportate dal supporto standard, questo aggiornamento della sicurezza sarà disponibile solo tramite i programmi di supporto esteso applicabili.

Il supporto del binding del canale LDAP è stato aggiunto da CVE-2017-8563 in Windows Server 2008 e versioni successive. I token di associazione dei canali sono supportati in Windows 10, versione 1709 e versioni successive.

Windows XP non supporta il binding di canale LDAP e non riesce quando il binding del canale LDAP è configurato usando un valore Always, ma interagisce con i controller di dominio configurati per usare l'impostazione di binding del canale LDAP più rilassata, se supportata.

Windows 10, versione 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Extended Security Update))

Domande frequenti

Per le risposte alle domande frequenti sul binding del canale LDAP e sulla firma LDAP nei controller di dominio Active Directory, vedere Domande frequenti sulle modifiche al protocollo Lightweight Directory Access Protocol.

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×