Windows용 2020, 2023 및 2024 LDAP 채널 바인딩 및 LDAP 서명 요구 사항(KB4520412)

소개

LDAP 채널 바인딩 및 LDAP 서명은 LDAP 클라이언트와 Active Directory 도메인 컨트롤러 간의 통신에 대한 보안을 강화하는 방법을 제공합니다. LDAP 채널 바인딩 및 LDAP 서명을 적용하지 않고 LDAP 클라이언트가 통신할 수 있도록 하는 Active Directory 도메인 컨트롤러에는 LDAP 채널 바인딩 및 LDAP 서명에 대한 안전하지 않은 기본 구성 집합이 있습니다. 이렇게 하면 Active Directory 도메인 컨트롤러가 권한 상승 취약성으로 열릴 수 있습니다.

이 취약성으로 인해 중간자 공격자가 들어오는 연결에서 채널 바인딩, 서명 또는 봉인이 필요하도록 구성되지 않은 Microsoft 도메인 서버에 인증 요청을 성공적으로 전달할 수 있습니다.

Microsoft는 관리자가 ADV190023 설명된 강화 변경 사항을 적용할 것을 권장합니다.

2020년 3월 10일에 관리자가 Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩에 대한 구성을 강화하기 위한 다음 옵션을 제공하여 이 취약성을 해결하고 있습니다.

도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항 그룹 정책.
디렉터리 서비스 이벤트 로그에서 이벤트 보낸 사람 Microsoft-Windows-Active Directory_DomainService 사용하여 CBT(채널 바인딩 토큰) 서명 이벤트 3039, 3040 및 3041.

중요: 2020년 3월 10일 업데이트 및 향후 업데이트는 LDAP 서명 또는 LDAP 채널 바인딩 기본 정책 또는 신규 또는 기존 Active Directory 도메인 컨트롤러에 해당하는 레지스트리를 변경하지 않습니다.

LDAP 서명 도메인 컨트롤러: LDAP 서버 서명 요구 사항 정책은 지원되는 모든 Windows 버전에 이미 있습니다. Windows Server 2022, 23H2 Edition부터 모든 새 버전의 Windows에는 이 문서의 모든 변경 내용이 포함됩니다.

이러한 변경이 필요한 이유

서명(무결성 확인)을 요청하지 않는 SASL(단순 인증 및 보안 계층) LDAP 바인딩을 거부하거나 일반 텍스트(비 SSL/TLS 암호화) 연결에서 수행되는 LDAP 단순 바인딩을 거부하도록 서버를 구성하여 Active Directory 도메인 컨트롤러의 보안을 크게 향상시킬 수 있습니다. SASL에는 협상, Kerberos, NTLM 및 다이제스트 프로토콜과 같은 프로토콜이 포함될 수 있습니다.

서명되지 않은 네트워크 트래픽은 침입자가 인증 시도 및 티켓 발급을 가로채는 재생 공격에 취약합니다. 침입자는 티켓을 재사용하여 합법적인 사용자를 가장할 수 있습니다. 또한 서명되지 않은 네트워크 트래픽은 침입자가 클라이언트와 서버 간의 패킷을 캡처하고 패킷을 변경한 다음 서버로 전달하는 MiTM(Man-in-the-middle) 공격에 취약합니다. Active Directory 도메인 컨트롤러에서 발생하는 경우 공격자는 서버가 LDAP 클라이언트의 위조된 요청에 따라 결정을 내릴 수 있습니다. LDAPS는 고유한 네트워크 포트를 사용하여 클라이언트와 서버를 연결합니다. LDAP의 기본 포트는 포트 389이지만 LDAPS는 포트 636을 사용하고 클라이언트와 연결할 때 SSL/TLS를 설정합니다.

채널 바인딩 토큰은 SSL/TLS를 통한 LDAP 인증을 중간자 공격보다 더 안전하게 만드는 데 도움이 됩니다.

2020년 3월 10일 업데이트

중요 2020년 3월 10일 업데이트는 LDAP 서명 또는 LDAP 채널 바인딩 기본 정책 또는 신규 또는 기존 Active Directory 도메인 컨트롤러에 해당하는 레지스트리를 변경하지 않습니다.

2020년 3월 10일에 릴리스될 Windows 업데이트는 다음 기능을 추가합니다.

LDAP 채널 바인딩과 관련된 이벤트 뷰어 새 이벤트가 기록됩니다. 이러한 이벤트에 대한 자세한 내용은 표 1 및 표 2 를 참조하세요.
새 도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항은 지원되는 디바이스에서 LDAP 채널 바인딩을 구성하기 위해 그룹 정책.

LDAP 서명 정책 설정과 레지스트리 설정 간의 매핑은 다음과 같이 포함됩니다.

정책 설정: "도메인 컨트롤러: LDAP 서버 서명 요구 사항"
레지스트리 설정: LDAPServerIntegrity
DataType: DWORD
레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

그룹 정책 설정	레지스트리 설정
None	1
서명 필요	2

LDAP 채널 바인딩 정책 설정과 레지스트리 설정 간의 매핑은 다음과 같습니다.

정책 설정: "도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항"
레지스트리 설정: LdapEnforceChannelBinding
DataType: DWORD
레지스트리 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

그룹 정책 설정	레지스트리 설정
없음	0
지원되는 경우	1
Always	2

표 1: LDAP 서명 이벤트

	설명	트리거
2886	LDAP 서명의 유효성 검사를 적용하도록 서버를 구성하여 이러한 도메인 컨트롤러의 보안을 크게 개선할 수 있습니다.	그룹 정책 None으로 설정된 경우 시작 또는 서비스 시작 시 24시간마다 트리거됩니다. 최소 로깅 수준: 0 이상
2887	이러한 도메인 컨트롤러의 보안은 간단한 LDAP 바인딩 요청 및 LDAP 서명을 포함하지 않는 다른 바인딩 요청을 거부하도록 구성하여 개선할 수 있습니다.	그룹 정책 없음으로 설정되고 하나 이상의 보호되지 않은 바인딩이 완료될 때 24시간마다 트리거됩니다. 최소 로깅 수준: 0 이상
2888	이러한 도메인 컨트롤러의 보안은 간단한 LDAP 바인딩 요청 및 LDAP 서명을 포함하지 않는 다른 바인딩 요청을 거부하도록 구성하여 개선할 수 있습니다.	그룹 정책 서명 필요로 설정되고 하나 이상의 보호되지 않은 바인딩이 거부될 때 24시간마다 트리거됩니다. 최소 로깅 수준: 0 이상
2889	이러한 도메인 컨트롤러의 보안은 간단한 LDAP 바인딩 요청 및 LDAP 서명을 포함하지 않는 다른 바인딩 요청을 거부하도록 구성하여 개선할 수 있습니다.	클라이언트가 포트 389의 세션에서 바인딩에 서명을 사용하지 않을 때 트리거됩니다. 최소 로깅 수준: 2 이상

표 2: CBT 이벤트

Event	설명	트리거
3039	다음 클라이언트는 SSL/TLS를 통해 LDAP 바인딩을 수행하고 LDAP 채널 바인딩 토큰 유효성 검사에 실패했습니다.	다음 상황에서 트리거됩니다. CBT 그룹 정책 지원되는 경우 또는 항상으로 설정된 경우 클라이언트가 부적절한 형식의 CBT(채널 바인딩 토큰)로 바인딩하려고 시도하는 경우 채널 바인딩이 가능한 클라이언트가 CBT 그룹 정책 지원되는 경우 로 설정된 경우 CBT를 보내지 않는 경우 EPA 기능이 OS에 설치되거나 사용 가능하며 레지스트리 설정 SuppressExtendedProtection을 통해 사용하지 않도록 설정되지 않은 경우 클라이언트는 채널 바인딩을 수행할 수 있습니다. 자세한 내용은 KB5021989 참조하세요. CBT 그룹 정책 Always로 설정된 경우 클라이언트가 CBT를 보내지 않는 경우 최소 로깅 수준: 2
3040	이전 24시간 동안 보호되지 않는 LDAP 바인딩의 #이 수행되었습니다.	CBT 그룹 정책 Never로 설정되고 하나 이상의 보호되지 않은 바인딩이 완료될 때 24시간마다 트리거됩니다. 최소 로깅 수준: 0
3041	LDAP 채널 바인딩 토큰의 유효성 검사를 적용하도록 서버를 구성하여 이 디렉터리 서버의 보안을 크게 개선할 수 있습니다.	CBT 그룹 정책 Never로 설정된 경우 시작 또는 서비스 시작 시 24시간마다 트리거됩니다. 최소 로깅 수준: 0

레지스트리에서 로깅 수준을 설정하려면 다음과 유사한 명령을 사용합니다.

Reg 추가 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP 인터페이스 이벤트" /t REG_DWORD /d 2

Active Directory 진단 이벤트 로깅을 구성하는 방법에 대한 자세한 내용은 Active Directory 및 LDS 진단 이벤트 로깅을 구성하는 방법을 참조하세요.

2023년 8월 8일 업데이트

일부 클라이언트 컴퓨터는 LDAP 채널 바인딩 토큰을 사용하여 DC(Active Directory 도메인 컨트롤러)에 바인딩할 수 없습니다. Microsoft는 2023년 8월 8일에 보안 업데이트를 릴리스할 예정입니다. Windows Server 2022의 경우 이 업데이트는 관리자가 이러한 클라이언트를 감사하는 옵션을 추가합니다. 디렉터리 서비스 이벤트 로그에서 이벤트 원본 **Microsoft-Windows-ActiveDirectory_DomainService**을 사용하여 CBT 이벤트 3074 및 3075를 사용하도록 설정할 수 있습니다.

중요 2023년 8월 8일 업데이트는 LDAP 서명, LDAP 채널 바인딩 기본 정책 또는 신규 또는 기존 Active Directory DC에 해당하는 레지스트리를 변경하지 않습니다.

2020년 3월 업데이트 섹션의 모든 지침도 여기에 적용됩니다. 새 감사 이벤트에는 위의 지침에 설명된 정책 및 레지스트리 설정이 필요합니다. 새 감사 이벤트를 확인하는 사용 단계도 있습니다. 새 구현 세부 정보는 아래 권장 작업 섹션에 있습니다.

표 3: CBT 이벤트

Event

설명

트리거

3074

다음 클라이언트는 SSL/TLS를 통해 LDAP 바인딩을 수행했으며 디렉터리 서버가 채널 바인딩 토큰의 유효성 검사를 적용하도록 구성된 경우 채널 바인딩 토큰 유효성 검사에 실패했습니다.

다음 상황에서 트리거됩니다.

클라이언트가 부적절한 형식의 CBT(채널 바인딩 토큰)로 바인딩을 시도하는 경우

최소 로깅 수준: 2

3075

다음 클라이언트는 SSL/TLS를 통해 LDAP 바인딩을 수행했으며 채널 바인딩 정보를 제공하지 않았습니다. 이 디렉터리 서버가 채널 바인딩 토큰의 유효성 검사를 적용하도록 구성된 경우 이 바인딩 작업이 거부됩니다.

다음 상황에서 트리거됩니다.

채널 바인딩이 가능한 클라이언트가 CBT를 보내지 않는 경우
EPA 기능이 OS에 설치되거나 사용 가능하며 레지스트리 설정 SuppressExtendedProtection을 통해 사용하지 않도록 설정되지 않은 경우 클라이언트는 채널 바인딩을 수행할 수 있습니다. 자세한 내용은 KB5021989 참조하세요.

최소 로깅 수준: 2

참고 로깅 수준을 2 이상으로 설정하면 이벤트 ID 3074가 기록됩니다. 관리자는 이를 사용하여 채널 바인딩 토큰으로 작동하지 않는 클라이언트에 대한 환경을 감사할 수 있습니다. 이벤트에는 클라이언트를 식별하는 다음 진단 정보가 포함됩니다.

Client IP address: 192.168.10.5:62709
클라이언트가 인증을 시도한 ID:
CONTOSO\Administrator
클라이언트에서 채널 바인딩을 지원합니다.FALSE
지원되는 모드:TRUE
인 경우 에서 허용되는 클라이언트 감사 결과 플래그:0x42

2023년 10월 10일 업데이트

2023년 8월에 추가된 감사 변경 내용은 이제 Windows Server 2019에서 사용할 수 있습니다. 해당 OS의 경우 이 업데이트는 관리자가 이러한 클라이언트를 감사하는 옵션을 추가합니다. CBT 이벤트 3074 및 3075를 사용하도록 설정할 수 있습니다. 디렉터리 서비스 이벤트 로그에서 이벤트 원본 **Microsoft-Windows-ActiveDirectory_DomainService**을 사용합니다.

중요 2023년 10월 10일 업데이트는 LDAP 서명, LDAP 채널 바인딩 기본 정책 또는 신규 또는 기존 Active Directory DC에 해당하는 레지스트리를 변경하지 않습니다.

2020년 3월 업데이트 섹션의 모든 지침도 여기에 적용됩니다. 새 감사 이벤트에는 위의 지침에 설명된 정책 및 레지스트리 설정이 필요합니다. 새 감사 이벤트를 확인하는 사용 단계도 있습니다. 새 구현 세부 정보는 아래 권장 작업 섹션에 있습니다.

2023년 11월 14일 업데이트

2023년 8월에 추가된 감사 변경 내용은 이제 Windows Server 2022에서 사용할 수 있습니다. 권장 작업의 3단계에서 설명한 대로 MSI를 설치하거나 정책을 만들 필요가 없습니다.

2024년 1월 9일 업데이트

2023년 10월에 추가된 감사 변경 내용은 이제 Windows Server 2019에서 사용할 수 있습니다. 권장 작업의 3단계에서 설명한 대로 MSI를 설치하거나 정책을 만들 필요가 없습니다.

권장 조치

고객에게 가장 빠른 기회에 다음 단계를 수행하는 것이 좋습니다.

2020년 3월 10일 이상 Windows 업데이트가 DC(도메인 컨트롤러) 역할 컴퓨터에 설치되어 있는지 확인합니다. LDAP 채널 바인딩 감사 이벤트를 사용하도록 설정하려면 2023년 8월 8일 이상 업데이트가 Windows Server 2022 또는 Server 2019 DC에 설치되어 있는지 확인합니다.
LDAP 이벤트 진단 로깅을 2 이상으로 사용하도록 설정합니다.
그룹 정책 사용하여 2023년 8월 또는 2023년 10월 감사 이벤트 업데이트를 사용하도록 설정합니다. Windows Server 2022에 2023년 11월 이상 업데이트를 설치한 경우 이 단계를 건너뛸 수 있습니다. Windows Server 2019에 2024년 1월 이상 업데이트를 설치한 경우 이 단계를 건너뛸 수도 있습니다.
- Microsoft 다운로드 센터에서 OS 버전당 두 가지 사용 MSI를 다운로드합니다.
- MSI를 확장하여 정책 정의가 포함된 새 ADMX 파일을 설치합니다. 그룹 정책 Central Store를 사용하는 경우 ADMX 파일을 중앙 저장소에 복사합니다.
- 해당 정책을 도메인 컨트롤러 OU 또는 서버 2022 또는 Server 2019 DC의 하위 집합에 적용합니다.
- 변경 내용을 적용하려면 DC를 다시 시작합니다.
필터링된 모든 DC 역할 컴퓨터에서 디렉터리 서비스 이벤트 로그를 모니터링합니다.
- 표 1의 LDAP 서명 실패 이벤트 2889
- 표 2의 LDAP 채널 바인딩 실패 이벤트 3039.
- 표 3의 LDAP 채널 바인딩 감사 이벤트 3074 및 3075
  
  참고 이벤트 3039, 3074 및 3075는 채널 바인딩이 지원되는 경우 또는 항상으로 설정된 경우에만 생성할 수 있습니다.
다음에서 인용한 각 IP 주소에 대한 디바이스 만들기, 모델 및 유형을 식별합니다.
- 서명되지 않은 LDAP 호출을 위한 이벤트 2889
- LDAP 채널 바인딩을 사용하지 않는 이벤트 3039
- LDAP 채널 바인딩을 수행할 수 없는 경우 이벤트 3074 또는 3075

디바이스 유형

디바이스 유형을 3가지 범주 중 1개 범주로 그룹화합니다.

어플라이언스 또는 라우터 -
- 디바이스 공급자에게 문의하세요.
Windows 운영 체제에서 실행되지 않는 디바이스 -
- 운영 체제 및 애플리케이션에서 LDAP 채널 바인딩 및 LDAP 서명이 모두 지원되는지 확인합니다. 운영 체제 및 애플리케이션 공급자와 함께 작업하여 이 작업을 수행합니다.
Windows 운영 체제에서 실행되는 디바이스 -
- LDAP 서명은 지원되는 모든 Windows 버전의 모든 애플리케이션에서 사용할 수 있습니다. 애플리케이션 또는 서비스가 LDAP 서명을 사용하고 있는지 확인합니다.
- LDAP 채널 바인딩을 사용하려면 모든 Windows 디바이스에 CVE-2017-8563 이 설치되어 있어야 합니다. 애플리케이션 또는 서비스가 LDAP 채널 바인딩을 사용하고 있는지 확인합니다.

로컬, 원격, 일반 또는 디바이스별 추적 도구를 사용합니다. 여기에는 네트워크 캡처, 프로세스 관리자 또는 디버그 추적이 포함됩니다. 핵심 운영 체제, 서비스 또는 애플리케이션이 서명되지 않은 LDAP 바인딩을 수행하고 있는지 또는 CBT를 사용하지 않는지 확인합니다.

Windows 작업 관리자 또는 해당하는 를 사용하여 프로세스 ID를 처리, 서비스 및 애플리케이션 이름에 매핑합니다.

보안 업데이트 일정

2020년 3월 10일 업데이트는 관리자가 Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명에 대한 구성을 강화하기 위한 컨트롤을 추가했습니다. 2023년 8월 8일 및 10월 10일 업데이트는 관리자가 LDAP 채널 바인딩 토큰을 사용할 수 없는 클라이언트 머신을 감사하는 옵션을 추가합니다. 이 문서에서 권장하는 작업을 최대한 빨리 수행하도록 고객에게 강력히 권장합니다.

목표 날짜	Event	적용 대상
2020년 3월 10일	필수: 지원되는 모든 Windows 플랫폼에 대해 Windows 업데이트 사용할 수 있는 보안 업데이트입니다. 참고 표준 지원이 없는 Windows 플랫폼의 경우 이 보안 업데이트는 해당 확장 지원 프로그램을 통해서만 사용할 수 있습니다. LDAP 채널 바인딩 지원은 Windows Server 2008 이상 버전에서 CVE-2017-8563 에 의해 추가되었습니다. 채널 바인딩 토큰은 Windows 10 버전 1709 이상 버전에서 지원됩니다. Windows XP는 LDAP 채널 바인딩을 지원하지 않으며 Always 값을 사용하여 LDAP 채널 바인딩을 구성했지만 지원되는 경우의 보다 완화된 LDAP 채널 바인딩 설정을 사용하도록 구성된 DC와 상호 운용될 때 실패합니다.	Windows Server 2022 Windows 10, 버전 20H2 Windows 10 버전 1909(19H2) Windows Server 2019(1809 \ RS5) Windows Server 2016(1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1(ESU) Windows Server 2008 SP2(ESU(확장 보안 업데이트))
2023년 8월 8일	LDAP 채널 바인딩 토큰 감사 이벤트(3074 & 3075)를 추가합니다. Windows Server 2022에서는 기본적으로 사용하지 않도록 설정됩니다.	Windows Server 2022
2023/10/10	LDAP 채널 바인딩 토큰 감사 이벤트(3074 & 3075)를 추가합니다. Windows Server 2019에서는 기본적으로 사용하지 않도록 설정됩니다.	Windows Server 2019
2023년 11월 14일	LDAP 채널 바인딩 토큰 감사 이벤트는 사용 권한 MSI를 설치하지 않고 Windows Server 2022에서 사용할 수 있습니다(권장 작업의 3단계에 설명된 대로).	Windows Server 2022
2024/1/9	LDAP 채널 바인딩 토큰 감사 이벤트는 사용 MSI를 설치하지 않고 Windows Server 2019에서 사용할 수 있습니다(권장 작업 3단계에 설명된 대로).	Windows Server 2019

질문과 대답

Active Directory 도메인 컨트롤러에서 LDAP 채널 바인딩 및 LDAP 서명에 대한 질문과 대답을 보려면 다음을 참조하세요.