2020, 2023 ir 2024 M. LDAP kanalo susiejimo ir LDAP pasirašymo reikalavimai, skirti "Windows" (KB4520412)

Įžanga

LDAP kanalo susiejimas ir LDAP pasirašymas suteikia būdų, kaip padidinti ryšių tarp LDAP klientų ir "Active Directory" domenų valdiklių saugą. Nesaugių numatytųjų LDAP kanalo susiejimo ir LDAP pasirašymo konfigūracijų rinkinys yra "Active Directory" domenų valdikliuose, kurie leidžia LDAP klientams bendrauti su jais neįgyvendindamas LDAP kanalo susiejimo ir LDAP pasirašymo. Tai gali atidaryti "Active Directory" domeno valdiklius didesnių teisių pažeidžiamumo.

Šis pažeidžiamumas gali leisti man-in-the-middle pažeidėjas sėkmingai peradresuoti autentifikavimo užklausą į "Microsoft" domeno serverį, kuris nebuvo sukonfigūruotas reikalauti kanalo susiejimo, pasirašymo arba uždarymo gaunamus ryšius.

"Microsoft" rekomenduoja administratoriams atlikti ADV190023 aprašytus griežinimo keitimus.

2020 m. kovo 10 d. pašalinome šį pažeidžiamumą, pateikdami šias parinktis administratoriams, kad jie galėtų sustiprinti LDAP kanalo susiejimo "Active Directory" domeno valdikliuose konfigūracijas:

Domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai Grupės strategija.
Kanalo susiejimo atpažinimo ženklų (CBT) pasirašymo įvykiai 3039, 3040 ir 3041 su įvykio siuntėju "Microsoft-Windows-Active Directory_DomainService katalogų tarnybos įvykių žurnale.

Svarbu: 2020 m. kovo 10 d. naujinimai ir naujinimai artimiausioje ateityje nepakeis LDAP pasirašymo arba LDAP kanalo susiejimo numatytųjų strategijų arba jų registro atitikmens naujuose arba esamuose "Active Directory" domenų valdikliuose.

LDAP pasirašymo domeno valdiklis: LDAP serverio pasirašymo reikalavimų strategija jau yra visose palaikomose "Windows" versijose. Pradedant nuo Windows Server 2022, 23H2 edition, visose naujose "Windows" versijose bus visi šiame straipsnyje pateikti pakeitimai.

Kodėl šis pakeitimas buvo reikalingas

"Active Directory" domeno valdiklių saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų atmestas paprastasis autentifikavimas ir saugos lygmens (SASL) LDAP susieja, kai neprašomas pasirašymo (vientisumo patvirtinimas) arba atmetamas LDAP paprastas susiejimas, atliekamas su nešifruotu tekstu (ne SSL/TLS užšifruotu) ryšiu. SASL gali sudaryti „Negotiate“, „Kerberos“, NTLM, „Digest“ ir kiti protokolai.

Nepasirašytas tinklo srautas yra pažeidžiamas atsakymo atakoms, kai įsibrovėlis perima autentifikavimo bandymą ir išdavimo kvitą. Įsibrovėlis gali panaudoti kvitą ir apsimesti teisėtu vartotoju. Be to, nepasirašytas tinklo srautas yra pažeidžiamas artimojo vidurio (MiTM) atakoms, kai įsibrovėlis užfiksuoja paketus tarp kliento ir serverio, pakeičia paketus ir persiunčia juos į serverį. Jei taip nutinka "Active Directory" domeno valdiklyje, užpuolikas gali priversti serverį priimti sprendimus, pagrįstus suklastotomis užklausomis iš LDAP kliento. LDAPS naudoja savo atskirą tinklo prievadą klientams ir serveriams prijungti. Numatytasis LDAP prievadas yra prievadas 389, tačiau LDAPS naudoja prievadą 636 ir nustato SSL/TLS prisijungiant su klientu.

Kanalo susiejimo atpažinimo ženklų padeda apsaugoti LDAP autentifikavimą per SSL/TLS nuo artimųjų atakų.

