소개

LDAP 채널 바인딩LDAP 서명은 LDAP 클라이언트와 Active Directory 도메인 컨트롤러 간의 통신에 대한 보안을 높이는 방법을 제공합니다. LDAP 채널 바인딩 및 LDAP 서명에 대한 안전하지 않은 기본 구성 집합은 LDAP 채널 바인딩 및 LDAP 서명을 적용하지 않고 LDAP 클라이언트가 해당 도메인 컨트롤러와 통신할 수 있도록 하는 Active Directory 도메인 컨트롤러에 있습니다. 그러면 Active Directory 도메인 컨트롤러를 권한 취약성의 상승으로 열 수 있습니다.

이 취약성을 사용하면 중간에 있는 공격자가 들어오는 연결에서 채널 바인딩, 서명 또는 밀봉을 요구하도록 구성되지 않은 Microsoft 도메인 서버에 인증 요청을 성공적으로 전달할 수 있습니다.

Microsoft는 관리자가 ADV190023에 설명된 경화 변경을 권장합니다.

2020년 3월 10일, Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩에 대한 구성을 강하게 하는 관리자가 다음 옵션을 제공하여 이 취약성을 해결합니다.

  • 도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항 그룹 정책.

  • 이벤트 발신자 Microsoft-Windows-Active Directory_DomainService CBT(채널 바인딩 토큰) 서명 이벤트 3039, 3040 및 3041

중요: 2020년 3월 10일 업데이트 및 업데이트는 LDAP 서명 또는 LDAP 채널 바인딩 기본 정책 또는 새 Active Directory 도메인 컨트롤러에 해당하는 레지스트리를 변경하지 않습니다.

LDAP 서명 도메인 컨트롤러: LDAP 서버 서명 요구 사항 정책은 지원되는 모든 버전에 Windows.

이 변경이 필요한 이유

서명(무결성 확인)을 요청하지 않는 간단한 인증 및 보안 계층(SASL) LDAP 바인딩을 거부하거나 명확한 텍스트(비 SSL/TLS 암호화) 연결에서 수행되는 LDAP 단순 바인딩을 거부하도록 서버를 구성하여 Active Directory 도메인 컨트롤러의 보안을 크게 향상시킬 수 있습니다. SASL에는 협상, Kerberos, NTLM 및 Digest 프로토콜과 같은 프로토콜이 포함할 수 있습니다.

부호 없는 네트워크 트래픽은 침입자가 인증 시도 및 티켓의 발행을 가로채는 공격을 재생하기에 매우 적습니다. 침입자에서 티켓을 다시 사용하여 합법적인 사용자를 가장할 수 있습니다. 또한 부호 없는 네트워크 트래픽은 침입자가 클라이언트와 서버 간에 패킷을 캡처하고 패킷을 변경한 다음 서버로 전달하는 MiTM(Man-in-the-Middle) 공격에 해당합니다. Active Directory 도메인 컨트롤러에서 이 문제가 발생하는 경우 공격자는 서버가 LDAP 클라이언트의 요청에 따라 결정을 내릴 수 있습니다. LDAPS는 고유한 네트워크 포트를 사용하여 클라이언트와 서버를 연결합니다. LDAP의 기본 포트는 포트 389이지만 LDAPS는 포트 636을 사용하며 클라이언트와 연결하면 SSL/TLS를 설정합니다.

채널 바인딩 토큰은 SSL/TLS를 통해 LDAP 인증을 맨-에-더 중간 공격에 대해 더 안전하게 만드는 데 도움이 됩니다.

2020년 3월 10일 업데이트

중요 2020년 3월 10일 업데이트는 LDAP 서명 또는 LDAP 채널 바인딩 기본 정책 또는 새 Active Directory 도메인 컨트롤러에 해당하는 레지스트리를 변경하지 않습니다.

Windows 2020년 3월 10일 릴리스될 업데이트는 다음 기능을 추가합니다.

  • LDAP 채널 바인딩과 관련된 이벤트 뷰어에 새 이벤트가 기록됩니다. 이러한 이벤트에 대한 자세한 내용은 표 1 및 표 2 를 참조하세요.

  • 도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항 그룹 정책은 지원되는 디바이스에서 LDAP 채널 바인딩을 구성합니다.

LDAP 서명 정책 설정과 레지스트리 설정 간의 매핑은 다음과 같습니다.

  • 정책 설정: "도메인 컨트롤러: LDAP 서버 서명 요구 사항"

  • 레지스트리 설정: LDAPServerIntegrity

  • DataType: DWORD

  • 레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

그룹 정책 설정

레지스트리 설정

없음

1

서명 필요

2

LDAP 채널 바인딩 정책 설정과 레지스트리 설정 간의 매핑은 다음과 같이 포함됩니다.

  • 정책 설정: "도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항"

  • 레지스트리 설정: LdapEnforceChannelBinding

  • DataType: DWORD

  • 레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

그룹 정책 설정

레지스트리 설정

Never

0

지원되는 경우

1

Always

2


표 1: LDAP 서명 이벤트

설명

트리거

2886

LDAP 서명의 유효성 검사를 적용하기 위해 서버를 구성하여 이러한 도메인 컨트롤러의 보안을 크게 향상시킬 수 있습니다.

그룹 정책이 없음으로 설정된 경우 시작 또는 서비스 시작 시 24시간마다 트리거 됩니다. 최소 로깅 수준: 0 이상

2887

이러한 도메인 컨트롤러의 보안은 LDAP 서명을 포함하지 않는 간단한 LDAP 바인딩 요청 및 기타 바인딩 요청을 거부하기 위해 구성하여 개선할 수 있습니다.

그룹 정책이 없음으로 설정되어 하나 이상의 보호되지 않은 바인딩이 완료된 경우 24시간마다 트리거됩니다. 최소 로깅 수준: 0 이상

2888

이러한 도메인 컨트롤러의 보안은 LDAP 서명을 포함하지 않는 간단한 LDAP 바인딩 요청 및 기타 바인딩 요청을 거부하기 위해 구성하여 개선할 수 있습니다.

그룹 정책이 서명 요구로 설정되어 보호되지 않은 바인딩이 하나 이상 거부된 경우 24시간마다 트리거됩니다. 최소 로깅 수준: 0 이상

2889

이러한 도메인 컨트롤러의 보안은 LDAP 서명을 포함하지 않는 간단한 LDAP 바인딩 요청 및 기타 바인딩 요청을 거부하기 위해 구성하여 개선할 수 있습니다.

클라이언트가 포트 389의 세션에서 바인딩에 대한 서명을 사용하지 않는 경우 트리거됩니다. 최소 로깅 수준: 2 이상

표 2: CBT 이벤트

이벤트

설명

트리거

3039

다음 클라이언트는 SSL/TLS를 통해 LDAP 바인딩을 수행하고 LDAP 채널 바인딩 토큰 유효성 검사에 실패했습니다.

다음 상황에서 트리거됩니다.

  • CBT 그룹 정책이 지원되는 경우 또는 항상으로 설정된 경우 클라이언트가 부적절하게 서식이 지정된 CBT(채널 바인딩 토큰)와 바인딩 하려고 시도하는 경우.

  • CBT 그룹 정책이 지원되는 경우 채널 바인딩 가능 클라이언트가 CBT를 보내지 않는 경우. Aclient EPA 기능이 OS에 설치되거나 사용할 수 있으며 , Registry 설정을 통해 비활성화되지 않은 경우 채널 바인딩이 가능합니다.

  • CBT 그룹 정책이 Always로 설정된 경우 클라이언트가 CBT를 보내지 않는 경우.

최소 로깅 수준: 2

3040

이전 24시간 동안 # 보호되지 않는 LDAP 바인딩이 수행됩니다.

CBT 그룹 정책이 절대로 설정되어 보호되지 않은 바인딩이 하나 이상 완료된 경우 24시간마다 트리거됩니다. 최소 로깅 수준: 0

3041

LDAP 채널 바인딩 토큰의 유효성 검사를 적용하기 위해 서버를 구성하여 이 디렉터리 서버의 보안을 크게 향상시킬 수 있습니다.

CBT 그룹 정책이 Never로 설정된 경우 시작 또는 서비스 시작 시 24시간마다 트리거 됩니다. 최소 로깅 수준: 0


레지스트리에서 로깅 수준을 설정하기 위해 다음과 같은 명령을 사용 합니다.

Reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP 인터페이스 이벤트" /t REG_DWORD /d 2

Active Directory 진단 이벤트 로깅을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하세요.

314980 Active Directory 및 LDS 진단 이벤트 로깅을 구성하는 방법

권장 조치

고객에게 가장 빠른 기회에 다음 단계를 취하는 것이 좋습니다.

  1. 업데이트가 릴리스될 Windows DC(도메인 컨트롤러) 역할 컴퓨터에 2020년 3월 10일 업데이트를 설치합니다.

  2. LDAP 이벤트 진단 로깅을 2 이상으로 사용하도록 설정합니다.

  3. 필터링된 모든 DC 역할 컴퓨터에서 디렉터리 서비스 이벤트 로그 모니터링:

    • 1에 나열된 LDAP 서명 실패 이벤트 2889입니다.

    • 2의 LDAP 채널 바인딩 실패 이벤트 3039.

      참고 사항 이벤트 3039는 채널 바인딩이 지원되는 경우 또는 항상 으로 설정되어 있을 때만 생성 될 수 있습니다.

  4. 부호 없는 LDAP 호출 또는 3039 이벤트에서 LDAP 채널 바인딩을 사용하지 않는 것으로 이벤트 2889에서 인용한 각 IP 주소에 대한 장치 만들기, 모델 및 형식을 식별합니다.

디바이스 유형을 3개 범주 중 1개로 그룹화합니다.

  1. 어플라이언스 또는 라우터

    • 디바이스 공급자에 문의하세요.

  2. 운영 체제에서 실행되지 않는 Windows 장치

    • 운영 체제 및 애플리케이션 공급자를 사용하여 LDAP 채널 바인딩 및 LDAP 서명이 모두 운영 체제 및 애플리케이션에서 지원되는지 확인합니다.

  3. 운영 체제에서 실행되는 Windows 장치

    • LDAP 서명은 지원되는 모든 버전의 모든 애플리케이션에서 사용할 수 Windows. 애플리케이션 또는 서비스가 LDAP 서명을 사용하고 있는지 확인합니다.

    • LDAP 채널 바인딩은 모든 Windows CVE-2017-8563을 설치해야 합니다. 애플리케이션 또는 서비스가 LDAP 채널 바인딩을 사용하고 있는지 확인

네트워크 캡처, 프로세스 관리자 또는 디버그 추적을 포함한 로컬, 원격, 일반 또는 디바이스별 추적 도구를 사용하여 핵심 운영 체제, 서비스 또는 애플리케이션이 부호 없는 LDAP 바인딩을 수행하고 있는지 또는 CBT를 사용하지 않는지 여부를 확인합니다.

작업 Windows 또는 프로세스 ID를 처리, 서비스 및 애플리케이션 이름에 매핑하는 데 사용할 수 있습니다.

보안 업데이트 일정

2020년 3월 10일 업데이트는 관리자가 Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명에 대한 구성을 강하게 하는 제어 기능을 제공합니다. 이 문서에서 권장하는 작업을 가장 빠른 기회에 취하는 것이 좋습니다.

대상 날짜

이벤트

적용

2020년 3월 10일

필수: 지원되는 모든 플랫폼에 Windows 업데이트에서 Windows 업데이트합니다.

참고 표준 Windows 없는 플랫폼의 경우 이 보안 업데이트는 해당 확장 지원 프로그램을 통해서만 사용할 수 있습니다.

LDAP 채널 바인딩 지원은 서버 2008 이상 버전에서 CVE-2017-8563에 Windows 추가되었습니다. 채널 바인딩 토큰은 Windows 10 버전 1709 이상 버전에서 지원됩니다.

Windows XP는 LDAP 채널 바인딩을 지원하지 않습니다. LDAP 채널 바인딩은 Always 값을 사용하여 구성되지만 지원되는 경우의 완화된 LDAP 채널 바인딩 설정을 사용하도록 구성된 DC와 상호 작동하면 실패합니다.

Windows 10 버전 1909(19H2)

Windows 서버 2019(1809 \ RS5)

Windows Server 2016(1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows 서버 2008 R2 SP1(ESU)

Windows Server 2008 SP2(ESU(확장 보안 업데이트))

자주 묻는 질문

Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명에 대해 자주 묻는 질문에 대한 답변은 경량 디렉터리 액세스 프로토콜의 변경 내용에 대한 질문과 대답을 참조하세요.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?

의견 주셔서 감사합니다!

×