2020, 2023 un 2024 LDAP kanālu saistīšanas un LDAP parakstīšanas prasības operētājsistēmai Windows (KB4520412)

Ievads

LDAP kanālu saistīšana un LDAP parakstīšana nodrošina veidus, kā palielināt sakaru drošību starp LDAP klientiem un Active Directory domēnu kontrolleriem. Nedrošu noklusējuma konfigurāciju kopa LDAP kanāla saistīšanai un LDAP parakstīšanai pastāv Active Directory domēna kontrolleros, kas ļauj LDAP klientiem sazināties ar viņiem, nesācot LDAP kanāla saistīšanu un LDAP pierakstīšanos. Tādējādi var atvērt Active Directory domēna kontrollerus, lai paplašinātu privilēģiju ievainojamību.

Šī ievainojamība var atļaut starpnieku uzbrukumam sekmīgi pārsūtīt autentifikācijas pieprasījumu Microsoft domēna serverim, kas nav konfigurēts pieprasīt kanāla saistīšanu, pierakstīšanos vai apzīmogošanu ienākošajiem savienojumiem.

Microsoft iesaka administratoriem veikt šajā rakstā ADV190023.

2020. gada 10. martā mēs risinām šo ievainojamību, nodrošinot administratoriem tālāk norādītās opcijas, lai administratoriem paplašinātu LDAP kanālu saistīšanas konfigurāciju Active Directory domēna kontrolleros:

Domēna kontrolleris: LDAP servera kanāla saistīšanas pilnvaru prasības Grupas politika.
Kanāla saistīšanas marķieru (CBT) parakstīšanas notikumi 3039, 3040 un 3041 ar notikumu sūtītāju Microsoft-Windows-Active Directory_DomainService direktorija pakalpojuma notikumu žurnālā.

Svarīgi! 2020. gada 10. marta atjauninājumi un atjauninājumi paredzamajā nākotnē nemainīs LDAP pierakstīšanos vai LDAP kanālu saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory domēnu kontrolleriem.

LDAP parakstīšanas domēna kontrolleris LDAP serveru parakstīšanas prasību politika jau pastāv visās atbalstītās Windows versijās. Sākot ar Windows Server 2022, 23H2 Edition, visās jaunajās Windows versijās būs visas šajā rakstā ietvertās izmaiņas.

Kāpēc šīs izmaiņas ir nepieciešamas

Active Directory domēnu kontrolleru drošību var ievērojami uzlabot, konfigurējot serveri, lai noraidītu vienkāršās autentifikācijas un drošības slāņa (SASL) LDAP piesaisti, ar kurām netiek pieprasīta parakstīšana (integritātes pārbaude) vai noraidītu LDAP vienkāršos saistījumus, kas tiek veikti ar notīrītu teksta (ne SSL/TLS šifrētu) savienojumu. SASL var būt iekļauti protokoli, piemēram, Negotiate, Kerberos, NTLM un Digest protokoli.

Neparakstīts tīkla trafiks ir jutīgs pret atkārtotiem uzbrukumiem, kuros iebrucējs pārtver autentifikācijas mēģinājumu un biļetes izdošanu. Iebrucējs var atkārtoti izmantot biļeti, lai uzdotos par likumīgu lietotāju. Turklāt neparakstīts tīkla trafiks ir noderīgs tiem, kas atrodas vidū (MiTM) uzbrukumos, kuros neparakstīts tīkla trafiks tver paketes starp klientu un serveri, maina paketes un pēc tam tās pārsūtiet uz serveri. Ja tā notiek Active Directory domēna kontrollerī, uzbrucējs var izraisīt servera pieņemt lēmumus, pamatojoties uz LDAP klienta viltotajiem pieprasījumiem. LDAPS izmanto savu atsevišķu tīkla portu, lai savienotu klientus un serverus. LDAP noklusējuma ports ir ports 389, bet LDAPS izmanto portu 636 un izveido SSL/TLS, izveidojot savienojumu ar klientu.

Kanālu saistīšanas marķieri palīdz padarīt LDAP autentifikāciju, izmantojot SSL/TLS, drošāku pret man-in-the-middle uzbrukumiem.

2020. gada 10. marta atjauninājumi

Svarīgi 2020. gada 10. marta atjauninājumi nemaina LDAP pierakstīšanos vai LDAP kanāla saistījuma noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory domēna kontrolleriem.

Windows atjauninājumi, kas izlaisti 2020. gada 10. martā, pievieno šādus līdzekļus:

Ar LDAP kanāla saistījumu Notikumu skatītājs jauni notikumi. Detalizētu informāciju par šiem notikumiem skatiet 1 . tabulā un 2 . tabulā.
Jauns domēna kontrolleris: LDAP servera kanāla saistīšanas prasības, kas grupas politika LDAP kanāla saistīšanas konfigurēšana atbalstītās ierīcēs.

Kartēšana starp LDAP parakstīšanas politikas iestatījumiem un reģistra iestatījumiem ir iekļauta tālāk:

Politikas iestatījums: "Domēna kontrolleris: LDAP servera parakstīšanas prasības"
Reģistra iestatījums: LDAPServerIntegrity
DataType: DWORD
Reģistra ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

grupas politika iestatījums	Reģistra iestatījums
Neviens	1
Pieprasīt pierakstīšanos	2

Kartēšana starp LDAP kanāla saistīšanas politikas iestatījumiem un reģistra iestatījumiem ir šāda:

Politikas iestatījums: "Domēna kontrolleris: LDAP servera kanāla saistīšanas pilnvaru prasības"
Reģistra iestatījums: LdapEnforceChannelBinding
DataType: DWORD
Reģistra ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

grupas politika iestatījums	Reģistra iestatījums
Nekad	0
Ja tiek atbalstīts	1
Vienmēr	2

1. tabula: LDAP parakstīšanas notikumi

	Apraksts	Trigeris
2886	Šo domēna kontrolleru drošību var ievērojami uzlabot, konfigurējot serveri, lai ieviestu LDAP parakstīšanas validāciju.	Aktivizē ik pēc 24 stundām, startējot vai sākot pakalpojumu, grupas politika iestatījums ir Nav. Minimālais reģistrēšanas līmenis: 0 vai lielāks
2887	Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos.	Aktivizēja ik pēc 24 stundām, grupas politika iestatīta uz Nav un tika pabeigta vismaz viena neaizsargāta saistīšana. Minimālais reģistrēšanas līmenis: 0 vai lielāks
2888	Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos.	Aktivizēja ik pēc 24 stundām, grupas politika iestatīta uz Pieprasīt pierakstīšanos, un vismaz viena neaizsargāta saistīšana tika noraidīta. Minimālais reģistrēšanas līmenis: 0 vai lielāks
2889	Šo domēnu kontrolleru drošību var uzlabot, konfigurējot tos noraidīt vienkāršus LDAP saistījuma pieprasījumus un citus saistīšanas pieprasījumus, kas neietver LDAP pierakstīšanos.	Izraisīta, ja klients neizmanto pierakstīšanos saistīšanai 389. porta sesijās. Minimālais reģistrēšanas līmenis: 2 vai lielāks

2. tabula: CBT notikumi

Notikums	Apraksts	Trigeris
3039	Tālāk redzamais klients veica LDAP saistīšanu ar SSL/TLS un neizdevās LDAP kanāla saistīšanas pilnvaras validācija.	Izraisīta jebkurā no šiem apstākļiem: Ja klients mēģina izveidot savienojumu ar nepareizi formatētu kanāla saistīšanas marķieri (CBT), ja CBT grupas politika iestatīta uz Ja tiek atbalstīts vai Vienmēr. Ja klients ar kanālu saistīšanu var nesūtīt CBT, ja CBT grupas politika iestatīta uz Ja tiek atbalstīts. Klientam ir kanālu saistīšana, ja EPA līdzeklis ir instalēts vai pieejams sistēmā OS un nav atspējots, izmantojot reģistra iestatījumu SuppressExtendedProtection. Papildinformāciju skatiet rakstā KB5021989. Ja klients nesūta CBT, ja CBT grupas politika iestatīta uz Vienmēr. Minimālais reģistrēšanas līmenis: 2
3040	Iepriekšējā 24 stundu periodā tika veiktas # no neaizsargātām LDAP.	Aktivizēja ik pēc 24 stundām, grupas politika CBT aktivizēšanu uz Nekad un tika pabeigta vismaz viena neaizsargāta saistīšana. Minimālais reģistrēšanas līmenis: 0
3041	Šī direktorija servera drošību var ievērojami uzlabot, konfigurējot serveri, lai ieviestu LDAP kanāla saistīšanas marķieru validāciju.	Aktivizē ik pēc 24 stundām, startējot vai sākot pakalpojumu, ja CBT grupas politika iestatīta uz Nekad. Minimālais reģistrēšanas līmenis: 0

Lai iestatītu reģistrēšanas līmeni reģistrā, izmantojiet komandu, kas ir līdzīga tālāk redzamai komandai.

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Papildinformāciju par Active Directory diagnostikas notikumu reģistrēšanas konfigurēšanu skatiet rakstā Active Directory un LDS diagnostikas notikumu reģistrēšanas konfigurēšana.

2023. gada 8. augusta atjauninājumi

Daži klientu datori nevar izmantot LDAP kanālu saistīšanas pilnvaras, lai saistītu ar Active Directory domēna kontrolleriem (Active Directory domain controllers — DC). Microsoft izlaidīs 2023. gada 8. augusta drošības atjauninājumu. Ja jums ir Windows Server 2022, šis atjauninājums pievieno opcijas administratoriem auditēšanas šiem klientiem. Varat iespējot CBT notikumus 3074 un 3075 ar notikuma avotu **Microsoft-Windows-ActiveDirectory_DomainService** direktorija pakalpojuma notikumu žurnālā.

Svarīgi 2023. gada 8. augusta atjauninājums nemaina LDAP pierakstīšanos, LDAP kanālu saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunajiem vai esošajiem Active Directory DC.

Šeit ir spēkā arī visi 2020. gada marta atjauninājumu sadaļā sniegtie norādījumi. Jaunajiem auditēšanas notikumiem būs nepieciešama iepriekš minētajos norādījumos izklāstītā politika un reģistra iestatījumi. Ir arī iespējošanas darbība, lai skatītu jaunos audita notikumus. Jaunā detalizētā informācija par ieviešanu ir sniegta tālāk sadaļā Ieteicamās darbības.

3. tabula: CBT notikumi

Notikums

Apraksts

Trigeris

3074

Tālāk redzamais klients veica LDAP saistīšanu pār SSL/TLS un nav veicis kanāla saistīšanas pilnvaras validāciju, ja direktorija serveris ir konfigurēts ieviest kanāla saistīšanas marķieru validāciju.

Izraisīta jebkurā no šiem apstākļiem:

Kad klients mēģina izveidot savienojumu ar nepareizi formatētu kanāla saistīšanas marķieri (CBT)

Minimālais reģistrēšanas līmenis: 2

3075

Tālāk redzamais klients veica LDAP saistīšanu ar SSL/TLS un nesniedza kanāla saistīšanas informāciju. Kad šis direktorija serveris ir konfigurēts, lai ieviestu kanāla saistīšanas marķieru validāciju, šī saistīšanas darbība tiks noraidīta.

Izraisīta jebkurā no šiem apstākļiem:

Ja klients ar kanālu saistīšanu nevar nosūtīt CBT
Klientam ir kanālu saistīšana, ja EPA līdzeklis ir instalēts vai pieejams sistēmā OS un nav atspējots, izmantojot reģistra iestatījumu SuppressExtendedProtection. Papildinformāciju skatiet rakstā KB5021989.

Minimālais reģistrēšanas līmenis: 2

Piezīme Iestatot reģistrēšanas līmeni vismaz 2, tiek reģistrēts notikuma ID 3074. Administratori to var izmantot, lai auditēt savu vidi klientiem, kas nedarbojas ar kanālu saistīšanas marķieriem. Notikumi saturēs šādu diagnostikas informāciju, lai identificētu klientus:

Client IP address: 192.168.10.5:62709
Identitāte, kuru klients mēģināja autentificēt kā:
CONTOSO\Administrators
Klients atbalsta kanāla saistīšanu:FALSE
Klients atļauts, ja tiek atbalstīts režīms:TRUE
Audita rezultātu karodziņi:0x42

2023. gada 10. oktobra atjauninājumi

2023. gada augustā pievienotās auditēšanas izmaiņas tagad ir pieejamas sistēmā Windows Server 2019. Attiecībā uz šo OS šis atjauninājums pievieno administratoru opcijas auditam šos klientus. Varat iespējot CBT notikumus 3074 un 3075. Izmantojiet notikuma avotu **Microsoft-Windows-ActiveDirectory_DomainService** direktorija pakalpojuma notikumu žurnālā.

Svarīgi 2023. gada 10. oktobra atjauninājums nemaina LDAP pierakstīšanos, LDAP kanāla saistīšanas noklusējuma politikas vai to reģistra ekvivalentu jaunos vai esošos Active Directory DC datoros.

Šeit ir spēkā arī visi 2020. gada marta atjauninājumu sadaļā sniegtie norādījumi. Jaunajiem auditēšanas notikumiem būs nepieciešama iepriekš minētajos norādījumos izklāstītā politika un reģistra iestatījumi. Ir arī iespējošanas darbība, lai skatītu jaunos audita notikumus. Jaunā detalizētā informācija par ieviešanu ir sniegta tālāk sadaļā Ieteicamās darbības.

2023. gada 14. novembra atjauninājumi

2023. gada augustā pievienotās auditēšanas izmaiņas tagad ir pieejamas sistēmā Windows Server 2022. Jums nav jāinstalē MSI vai jāizveido politikas, kā minēts ieteicamo darbību 3. darbībā.

2024. gada 9. janvāra atjauninājumi

2023. gada oktobrī pievienotās auditēšanas izmaiņas tagad ir pieejamas operētājsistēmā Windows Server 2019. Jums nav jāinstalē MSI vai jāizveido politikas, kā minēts ieteicamo darbību 3. darbībā.

Ieteicamās darbības

Mēs stingri iesakām klientiem agrākā iespēja veikt šādas darbības:

Pārliecinieties, vai domēna kontrollera (DC) lomu datoros ir instalēti 2020. gada 10. marta vai jaunākas versijas Windows atjauninājumi. Ja vēlaties iespējot LDAP kanāla saistīšanas audita notikumus, pārliecinieties, vai Windows Server 2022 vai Server 2019 DC ir instalēti 2023. gada 8. augusta vai jaunākas versijas atjauninājumi.
Iespējojiet LDAP notikumu diagnostikas reģistrēšanu uz 2 vai jaunāku versiju.
Iespējojiet 2023. gada augusta vai 2023. gada oktobra auditēšanas notikumu atjauninājumus, izmantojot grupas politika. Šo darbību varat izlaist, ja esat instalējis 2023. gada novembra vai jaunāku windows Server 2022 atjauninājumu. Ja esat instalējis 2024. gada janvāra vai jaunāku versiju atjauninājumus operētājsistēmā Windows Server 2019, varat arī izlaist šo darbību.
- Lejupielādējiet abus iespējotos MSI katrai operētājsistēmas versijai no Microsoft lejupielādes centra:
- Izvērsiet MSI, lai instalētu jaunos ADMX failus, kas satur politikas definīcijas. Ja izmantojat centralizēto veikalu grupas politika, kopējiet ADMX failus centrālajā veikalā.
- Lietojiet atbilstošās politikas savam domēnu kontrolleru OU vai jūsu Server 2022 vai Server 2019 DC apakškopai.
- Lai izmaiņas stātos spēkā, restartējiet DC.
Direktorija pakalpojumu notikumu žurnāla pārraudzība visos dc lomu datoros, kas filtrēti:
- LDAP parakstīšanas kļūmes notikums 2889 1. tabulā.
- LDAP kanāla saistīšanas kļūmes notikums 3039 2. tabulā.
- LDAP kanāla saistīšanas audita notikumi 3074 un 3075 3. tabulā.
  
  Piezīme Notikumus 3039, 3074 un 3075 var ģenerēt tikai tad, ja kanāla saistījums ir iestatīts uz Ja tiek atbalstīts vai Vienmēr.
Identificējiet marku, modeli un ierīces tipu katrai IP adresei, uz ko norāda:
- Notikums 2889 neparakstītu LDAP izsaukumu veikšanai
- Notikums 3039 nemanot LDAP kanāla saistījumu
- Event 3074 vai 3075, ja nav spējīgs LDAP kanāla saistījums

Ierīču tipi

Grupējat ierīču tipus 1 no 3 kategorijām:

Iekārtu vai maršrutētāju —
- Sazinieties ar ierīces nodrošinātāju.
Ierīce, kas nedarbojas operētājsistēmā Windows —
- Pārliecinieties, vai operētājsistēmā un lietojumprogrammā tiek atbalstīta gan LDAP kanāla saistīšana, gan LDAP parakstīšana. Lai to paveiktu, strādājot ar operētājsistēmas un lietojumprogrammas nodrošinātāju.
Ierīce, kas darbojas operētājsistēmā Windows —
- LDAP parakstīšana ir pieejama lietošanai visās lietojumprogrammās visās atbalstītās Windows versijās. Pārliecinieties, vai jūsu lietojumprogramma vai pakalpojums izmanto LDAP pierakstīšanos.
- LDAP kanāla saistīšanai ir nepieciešams, lai visās Windows ierīcēs būtu instalēta CVE-2017-8563 . Pārbaudiet, vai jūsu lietojumprogramma vai pakalpojums izmanto LDAP kanāla saistījumu.

Izmantojiet lokālus, attālus, vispārīgus vai ierīcei specifiskus trasēšanas rīkus. Tie ietver tīkla tveršanu, procesu pārvaldnieku vai atkļūdošanas izsekošanu. Nosakiet, vai pamata operētājsistēma, pakalpojums vai lietojumprogramma veic neparakstītu LDAP piesaisti vai nelieto CBT.

Izmantojiet Windows uzdevumu pārvaldnieku vai ekvivalentu, lai kartētu procesa ID procesā, pakalpojumā un lietojumprogrammu nosaukumos.

Drošības atjauninājumu grafiks

2020. gada 10. marta atjauninājumā pievienotas vadīklas administratoriem, lai administratoriem sarūdītu LDAP kanālu saistīšanas un LDAP parakstīšanas Active Directory domēna kontrolleros konfigurācijas. 2023. gada 8. augusta un 10. oktobra atjauninājumi pievieno administratoru opcijas audita klientu datoriem, kas nevar izmantot LDAP kanāla saistīšanas marķierus. Mēs stingri iesakām klientiem agrākā iespēja veikt šajā rakstā ieteiktās darbības.

Mērķa datums	Notikums	Attiecas uz
2020. gada 10. marts	Obligāti: drošības atjauninājums ir Windows Update visās atbalstītās Windows platformās. Piezīme Windows platformām, kurām netiek nodrošināts standarta atbalsts, šis drošības atjauninājums būs pieejams tikai attiecīgajās paplašinātā atbalsta programmās. LDAP kanālu saistīšanas atbalstu pievienoja CVE-2017-8563 operētājsistēmā Windows Server 2008 un jaunākās versijās. Kanālu saistīšanas pilnvaras tiek atbalstītas Windows 10 versijā 1709 un jaunākās versijās. Windows XP neatbalsta LDAP kanāla saistīšanu un neizdosies, ja LDAP kanāla saistīšana ir konfigurēta, izmantojot Always vērtību, bet krustoties ar DCs, kas konfigurēti izmantot atslābinošāku LDAP kanāla saistīšanas iestatījumu Ja tiek atbalstīts.	Windows Server 2022 Windows 10, versija 20H2 Windows 10, versija 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (paplašinātais drošības atjauninājums (ESU))
2023. gada 8. augusts	Pievieno LDAP kanāla saistīšanas pilnvaru auditēšanas notikumus (3074 & 3075). Pēc noklusējuma tie ir atspējoti sistēmā Windows Server 2022.	Windows Server 2022
2023. gada 10. oktobris	Pievieno LDAP kanāla saistīšanas pilnvaru auditēšanas notikumus (3074 & 3075). Pēc noklusējuma tie ir atspējoti operētājsistēmā Windows Server 2019.	Windows Server 2019
2023. gada 14. novembris	LDAP kanāla saistīšanas auditēšanas notikumi ir pieejami operētājsistēmā Windows Server 2022 bez iespējošanas MSI instalēšanas (kā aprakstīts sadaļā Ieteicamās darbības 3. darbība).	Windows Server 2022
2024. gada 9. janvāris	LDAP kanāla saistīšanas auditēšanas notikumi ir pieejami operētājsistēmā Windows Server 2019 bez iespējošanas MSI instalēšanas (kā aprakstīts sadaļā Ieteicamās darbības 3. darbība).	Windows Server 2019

Bieži uzdotie jautājumi

Atbildes uz bieži uzdotiem jautājumiem par LDAP kanālu saistīšanu un LDAP pierakstīšanos Active Directory domēna kontrolleros skatiet tālāk redzamajā rakstā.