2020 m. kovo 10 d. naujinimai

Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. 2020 m. kovo 10 d. naujinimai nepakeitė LDAP pasirašymo ar LDAP kanalo susiejimo numatytųjų strategijų arba jų registro ekvivalento naujuose arba esamuose "Active Directory" domenų valdikliuose.

2020 m. kovo 10 d. išleisti "Windows" naujinimai įtraukė šias funkcijas:

Nauji įvykiai užregistruojami Įvykių peržiūros programa, susijusiuose su LDAP kanalo susiejimu. Išsamesnės informacijos apie šiuos įvykius žr. 1 lentelėje ir 2 lentelėje .
Naujas domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai Grupės strategija konfigūruoti LDAP kanalo susiejimą palaikomuose įrenginiuose.

LDAP pasirašymo strategijos parametrų ir registro parametrų susiejimas įtraukiamas taip:

Strategijos parametras: "Domeno valdiklis: LDAP serverio pasirašymo reikalavimai"
Registro parametras: LDAPServerIntegrity
Duomenų tipas: DWORD
Registro kelias: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Grupės strategija parametras	Registro parametras
Nėra	1
Reikalauti pasirašymo	2

Susiejimas tarp LDAP kanalo susiejimo strategijos parametrų ir registro parametrų įtraukiamas taip:

Strategijos parametras: "Domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai"
Registro parametras: LdapEnforceChannelBinding
Duomenų tipas: DWORD
Registro kelias: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Grupės strategija parametras	Registro parametras
Niekada	0
Kai palaikoma	1
Visada	2

1 lentelė: LDAP pasirašymo įvykiai

	Aprašas	Trigeris
2886	Šių domeno valdiklių saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų galima įgalinti LDAP pasirašymo tikrinimą.	Paleidžiama kas 24 valandas paleidžiant arba pradedant tarnybą, jei Grupės strategija nustatyta kaip Nėra. Minimalus registravimo lygis: 0 arba didesnis
2887	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiama kas 24 valandas, kai Grupės strategija nustatyta kaip Nėra ir atliktas bent vienas neapsaugotas susiejimas. Minimalus registravimo lygis: 0 arba didesnis
2888	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiama kas 24 valandas, kai Grupės strategija nustatytas Reikalauti pasirašymo ir atmestas bent vienas neapsaugotas susiejimas. Minimalus registravimo lygis: 0 arba didesnis
2889	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiamas, kai klientas nenaudoja prisijungimo, susieja seansuose prievade 389. Minimalus registravimo lygis: 2 arba aukštesnis

2 lentelė: CBT įvykiai

Įvykis	Aprašas	Trigeris
3039	Šis klientas atliko LDAP susiejimą per SSL/TLS ir nepavyko patikrinti LDAP kanalo susiejimo atpažinimo ženklo.	Paleidžiama bet kuriuo iš šių aplinkybių: Kai klientas bando susieti naudodamas netinkamai suformatuotą kanalo susiejimo atpažinimo ženklą (CBT), jei CBT Grupės strategija nustatyta į Kai palaikoma arba Visada. Kai klientas, galintis kanalo susiejimą, nesiųs CBT, jei CBT Grupės strategija nustatyta į Kai palaikoma. Klientas gali susieti kanalą, jei EPA funkcija įdiegta arba pasiekiama OS ir nėra išjungta naudojant registro parametrą SuppressExtendedProtection. Norėdami sužinoti daugiau, žr. KB5021989. Kai klientas nesiųs CBT, jei CBT Grupės strategija nustatyta į Visada. Mažiausias registravimo lygis: 2
3040	Per ankstesnį 24 valandų laikotarpį buvo atlikta # neapsaugotų GVP surišimų.	Paleidžiama kas 24 valandas, kai CBT Grupės strategija nustatytas kaip Niekada ir buvo baigtas bent vienas neapsaugotas susiejimas. Mažiausias registravimo lygis: 0
3041	Šio katalogo serverio saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų įgalinti LDAP kanalo susiejimo atpažinimo ženklų tikrinimas.	Paleidžiama kas 24 valandas paleidžiant arba pradedant tarnybą, jei CBT Grupės strategija nustatyta kaip Niekada. Mažiausias registravimo lygis: 0

Norėdami nustatyti registravimo lygį registre, naudokite komandą, kuri yra panaši į šią:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Daugiau informacijos, kaip konfigūruoti "Active Directory" diagnostikos įvykių registravimą, žr. Kaip konfigūruoti "Active Directory" ir LDS diagnostikos įvykių registravimą.

2023 m. rugpjūčio 8 d. naujinimai

Kai kurie kliento kompiuteriai negalėjo naudoti LDAP kanalo susiejimo atpažinimo ženklų, kad susietų su "Active Directory" domeno valdikliais (DC). "Microsoft" išleido saugos naujinimą 2023 m. rugpjūčio 8 d. Jei naudojate Windows Server 2022", šis naujinimas įtraukė parinktis, skirtas administratoriams tikrinti šiuos klientus. Galite įgalinti CBT įvykius 3074 ir 3075 su įvykio šaltiniu **Microsoft-Windows-ActiveDirectory_DomainService** katalogų tarnybos įvykių žurnale.

Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. 2023 m. rugpjūčio 8 d. naujinimas nepakeitė LDAP pasirašymo, LDAP kanalo susiejimo numatytųjų strategijų arba jų registro ekvivalento naujuose arba esamuose "Active Directory" DC.

Čia taip pat taikomos visos 2020 m. kovo mėn. naujinimų skyriuje pateiktos rekomendacijos. Naujiems audito įvykiams reikės strategijos ir registro parametrų, nurodytų anksčiau pateiktose rekomendacijose. Taip pat buvo galima peržiūrėti naujus audito įvykius. Tačiau 2023 m. lapkričio 14 d. naujinimai pašalinti ir įgalinti. Nauja diegimo informacija pateikta toliau pateiktame skyriuje Rekomenduojami veiksmai.

3 lentelė: CBT įvykiai

Įvykis

Aprašas

Trigeris

3074

Šis klientas atliko LDAP susiejimą per SSL/TLS ir būtų nepavykęs kanalo susiejimo atpažinimo ženklo tikrinimas, jei katalogo serveris buvo sukonfigūruotas įgalinti kanalo susiejimo atpažinimo ženklų tikrinimą.

Paleidžiama bet kuriuo iš šių aplinkybių:

Kai klientas bando susieti naudodamas netinkamai suformatuotą kanalo susiejimo atpažinimo ženklą (CBT)

Mažiausias registravimo lygis: 2

3075

Šis klientas atliko LDAP susiejimą per SSL/TLS ir nepateikė kanalo susiejimo informacijos. Kai šis katalogo serveris sukonfigūruotas įgalinti kanalo susiejimo atpažinimo ženklų tikrinimą, ši susiejimo operacija bus atmesta.

Paleidžiama bet kuriuo iš šių aplinkybių:

Kai klientas, kuris gali kanalo susiejimo nesiųsti CBT
Klientas gali susieti kanalą, jei EPA funkcija įdiegta arba pasiekiama OS ir nėra išjungta naudojant registro parametrą SuppressExtendedProtection. Norėdami sužinoti daugiau, žr. KB5021989.

Mažiausias registravimo lygis: 2

Pastaba Kai nustatote bent 2 registravimo lygį, užregistruojamas įvykio ID 3074. Administratoriai gali tai naudoti norėdami patikrinti savo aplinką klientams, kurie neveikia su kanalo susiejimo atpažinimo ženklu. Įvykiai apims šią diagnostinę informaciją, kad būtų galima identifikuoti klientus:

Client IP address: 192.168.10.5:62709 Tapatybė, kurią klientas bandė autentifikuoti kaip: CONTOSO\Administratorius Klientas palaiko kanalo susiejimą:FALSE Klientas leidžiamas, kai palaikomas režimas:TRUE Audito rezultatų žymės:0x42

2023 m. spalio 10 d. naujinimai

2023 m. rugpjūčio mėn. įtraukti audito pakeitimai dabar prieinami 2019 m. Windows Server. Naudojant tą OS, naujinimas įtraukė administratoriams skirtų parinkčių, skirtų tikrinti šiuos klientus. Galite įgalinti CBT įvykius 3074 ir 3075. Naudokite įvykio šaltinį **Microsoft-Windows-ActiveDirectory_DomainService**, esantį katalogų tarnybos įvykių žurnale.

Svarbu neberekomenduojame naudoti „Visio Services“ ir „Visio Web Access" puslapio dalies „SharePoint Online“. 2023 m. spalio 10 d. naujinimas nepakeitė LDAP pasirašymo, LDAP kanalo susiejimo numatytųjų strategijų arba jų registro atitikmens naujuose arba esamuose "Active Directory" DC.

Čia taip pat taikomos visos 2020 m. kovo mėn. naujinimų skyriuje pateiktos rekomendacijos. Naujiems audito įvykiams reikės strategijos ir registro parametrų, nurodytų anksčiau pateiktose rekomendacijose. Taip pat buvo galima peržiūrėti naujus audito įvykius. Tačiau 2024 m. sausio 9 d. naujinimai pašalino tą įgalinimo veiksmą. Nauja diegimo informacija pateikta toliau pateiktame skyriuje Rekomenduojami veiksmai.

2023 m. lapkričio 14 d. naujinimai

2023 m. rugpjūčio mėn. įtraukti audito pakeitimai dabar pasiekiami 2022 m. Windows Server. nereikalaujant rankinio įjungimo veiksmo. Atlikite dalyje Rekomenduojami veiksmai nurodytus veiksmus.

2024 m. sausio 9 d. naujinimai

2023 m. spalio mėn. įtraukti audito pakeitimai dabar pasiekiami 2019 m. Windows Server. nereikalaujant rankinio įjungimo veiksmo. Atlikite dalyje Rekomenduojami veiksmai nurodytus veiksmus.

Rekomenduojami veiksmai

Primygtinai rekomenduojame klientams kuo anksčiau atlikti šiuos veiksmus:

Įsitikinkite, kad domeno valdiklio (DC) vaidmenų kompiuteriuose įdiegti 2020 m. kovo 10 d. arba vėlesni "Windows" naujinimai. Jei norite įgalinti LDAP kanalo susiejimo audito įvykius, įsitikinkite, kad 2023 m. lapkričio 14 d. arba naujesni naujinimai įdiegti Windows Server 2022" arba "Server 2019" DC.
Įjunkite LDAP įvykių diagnostikos registravimą į 2 arba naujesnę versiją.
Stebėti katalogų tarnybos įvykių žurnalą visuose dc vaidmenų kompiuteriuose, filtruojamuose pagal:
- LDAP pasirašymo klaidos įvykis 2889 1 lentelėje.
- LDAP kanalo susiejimo trikties įvykis 3039 2 lentelėje.
- LDAP kanalo susiejimo audito įvykiai 3074 ir 3075 3 lentelėje.
  
  Pastaba 3039, 3074 ir 3075 įvykius galima sugeneruoti tik tada, kai kanalo susiejimas nustatytas kaip Kai palaikoma arba Visada.
Nurodykite kiekvieno IP adreso gamintojo, modelio ir tipo įrenginį, kurį nurodo:
- 2889 įvykis, skirtas nepasirašytiems LDAP iškvietimams
- Įvykis 3039, skirtas nenaudoti LDAP kanalo susiejimo
- 3074 arba 3075 įvykis, dėl kurio negalima susieti LDAP kanalo

Įrenginių tipai

Grupuokite įrenginių tipus į 1 iš 3 kategorijų:

Įrenginys arba kelvedis –
- Kreipkitės į įrenginio teikėją.
Įrenginys, kuris neveikia "Windows" operacinėje sistemoje –
- Patikrinkite, ar operacinėje sistemoje ir programoje palaikomas LDAP kanalo susiejimas ir LDAP pasirašymas. Atlikite tai dirbdami su operacine sistema ir programų teikėju.
Įrenginys, kuris veikia "Windows" operacinėje sistemoje –
- LDAP pasirašymą galima naudoti visose programose visose palaikomose "Windows" versijose. Patikrinkite, ar jūsų programa arba paslauga naudoja LDAP pasirašymą.
- Norint susieti LDAP kanalą, reikia, kad visuose "Windows" įrenginiuose būtų įdiegta CVE-2017-8563 . Patikrinkite, ar jūsų programa arba paslauga naudoja LDAP kanalo susiejimą.

Naudokite vietinius, nuotolinius, bendruosius arba konkretaus įrenginio sekimo įrankius. Tai apima tinklo užfiksavimą, procesų tvarkytuvą arba derinimo sekimą. Nustatykite, ar pagrindinė operacinė sistema, tarnyba arba programa atlieka nepasirašytus LDAP susiejimus, ar nenaudoja CBT.

Naudokite "Windows" užduočių tvarkytuvą arba atitikmenį proceso ID susieti su apdorojimo, tarnybos ir programų pavadinimais.

Saugos naujinimo planas

2020 m. kovo 10 d. naujinimas įtraukė valdiklius administratoriams, kad sustiprintų LDAP kanalo susiejimo ir LDAP pasirašymo "Active Directory" domeno valdikliuose konfigūracijas. 2023 m. rugpjūčio 8 d. ir spalio 10 d. naujinimai įtraukė parinktis, skirtas administratoriams tikrinti kliento įrenginius, kurie negali naudoti LDAP kanalo susiejimo atpažinimo ženklų. Primygtinai rekomenduojame klientams kuo anksčiau imtis šiame straipsnyje rekomenduojamų veiksmų.

Tikslinė data	Įvykis	Taikoma
2020 m. kovo 10 d.	Būtina: saugos naujinimas pasiekiamas „Windows Update“ visose palaikomose "Windows" platformose. Pastaba "Windows" platformoms, kurios nėra standartinio palaikymo, šis saugos naujinimas bus pasiekiamas tik naudojant taikomas papildomo palaikymo programas. 2008 m. Windows Server. ir vėlesnėse versijose LDAP kanalo susiejimo palaikymą įtraukė CVE-2017-8563. Kanalo susiejimo atpažinimo ženklus palaiko Windows 10 1709 ir naujesnės versijos. "Windows XP" nepalaiko LDAP kanalo susiejimo ir gali nepavykti, kai LDAP kanalo susiejimas sukonfigūruotas naudojant reikšmę Visada, bet sąveikauti su DC, sukonfigūruotais naudoti labiau atsipalaidavusį LDAP kanalo susiejimo parametrą Kai palaikoma.	„Windows Server 2022“ Windows 10, 20H2 versija Windows 10, 1909 versija (19H2)2019 m. Windows Server (1809 \ RS5)2016 m. Windows Server (1607 \ RS1)Windows Server 2012 R2"2012 m. Windows Server.Windows Server 2008 R2 SP1 (ESU)Windows Server 2008 SP2 (papildomas saugos naujinimas (ESU))
2023 m. rugpjūčio 8 d.	Įtraukia LDAP kanalo susiejimo atpažinimo ženklų audito įvykius (3074 & 3075). Pagal numatytuosius nustatymus 2022 Windows Server. jos yra išjungtos.	„Windows Server 2022“
2023 m. spalio 10 d.	Įtraukia LDAP kanalo susiejimo atpažinimo ženklų audito įvykius (3074 & 3075). Pagal numatytuosius parametrus 2019 Windows Server. jos yra išjungtos.	Windows Server 2019
2023 m. lapkričio 14 d.	2022 m. Windows Server. LDAP kanalo susiejimo atpažinimo ženklų audito įvykiai nereikalaujant rankinio įjungimo veiksmo.	„Windows Server 2022“
2024 m. sausio 9 d.	2019 Windows Server. LDAP kanalo susiejimo atpažinimo ženklų audito įvykiai pasiekiami nereikalaujant rankinio įjungimo veiksmo.	Windows Server 2019

Dažnai užduodami klausimai

Atsakymus į dažnai užduodamus klausimus apie LDAP kanalo susiejimą ir LDAP pasirašymą "Active Directory" domeno valdikliuose rasite: