2020-, 2023- og 2024 LDAP-kanalbinding og LDAP-signeringskrav for Windows (KB4520412)

Innledning

LDAP-kanalbinding og LDAP-signering gir måter å øke sikkerheten for kommunikasjon mellom LDAP-klienter og Active Directory-domenekontrollere på. Det finnes et sett med usikre standardkonfigurasjoner for LDAP-kanalbinding og LDAP-signering på Active Directory-domenekontrollere som lar LDAP-klienter kommunisere med dem uten å håndheve LDAP-kanalbinding og LDAP-signering. Dette kan åpne Active Directory-domenekontrollere for et sikkerhetsproblem med rettighetsutvidelse.

Dette sikkerhetsproblemet kan gjøre det mulig for en mann i midten å videresende en godkjenningsforespørsel til en Microsoft-domeneserver som ikke er konfigurert til å kreve kanalbinding, signering eller forsegling på innkommende tilkoblinger.

Microsoft anbefaler administratorer å gjøre de harde endringene som er beskrevet i ADV190023.

10. mars 2020 løser vi dette sikkerhetsproblemet ved å tilby følgende alternativer for administratorer for å styrke konfigurasjonene for LDAP-kanalbinding på Active Directory-domenekontrollere:

Domenekontroller: Krav til bindingstoken for LDAP-serverkanal Gruppepolicy.
Signeringshendelser for kanalbindingstokener (CBT) 3039, 3040 og 3041 med hendelsesavsenderen Microsoft-Windows-Active Directory_DomainService i hendelsesloggen for katalogtjenesten.

Viktig: Oppdateringene og oppdateringene for mars 10, 2020 i overskuelig fremtid, vil ikke endre standardpolicyer for LDAP-signering eller LDAP-kanalbinding eller registerekvivalent på nye eller eksisterende Active Directory-domenekontrollere.

LDAP-signeringsdomenekontrolleren: Policy for LDAP-serversigneringskrav finnes allerede i alle støttede versjoner av Windows. Fra og med Windows Server 2022, 23H2 Edition, vil alle nye versjoner av Windows inneholde alle endringene i denne artikkelen.

Hvorfor denne endringen er nødvendig

Sikkerheten til Active Directory-domenekontrollere kan forbedres betydelig ved å konfigurere serveren til å avvise LDAP-bindinger (Simple Authentication and Security Layer) som ikke ber om signering (integritetskontroll), eller for å avvise enkle bindinger for LDAP som utføres på en klarteksttilkobling (ikke-SSL/TLS-kryptert). SASL-er kan inkludere protokoller som for eksempel protokollene Negotiate, Kerberos, NTLM og Digest.

Usignert nettverkstrafikk er mottakelig for Replay-angrep der en inntrenger fanger opp godkjenningsforsøket og utstedelse av en billett. Inntrenger kan bruke billetten på nytt til å etterligne den legitime brukeren. I tillegg er usignert nettverkstrafikk utsatt for mann-i-midten (MiTM) angrep der en inntrenger fanger pakker mellom klienten og serveren, endrer pakkene, og deretter videresender dem til serveren. Hvis dette skjer på en Active Directory-domenekontroller, kan en angriper føre til at en server tar avgjørelser som er basert på forfalskede forespørsler fra LDAP-klienten. LDAPS bruker sin egen distinkte nettverksport til å koble til klienter og servere. Standardporten for LDAP er port 389, men LDAPS bruker port 636 og etablerer SSL/TLS ved tilkobling til en klient.

Kanalbindingstokener bidrar til å gjøre LDAP-godkjenning over SSL/TLS sikrere mot mann-i-midten-angrep.

Oppdateringer 10. mars 2020

Viktig! Oppdateringene 10. mars 2020 endrer ikke standardpolicyer for LDAP-signering eller LDAP-kanalbinding eller registerekvivalenter på nye eller eksisterende Active Directory-domenekontrollere.

Windows-oppdateringer som skal lanseres 10. mars 2020, legger til følgende funksjoner:

Nye hendelser logges på Hendelsesliste relatert til LDAP-kanalbinding. Se tabell 1 og tabell 2 for mer informasjon om disse hendelsene.
En ny domenekontroller: Krav til bindingstoken for LDAP-serverkanal gruppepolicy for å konfigurere LDAP-kanalbinding på støttede enheter.

Tilordningen mellom innstillinger for LDAP-signeringspolicy og registerinnstillinger er inkludert på følgende måte:

Policyinnstillingen: "Domenekontroller: LDAP-serversigneringskrav"
Registerinnstilling: LDAPServerIntegrity
Datatype: DWORD
Registerbane: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

gruppepolicy innstilling	Registerinnstilling
Ingen	1
Krev signering	2.

Tilordningen mellom innstillinger for LDAP-kanalbindingspolicy og registerinnstillinger er inkludert på følgende måte:

Policyinnstillingen: "Domenekontroller: Krav til bindingstoken for LDAP-serverkanal"
Registerinnstilling: LdapEnforceChannelBinding
Datatype: DWORD
Registerbane: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

gruppepolicy innstilling	Registerinnstilling
Aldri	0
Når det støttes	1
Alltid	2.

Tabell 1: LDAP-signeringshendelser

	Beskrivelse	Utløse
2886	Sikkerheten til disse domenekontrollerne kan forbedres betydelig ved å konfigurere serveren til å fremtvinge validering av LDAP-signering.	Utløses hver 24. time ved oppstart eller start av tjenesten hvis gruppepolicy er satt til Ingen. Minimum loggingsnivå: 0 eller høyere
2887	Sikkerheten til disse domenekontrollerne kan forbedres ved å konfigurere dem til å avvise enkle LDAP-bindforespørsler og andre bind-forespørsler som ikke inkluderer LDAP-signering.	Utløses hver 24. time når gruppepolicy er satt til Ingen, og minst én ubeskyttet bind ble fullført. Minimum loggingsnivå: 0 eller høyere
2888	Sikkerheten til disse domenekontrollerne kan forbedres ved å konfigurere dem til å avvise enkle LDAP-bindforespørsler og andre bind-forespørsler som ikke inkluderer LDAP-signering.	Utløses hver 24. time når gruppepolicy er satt til Krev signering, og minst én ubeskyttet bind ble avvist. Minimum loggingsnivå: 0 eller høyere
2889	Sikkerheten til disse domenekontrollerne kan forbedres ved å konfigurere dem til å avvise enkle LDAP-bindforespørsler og andre bind-forespørsler som ikke inkluderer LDAP-signering.	Utløses når en klient ikke bruker signering for bindinger på økter på port 389. Minimum loggingsnivå: 2 eller høyere

Tabell 2: CBT-hendelser

Hendelse	Beskrivelse	Utløse
3039	Følgende klient utførte en LDAP-binding over SSL/TLS og mislyktes med valideringen av bindingstoken for LDAP-kanalen.	Utløses under følgende omstendigheter: Når en klient prøver å binde med et feil formatert kanalbindingstoken (CBT) hvis CBT-gruppepolicy er satt til Når støttes eller Alltid. Når en klient som er i stand til kanalbinding, ikke sender en CBT hvis CBT-gruppepolicy er satt til Når støttes. En klient er i stand til kanalbinding hvis EPA-funksjonen er installert eller tilgjengelig i operativsystemet og ikke er deaktivert gjennom registerinnstillingen SuppressExtendedProtection. Hvis du vil ha mer informasjon, kan du se KB5021989. Når en klient ikke sender en CBT hvis CBT-gruppepolicy er satt til Alltid. Minimum loggingsnivå: 2
3040	I løpet av forrige 24-timers periode ble # av ubeskyttede LDAP-bindinger utført.	Utløses hver 24. time når CBT gruppepolicy er satt til Aldri, og minst én ubeskyttet bind ble fullført. Minimum loggingsnivå: 0
3041	Sikkerheten til denne katalogserveren kan forbedres betydelig ved å konfigurere serveren til å fremtvinge validering av LDAP-kanalbindingstokener.	Utløses hver 24. time, ved oppstart eller start av tjenesten hvis CBT-gruppepolicy er satt til Aldri. Minimum loggingsnivå: 0

Hvis du vil angi loggingsnivået i registret, bruker du en kommando som ligner på følgende:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Hvis du vil ha mer informasjon om hvordan du konfigurerer logging av diagnosehendelser i Active Directory, kan du se Slik konfigurerer du hendelseslogging for Active Directory og LDS-diagnose.

Oppdateringer for 8. august 2023

Noen klientmaskiner kan ikke bruke LDAP-kanalbindingstokener til å binde til Active Directory-domenekontrollere . Microsoft lanserer en sikkerhetsoppdatering 8. august 2023. For Windows Server 2022 legger denne oppdateringen til alternativer for administratorer for å overvåke disse klientene. Du kan aktivere CBT-hendelser 3074 og 3075 med hendelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hendelsesloggen for katalogtjenesten.

Viktig! Oppdateringen 8. august 2023 endrer ikke LDAP-signering, standardpolicyer for LDAP-kanalbinding eller registerekvivalenter på nye eller eksisterende Active Directory-DCer.

Alle veiledningene i delen om oppdateringer for mars 2020 gjelder også her. De nye overvåkingshendelsene krever policyen og registerinnstillingene som er beskrevet i veiledningen ovenfor. Det finnes også et aktiveringstrinn for å se de nye overvåkingshendelsene. De nye implementeringsdetaljene er i delen Anbefalte handlinger nedenfor.

Tabell 3: CBT-hendelser

Hendelse

Beskrivelse

Utløse

3074

Følgende klient utførte en LDAP-binding over SSL/TLS og ville ha mislyktes med valideringen av kanalbindingstoken hvis katalogserveren ble konfigurert til å fremtvinge validering av kanalbindingstokener.

Utløses under følgende omstendigheter:

Når en klient prøver å binde med et ugyldig formatert kanalbindingstoken (CBT)

Minimum loggingsnivå: 2

3075

Følgende klient utførte en LDAP-binding over SSL/TLS og ga ikke informasjon om kanalbinding. Når denne katalogserveren er konfigurert til å fremtvinge validering av kanalbindingstokener, blir denne bindingsoperasjonen avvist.

Utløses under følgende omstendigheter:

Når en klient som er i stand til kanalbinding, ikke sender en CBT
En klient er i stand til kanalbinding hvis EPA-funksjonen er installert eller tilgjengelig i operativsystemet og ikke er deaktivert gjennom registerinnstillingen SuppressExtendedProtection. Hvis du vil ha mer informasjon, kan du se KB5021989.

Minimum loggingsnivå: 2

Obs! Når du angir loggingsnivået til minst 2, logges hendelses-ID 3074. Administratorer kan bruke dette til å overvåke miljøet for klienter som ikke fungerer med kanalbindingstokener. Hendelsene inneholder følgende diagnoseinformasjon for å identifisere klientene:

Client IP address: 192.168.10.5:62709
Identitet klienten forsøkte å godkjenne som:
CONTOSO\Administrator
Klienten støtter kanalbinding:USANN
Klienten er tillatt i modus som støttes:SANN
Flagg for overvåkingsresultat:0x42

Oppdateringer for 10. oktober 2023

Overvåkingsendringene som ble lagt til i august 2023, er nå tilgjengelige på Windows Server 2019. For dette operativsystemet legger denne oppdateringen til alternativer for administratorer for å overvåke disse klientene. Du kan aktivere CBT-hendelser 3074 og 3075. Bruk hendelseskilden **Microsoft-Windows-ActiveDirectory_DomainService** i hendelsesloggen for katalogtjenesten.

Viktig! Oppdateringen 10. oktober 2023 endrer ikke LDAP-signering, standardpolicyer for LDAP-kanalbinding eller registerekvivalent på nye eller eksisterende Active Directory-DCer.

Alle veiledningene i delen om oppdateringer for mars 2020 gjelder også her. De nye overvåkingshendelsene krever policyen og registerinnstillingene som er beskrevet i veiledningen ovenfor. Det finnes også et aktiveringstrinn for å se de nye overvåkingshendelsene. De nye implementeringsdetaljene er i delen Anbefalte handlinger nedenfor.

Oppdateringer 14. november 2023

Overvåkingsendringene som ble lagt til i august 2023, er nå tilgjengelige på Windows Server 2022. Du trenger ikke å installere MSI-er eller opprette policyer som nevnt i trinn 3 av anbefalte handlinger.

Oppdateringer for 9. januar 2024

Overvåkingsendringene som ble lagt til i oktober 2023, er nå tilgjengelige på Windows Server 2019. Du trenger ikke å installere MSI-er eller opprette policyer som nevnt i trinn 3 av anbefalte handlinger.

Anbefalte handlinger

Vi anbefaler på det sterkeste at kundene tar følgende trinn så snart som mulig:

Sørg for at windows-oppdateringene 10. mars 2020 eller nyere installeres på rolledatamaskiner med domenekontroller (DC). Hvis du vil aktivere overvåkingshendelser for LDAP-kanalbinding, må du kontrollere at oppdateringene for 8. august 2023 eller nyere er installert på Windows Server 2022 eller Server 2019 DCs.
Aktiver diagnoselogging for LDAP-hendelser til 2 eller høyere.
Aktiver oppdateringer for overvåkingshendelser for august 2023 eller oktober 2023 ved hjelp av gruppepolicy. Du kan hoppe over dette trinnet hvis du har installert oppdateringene for november 2023 eller nyere på Windows Server 2022. Hvis du har installert oppdateringene for januar 2024 eller nyere på Windows Server 2019, kan du også hoppe over dette trinnet.
- Last ned de to aktiverings-MSI-ene per OS-versjon fra Microsoft Download Center:
- Utvid MSI-ene for å installere de nye ADMX-filene som inneholder policydefinisjonene. Hvis du bruker Sentrallager til gruppepolicy, kopierer du ADMX-filene til Sentrallageret.
- Bruk tilsvarende policyer på ou-ene for domenekontrollere eller på et delsett av Server 2022- eller Server 2019-DCene.
- Start DC på nytt for at endringene skal tre i kraft.
Overvåk hendelsesloggen for katalogtjenester på alle DC-rolledatamaskiner som er filtrert for:
- Feilhendelse for LDAP-signering 2889 i tabell 1.
- Feil ved bindingsfeil for LDAP-kanal 3039 i tabell 2.
- Overvåkingshendelser for LDAP-kanalbinding 3074 og 3075 i tabell 3.
  
  Obs! Hendelser 3039, 3074 og 3075 kan bare genereres når kanalbinding er satt til Når støttes eller Alltid.
Identifiser merke, modell og type enhet for hver IP-adresse som er sitert av:
- Hendelse 2889 for å foreta usignerte LDAP-samtaler
- Hendelse 3039 for ikke å bruke LDAP-kanalbinding
- Hendelse 3074 eller 3075 for ikke å være i stand til LDAP Channel Binding

Enhetstyper

Grupper enhetstyper i 1 av 3 kategorier:

Apparatet eller ruteren -
- Kontakt enhetsleverandøren.
Enhet som ikke kjører på et Windows-operativsystem –
- Kontroller at både LDAP-kanalbinding og LDAP-signering støttes på operativsystemet og programmet. Gjør dette ved å arbeide med operativsystemet og programleverandøren.
Enhet som kjører på et Windows-operativsystem –
- LDAP-signering er tilgjengelig for bruk av alle programmer på alle støttede versjoner av Windows. Kontroller at programmet eller tjenesten bruker LDAP-signering.
- LDAP-kanalbinding krever at alle Windows-enheter har CVE-2017-8563 installert. Kontroller at programmet eller tjenesten bruker LDAP-kanalbinding.

Bruk lokale, eksterne, generiske eller enhetsspesifikke sporingsverktøy. Disse inkluderer nettverksregistreringer, prosessbehandling eller feilsøkingssporinger. Avgjør om kjerneoperativsystemet, en tjeneste eller et program utfører usignerte LDAP-bindinger eller ikke bruker CBT.

Bruk Windows Oppgavebehandling eller tilsvarende til å tilordne prosess-ID-en til prosess-, tjeneste- og programnavn.

Planlegge sikkerhetsoppdatering

Oppdateringen fra 10. mars 2020 la til kontroller for administratorer for å styrke konfigurasjonene for LDAP-kanalbinding og LDAP-signering på Active Directory-domenekontrollere. Oppdateringene for 8. og 10. oktober 2023 legger til alternativer for administratorer for overvåking av klientmaskiner som ikke kan bruke bindingstokener for LDAP-kanalen. Vi anbefaler på det sterkeste at kundene utfører de anbefalte handlingene i denne artikkelen så snart som mulig.

Måldato	Hendelse	Gjelder for
10. mars 2020 kl.	Obligatorisk: Sikkerhetsoppdatering tilgjengelig på Windows Update for alle støttede Windows-plattformer. Obs! For Windows-plattformer som ikke har standard støtte, vil denne sikkerhetsoppdateringen bare være tilgjengelig gjennom gjeldende utvidede støtteprogrammer. Støtte for LDAP-kanalbinding ble lagt til av CVE-2017-8563 på Windows Server 2008 og nyere versjoner. Kanalbindingstokener støttes i Windows 10, versjon 1709 og nyere versjoner. Windows XP støtter ikke LDAP-kanalbinding og vil mislykkes når LDAP-kanalbinding er konfigurert ved hjelp av verdien Always, men vil interoperate med DCer som er konfigurert til å bruke mer avslappet LDAP-kanalbindingsinnstilling for Når det støttes.	Windows Server 2022 Windows 10, versjon 20H2 Windows 10, versjon 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (utvidet sikkerhetsoppdatering (ESU))
8. august 2023 kl.	Legger til overvåkingshendelser for LDAP-kanalbindingstoken (3074 & 3075). De er deaktivert som standard på Windows Server 2022.	Windows Server 2022
10. oktober 2023	Legger til overvåkingshendelser for LDAP-kanalbindingstoken (3074 & 3075). De er deaktivert som standard på Windows Server 2019.	Windows Server 2019
14. november 2023 kl.	Overvåkingshendelser for LDAP-kanalbindingstoken er tilgjengelige på Windows Server 2022 uten å installere en aktivering av MSI (som beskrevet i trinn 3 av anbefalte handlinger).	Windows Server 2022
9. januar 2024	Overvåkingshendelser for LDAP-kanalbindingstoken er tilgjengelige på Windows Server 2019 uten å installere en aktivering av MSI (som beskrevet i trinn 3 av anbefalte handlinger).	Windows Server 2019

Vanlige spørsmål

Hvis du vil ha svar på vanlige spørsmål om LDAP-kanalbinding og LDAP-signering på Active Directory-domenekontrollere, kan du se: