2020, 2023 ir 2024 M. LDAP kanalo susiejimo ir LDAP pasirašymo reikalavimai, skirti "Windows" (KB4520412)

Įvadas

LDAP kanalo susiejimas ir LDAP pasirašymas suteikia būdų, kaip padidinti ryšių tarp LDAP klientų ir "Active Directory" domenų valdiklių saugą. Nesaugių numatytųjų LDAP kanalo susiejimo ir LDAP pasirašymo konfigūracijų rinkinys yra "Active Directory" domenų valdikliuose, kurie leidžia LDAP klientams bendrauti su jais neįgyvendindamas LDAP kanalo susiejimo ir LDAP pasirašymo. Tai gali atidaryti "Active Directory" domeno valdiklius didesnių teisių pažeidžiamumo.

Šis pažeidžiamumas gali leisti man-in-the-middle pažeidėjas sėkmingai peradresuoti autentifikavimo užklausą į "Microsoft" domeno serverį, kuris nebuvo sukonfigūruotas reikalauti kanalo susiejimo, pasirašymo arba uždarymo gaunamus ryšius.

"Microsoft" rekomenduoja administratoriams atlikti ADV190023 aprašytus griežinimo keitimus.

2020 m. kovo 10 d. sprendžiame šį pažeidžiamumą, suteikdami administratoriams šias parinktis, skirtas LDAP kanalo susiejimo "Active Directory" domeno valdikliuose konfigūracijos sustifiguoti:

Domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai Grupės strategija.
Kanalo susiejimo atpažinimo ženklų (CBT) pasirašymo įvykiai 3039, 3040 ir 3041 su įvykio siuntėju "Microsoft-Windows-Active Directory_DomainService katalogų tarnybos įvykių žurnale.

Svarbu: 2020 m. kovo 10 d. naujinimai ir naujinimai artimiausioje ateityje nepakeis LDAP pasirašymo arba LDAP kanalo susiejimo numatytųjų strategijų arba jų registro atitikmens naujuose arba esamuose "Active Directory" domenų valdikliuose.

LDAP pasirašymo domeno valdiklis: LDAP serverio pasirašymo reikalavimų strategija jau yra visose palaikomose "Windows" versijose. Pradedant nuo "Windows Server 2022" 23H2 leidimo, visose naujose "Windows" versijose bus visi šiame straipsnyje pateikti pakeitimai.

Kodėl reikia šio pakeitimo?

"Active Directory" domeno valdiklių saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų atmestas paprastasis autentifikavimas ir saugos lygmens (SASL) LDAP susieja, kai neprašomas pasirašymo (vientisumo patvirtinimas) arba atmetamas LDAP paprastas susiejimas, atliekamas su nešifruotu tekstu (ne SSL/TLS užšifruotu) ryšiu. SASL gali sudaryti „Negotiate“, „Kerberos“, NTLM, „Digest“ ir kiti protokolai.

Nepasirašytas tinklo srautas yra pažeidžiamas atsakymo atakoms, kai įsibrovėlis perima autentifikavimo bandymą ir išdavimo kvitą. Įsibrovėlis gali panaudoti kvitą ir apsimesti teisėtu vartotoju. Be to, nepasirašytas tinklo srautas yra pažeidžiamas artimojo vidurio (MiTM) atakoms, kai įsibrovėlis užfiksuoja paketus tarp kliento ir serverio, pakeičia paketus ir persiunčia juos į serverį. Jei taip nutinka "Active Directory" domeno valdiklyje, užpuolikas gali priversti serverį priimti sprendimus, pagrįstus suklastotomis užklausomis iš LDAP kliento. LDAPS naudoja savo atskirą tinklo prievadą klientams ir serveriams prijungti. Numatytasis LDAP prievadas yra prievadas 389, tačiau LDAPS naudoja prievadą 636 ir nustato SSL/TLS prisijungiant su klientu.

Kanalo susiejimo atpažinimo ženklų padeda apsaugoti LDAP autentifikavimą per SSL/TLS nuo artimųjų atakų.

2020 m. kovo 10 d. naujinimai

Svarbu 2020 m. kovo 10 d. naujinimai nepakeičia LDAP pasirašymo ar LDAP kanalo susiejimo numatytųjų strategijų arba jų registro ekvivalento naujuose arba esamuose "Active Directory" domenų valdikliuose.

"Windows" naujinimai, kurie bus išleisti 2020 m. kovo 10 d., įtraukite šias funkcijas:

Nauji įvykiai užregistruojami Įvykių peržiūros programa, susijusiuose su LDAP kanalo susiejimu. Išsamesnės informacijos apie šiuos įvykius žr. 1 lentelėje ir 2 lentelėje .
Naujas domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai Grupės strategija konfigūruoti LDAP kanalo susiejimą palaikomuose įrenginiuose.

LDAP pasirašymo strategijos parametrų ir registro parametrų susiejimas įtraukiamas taip:

Strategijos parametras: "Domeno valdiklis: LDAP serverio pasirašymo reikalavimai"
Registro parametras: LDAPServerIntegrity
Duomenų tipas: DWORD
Registro kelias: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Grupės strategija parametras	Registro parametras
Nėra	1
Reikalauti pasirašymo	2

Susiejimas tarp LDAP kanalo susiejimo strategijos parametrų ir registro parametrų įtraukiamas taip:

Strategijos parametras: "Domeno valdiklis: LDAP serverio kanalo susiejimo atpažinimo ženklo reikalavimai"
Registro parametras: LdapEnforceChannelBinding
Duomenų tipas: DWORD
Registro kelias: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Grupės strategija parametras	Registro parametras
Niekada	0
Kai palaikoma	1
Visada	2

1 lentelė: LDAP pasirašymo įvykiai

	Aprašas	Sukelti
2886	Šių domeno valdiklių saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų galima įgalinti LDAP pasirašymo tikrinimą.	Paleidžiama kas 24 valandas paleidžiant arba pradedant tarnybą, jei Grupės strategija nustatyta kaip Nėra. Minimalus registravimo lygis: 0 arba didesnis
2887	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiama kas 24 valandas, kai Grupės strategija nustatyta kaip Nėra ir atliktas bent vienas neapsaugotas susiejimas. Minimalus registravimo lygis: 0 arba didesnis
2888	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiama kas 24 valandas, kai Grupės strategija nustatytas Reikalauti pasirašymo ir atmestas bent vienas neapsaugotas susiejimas. Minimalus registravimo lygis: 0 arba didesnis
2889	Šių domeno valdiklių saugą galima pagerinti konfigūruojant juos atmesti paprastas LDAP susiejimo užklausas ir kitas susiejimo užklausas, kuriose nėra LDAP pasirašymo.	Paleidžiamas, kai klientas nenaudoja prisijungimo, susieja seansuose prievade 389. Minimalus registravimo lygis: 2 arba aukštesnis

2 lentelė: CBT įvykiai

Įvykis	Aprašas	Sukelti
3039	Šis klientas atliko LDAP susiejimą per SSL/TLS ir nepavyko patikrinti LDAP kanalo susiejimo atpažinimo ženklo.	Paleidžiama bet kuriuo iš šių aplinkybių: Kai klientas bando susieti naudodamas netinkamai suformatuotą kanalo susiejimo atpažinimo ženklą (CBT), jei CBT Grupės strategija nustatyta į Kai palaikoma arba Visada. Kai klientas, galintis kanalo susiejimą, nesiųs CBT, jei CBT Grupės strategija nustatyta į Kai palaikoma. Klientas gali susieti kanalą, jei EPA funkcija įdiegta arba pasiekiama OS ir nėra išjungta naudojant registro parametrą SuppressExtendedProtection. Norėdami sužinoti daugiau, žr. KB5021989. Kai klientas nesiųs CBT, jei CBT Grupės strategija nustatyta į Visada. Mažiausias registravimo lygis: 2
3040	Per ankstesnį 24 valandų laikotarpį buvo atlikta # neapsaugotų GVP surišimų.	Paleidžiama kas 24 valandas, kai CBT Grupės strategija nustatytas kaip Niekada ir buvo baigtas bent vienas neapsaugotas susiejimas. Mažiausias registravimo lygis: 0
3041	Šio katalogo serverio saugą galima žymiai pagerinti konfigūruojant serverį, kad būtų įgalinti LDAP kanalo susiejimo atpažinimo ženklų tikrinimas.	Paleidžiama kas 24 valandas paleidžiant arba pradedant tarnybą, jei CBT Grupės strategija nustatyta kaip Niekada. Mažiausias registravimo lygis: 0

Norėdami nustatyti registravimo lygį registre, naudokite komandą, kuri yra panaši į šią:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Daugiau informacijos, kaip konfigūruoti "Active Directory" diagnostikos įvykių registravimą, žr. Kaip konfigūruoti "Active Directory" ir LDS diagnostikos įvykių registravimą.

2023 m. rugpjūčio 8 d. naujinimai

Kai kurie kliento kompiuteriai negali naudoti LDAP kanalo susiejimo atpažinimo ženklų, kad susietų su "Active Directory" domeno valdikliais (DC). "Microsoft" išleis saugos naujinimą 2023 m. rugpjūčio 8 d. Jei naudojate "Windows Server 2022", šis naujinimas įtraukia parinktis administratoriams, kad jie galėtų tikrinti šiuos klientus. Galite įgalinti CBT įvykius 3074 ir 3075 su įvykio šaltiniu **Microsoft-Windows-ActiveDirectory_DomainService** katalogų tarnybos įvykių žurnale.

Svarbu 2023 m. rugpjūčio 8 d. naujinimas nekeičia LDAP pasirašymo, LDAP kanalo susiejimo numatytųjų strategijų arba jų registro ekvivalento naujuose arba esamuose "Active Directory" DC.

Čia taip pat taikomos visos 2020 m. kovo mėn. naujinimų skyriuje pateiktos rekomendacijos. Naujiems audito įvykiams reikės strategijos ir registro parametrų, nurodytų anksčiau pateiktose rekomendacijose. Taip pat yra galimybė pamatyti naujus audito įvykius. Nauja diegimo informacija pateikta toliau pateiktame skyriuje Rekomenduojami veiksmai.

3 lentelė: CBT įvykiai

Įvykis

Aprašas

Sukelti

3074

Šis klientas atliko LDAP susiejimą per SSL/TLS ir būtų nepavykęs kanalo susiejimo atpažinimo ženklo tikrinimas, jei katalogo serveris buvo sukonfigūruotas įgalinti kanalo susiejimo atpažinimo ženklų tikrinimą.

Paleidžiama bet kuriuo iš šių aplinkybių:

Kai klientas bando susieti naudodamas netinkamai suformatuotą kanalo susiejimo atpažinimo ženklą (CBT)

Mažiausias registravimo lygis: 2

3075

Šis klientas atliko LDAP susiejimą per SSL/TLS ir nepateikė kanalo susiejimo informacijos. Kai šis katalogo serveris sukonfigūruotas įgalinti kanalo susiejimo atpažinimo ženklų tikrinimą, ši susiejimo operacija bus atmesta.

Paleidžiama bet kuriuo iš šių aplinkybių:

Kai klientas, kuris gali kanalo susiejimo nesiųsti CBT
Klientas gali susieti kanalą, jei EPA funkcija įdiegta arba pasiekiama OS ir nėra išjungta naudojant registro parametrą SuppressExtendedProtection. Norėdami sužinoti daugiau, žr. KB5021989.

Mažiausias registravimo lygis: 2

Pastaba Kai nustatote bent 2 registravimo lygį, užregistruojamas įvykio ID 3074. Administratoriai gali tai naudoti norėdami patikrinti savo aplinką klientams, kurie neveikia su kanalo susiejimo atpažinimo ženklu. Įvykiai apims šią diagnostinę informaciją, kad būtų galima identifikuoti klientus:

Client IP address: 192.168.10.5:62709
Tapatybė, kurią klientas bandė autentifikuoti kaip:
CONTOSO\Administratorius
Klientas palaiko kanalo susiejimą:FALSE
Klientas leidžiamas, kai palaikomas režimas:TRUE
Audito rezultatų žymės:0x42

2023 m. spalio 10 d. naujinimai

Audito pakeitimai, įtraukti 2023 m. rugpjūčio mėn., dabar pasiekiami "Windows Server 2019". Naudojant šią OS, šis naujinimas prideda administratoriams parinkčių, skirtų tikrinti šiuos klientus. Galite įgalinti CBT įvykius 3074 ir 3075. Naudokite įvykio šaltinį **Microsoft-Windows-ActiveDirectory_DomainService**, esantį katalogų tarnybos įvykių žurnale.

Svarbu 2023 m. spalio 10 d. naujinimas nekeičia LDAP pasirašymo, LDAP kanalo susiejimo numatytųjų strategijų arba jų registro ekvivalento naujuose arba esamuose "Active Directory" DC.

Čia taip pat taikomos visos 2020 m. kovo mėn. naujinimų skyriuje pateiktos rekomendacijos. Naujiems audito įvykiams reikės strategijos ir registro parametrų, nurodytų anksčiau pateiktose rekomendacijose. Taip pat yra galimybė pamatyti naujus audito įvykius. Nauja diegimo informacija pateikta toliau pateiktame skyriuje Rekomenduojami veiksmai.

2023 m. lapkričio 14 d. naujinimai

Audito pakeitimai, įtraukti 2023 m. rugpjūčio mėn., dabar pasiekiami "Windows Server 2022". Jums nereikia įdiegti MSI arba kurti strategijų, kaip nurodyta rekomenduojamų veiksmų 3 veiksme.

2024 m. sausio 9 d. naujinimai

2023 m. spalio mėn. įtraukti audito pakeitimai dabar pasiekiami "Windows Server 2019". Jums nereikia įdiegti MSI arba kurti strategijų, kaip nurodyta rekomenduojamų veiksmų 3 veiksme.

Rekomenduojami veiksmai

Primygtinai rekomenduojame klientams kuo anksčiau atlikti šiuos veiksmus:

Įsitikinkite, kad domeno valdiklio (DC) vaidmenų kompiuteriuose įdiegti 2020 m. kovo 10 d. arba vėlesni "Windows" naujinimai. Jei norite įgalinti LDAP kanalo susiejimo audito įvykius, įsitikinkite, kad 2023 m. rugpjūčio 8 d. arba naujesni naujinimai yra įdiegti "Windows Server 2022" arba "Server 2019" DC.
Įjunkite LDAP įvykių diagnostikos registravimą į 2 arba naujesnę versiją.
Įgalinkite 2023 m. rugpjūčio arba 2023 m. spalio mėn. audito įvykio naujinimus naudodami Grupės strategija. Šį veiksmą galite praleisti, jei "Windows Server 2022" įdiegėte 2023 m. lapkričio arba naujesnius naujinimus. Jei įdiegėte 2024 m. sausio ar vėlesnius naujinimus "Windows Server 2019", taip pat galite praleisti šį veiksmą.
- Atsisiųskite dvi įgalinimo MSI pagal OS versiją iš "Microsoft" atsisiuntimo centro:
- Išplėskite MSI, kad įdiegtumėte naujus ADMX failus, kuriuose yra strategijos aprašai. Jei Grupės strategija naudojate centrinę parduotuvę, nukopijuokite ADMX failus į centrinę parduotuvę.
- Pritaikykite atitinkamas strategijas domeno valdikliams OU arba "Server 2022" arba "Server 2019" DC pogrupiui.
- Iš naujo paleiskite DC, kad pakeitimai įsigaliotų.
Stebėti katalogų tarnybos įvykių žurnalą visuose dc vaidmenų kompiuteriuose, filtruojamuose pagal:
- LDAP pasirašymo klaidos įvykis 2889 1 lentelėje.
- LDAP kanalo susiejimo trikties įvykis 3039 2 lentelėje.
- LDAP kanalo susiejimo audito įvykiai 3074 ir 3075 3 lentelėje.
  
  Pastaba 3039, 3074 ir 3075 įvykius galima sugeneruoti tik tada, kai kanalo susiejimas nustatytas kaip Kai palaikoma arba Visada.
Nurodykite kiekvieno IP adreso gamintojo, modelio ir tipo įrenginį, kurį nurodo:
- 2889 įvykis, skirtas nepasirašytiems LDAP iškvietimams
- Įvykis 3039, skirtas nenaudoti LDAP kanalo susiejimo
- 3074 arba 3075 įvykis, dėl kurio negalima susieti LDAP kanalo

Įrenginių tipai

Grupuokite įrenginių tipus į 1 iš 3 kategorijų:

Įrenginys arba kelvedis –
- Kreipkitės į įrenginio teikėją.
Įrenginys, kuris neveikia "Windows" operacinėje sistemoje –
- Patikrinkite, ar operacinėje sistemoje ir programoje palaikomas LDAP kanalo susiejimas ir LDAP pasirašymas. Atlikite tai dirbdami su operacine sistema ir programų teikėju.
Įrenginys, kuris veikia "Windows" operacinėje sistemoje –
- LDAP pasirašymą galima naudoti visose programose visose palaikomose "Windows" versijose. Patikrinkite, ar jūsų programa arba paslauga naudoja LDAP pasirašymą.
- Norint susieti LDAP kanalą, reikia, kad visuose "Windows" įrenginiuose būtų įdiegta CVE-2017-8563 . Patikrinkite, ar jūsų programa arba paslauga naudoja LDAP kanalo susiejimą.

Naudokite vietinius, nuotolinius, bendruosius arba konkretaus įrenginio sekimo įrankius. Tai apima tinklo užfiksavimą, procesų tvarkytuvą arba derinimo sekimą. Nustatykite, ar pagrindinė operacinė sistema, tarnyba arba programa atlieka nepasirašytus LDAP susiejimus, ar nenaudoja CBT.

Naudokite "Windows" užduočių tvarkytuvą arba atitikmenį proceso ID susieti su apdorojimo, tarnybos ir programų pavadinimais.

Saugos naujinimo planas

2020 m. kovo 10 d. naujinimas įtraukė valdiklius administratoriams, kad sustiprintų LDAP kanalo susiejimo ir LDAP pasirašymo "Active Directory" domeno valdikliuose konfigūracijas. 2023 m. rugpjūčio 8 d. ir spalio 10 d. naujinimai įtraukia parinktis administratoriams, kurie audito kliento kompiuteriuose negali naudoti LDAP kanalo susiejimo atpažinimo ženklų. Primygtinai rekomenduojame klientams kuo anksčiau imtis šiame straipsnyje rekomenduojamų veiksmų.

Tikslinė data	Įvykis	Taikoma
2020 m. kovo 10 d.	Būtina: saugos naujinimas pasiekiamas "Windows Update" visose palaikomose "Windows" platformose. Pastaba "Windows" platformoms, kurios nėra standartinio palaikymo, šis saugos naujinimas bus pasiekiamas tik naudojant taikomas papildomo palaikymo programas. LDAP kanalo susiejimo palaikymą įtraukė CVE-2017-8563 "Windows Server 2008" ir naujesnėse versijose. Kanalo susiejimo atpažinimo ženklus palaiko Windows 10 1709 ir naujesnės versijos. "Windows XP" nepalaiko LDAP kanalo susiejimo ir gali nepavykti, kai LDAP kanalo susiejimas sukonfigūruotas naudojant reikšmę Visada, bet sąveikauti su DC, sukonfigūruotais naudoti labiau atsipalaidavusį LDAP kanalo susiejimo parametrą Kai palaikoma.	Windows Server 2022 Windows 10, 20H2 versija Windows 10, 1909 versija (19H2) "Windows Server 2019" (1809 \ RS5) "Windows Server 2016" (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 "Windows Server 2008 R2 SP1" (ESU) "Windows Server 2008 SP2" (papildomas saugos naujinimas (ESU))
2023 m. rugpjūčio 8 d.	Įtraukia LDAP kanalo susiejimo atpažinimo ženklų audito įvykius (3074 & 3075). Pagal numatytuosius parametrus jie išjungti "Windows Server 2022".	Windows Server 2022
2023 m. spalio 10 d.	Įtraukia LDAP kanalo susiejimo atpažinimo ženklų audito įvykius (3074 & 3075). Pagal numatytuosius parametrus jie išjungti "Windows Server 2019".	„Windows Server 2019”
2023 m. lapkričio 14 d.	LDAP kanalo susiejimo atpažinimo ženklo tikrinimo įvykiai pasiekiami "Windows Server 2022" neįdiegus įgalinimo MSI (kaip aprašyta rekomenduojamų veiksmų 3 veiksme).	Windows Server 2022
2024 m. sausio 9 d.	LDAP kanalo susiejimo atpažinimo ženklo tikrinimo įvykiai pasiekiami "Windows Server 2019" neįdiegus įjungimo MSI (kaip aprašyta rekomenduojamų veiksmų 3 veiksme).	„Windows Server 2019”

Dažnai užduodami klausimai

Atsakymus į dažnai užduodamus klausimus apie LDAP kanalo susiejimą ir LDAP pasirašymą "Active Directory" domeno valdikliuose rasite: