2020 LDAP-kanaalbinding en LDAP-ondertekeningsvereiste voor Windows

Van toepassing: Windows 10, version 1909Windows 10, version 1903Windows 10, version 1809

Samenvatting


LDAP-kanaalbinding en LDAP-ondertekening bieden manieren om de beveiliging van netwerkcommunicatie tussen een Active Directory Domain Services (AD DS) of een Active Directory Lightweight Directory Services (AD LDS) en zijn cliënten te vergroten. Er is een kwetsbare plek in de standaardconfiguratie voor Lightweight Directory Access Protocol (LDAP)-kanaal binding en LDAP-ondertekening en deze kan Active Directory-domeincontrollers aan misbruik van bevoegdheden kwetsbaarheden blootstellen. Microsoft Beveiligingsadvies ADV190023 pakt het probleem aan door de beheerders aan te bevelen om LDAP-kanaalbinding en LDAP-ondertekening op Active Directory Domain Controllers in te schakelen. Deze beveiliging moet handmatig worden uitgevoerd tot de release van de beveiligingsupdate waarmee deze instellingen standaard worden ingeschakeld. 

Microsoft wil een beveiligingsupdate vrijgeven voor Windows Update om wijzigingen voor LDAP-kanaalbinding en LDAP-ondertekening in te schakelen en verwacht dat deze update in maart 2020 beschikbaar zal zijn.

Waarom deze wijziging nodig is


Microsoft raadt beheerders aan de beveiligingswijzigingen te maken die worden beschreven in ADV190023 omdat bij het gebruik van standaardinstellingen een beveiligingslek met betrekking tot misbruik van bevoegdheden bestaat in Microsoft Windows waardoor een man-in-the-middle-aanvaller een verificatieaanvraag kan doorsturen naar een Windows LDAP-server, zoals een systeem waarop AD DS of ad LDS wordt uitgevoerd, die niet is geconfigureerd voor het ondertekenen of verzegelen van binnenkomende verbindingen. De beveiliging van een adreslijstserver kan aanzienlijk worden verbeterd door de server te configureren voor het afwijzen van Simple Authentication and Security Layer (SASL) LDAP-bindingen die geen ondertekening (integriteitsverificatie) aanvragen of om eenvoudige binding van LDAP te weigeren die worden uitgevoerd op een duidelijke tekst (niet-SSL/TLS-versleutelde) verbinding. SASL´s kunnen protocollen zoals de Negotiate, Kerberos, NTLM en Digest-protocollen bevatten. Niet-ondertekend netwerkverkeer is vatbaar voor replay-aanvallen waarbij een indringer de verificatiepoging en de uitgifte van een ticket onderschept. De indringer kan het ticket hergebruiken om de legitieme gebruiker te imiteren. Bovendien is niet-ondertekend netwerkverkeer vatbaar voor man-in-the-middle-aanvallen waarbij een indringer pakketten vastlegt tussen de client en de server, de pakketten wijzigt en deze vervolgens doorstuurt naar de server. Als dit gebeurt op een LDAP-server, kan een aanvaller een server ertoe brengen beslissingen te nemen die zijn gebaseerd op vervalste aanvragen van de LDAP-client.

Aanbevolen acties


We raden beheerders ten zeerste aan LDAP-kanaalbinding en LDAP-ondertekening tussen nu en in maart 2020 in te schakelen om besturingssystemen, toepassingen of tussenliggende apparaat-compatibiliteitsproblemen in hun omgeving te vinden en op te lossen. Als er een compatibiliteitsprobleem is gevonden, moeten beheerders contact opnemen met de fabrikant van dat specifieke besturingssysteem, toepassing of apparaat voor ondersteuning.

Belangrijk Elke versie van het besturingssysteem, toepassing en tussenliggende apparaat dat een man-in-the-middle-inspectie van LDAP-verkeer uitvoert, heeft de grootste kans om te worden beïnvloed door deze hardingswijziging.

Beveiligingsupdate planning


Microsoft is gericht op het volgende schema om LDAP-kanaalbinding en ondersteuning voor LDAP-ondertekening in te schakelen. Houd er rekening mee dat de onderstaande tijdlijn onderhevig is aan wijzigingen. We zullen deze pagina updaten wanneer het proces begint, en indien nodig.

Streefdatum

Gebeurtenis

Is van toepassing op

13 augustus 2019

Actie ondernemen: Microsoft beveiligingsadvies ADV190023 gepubliceerd om LDAP-kanaalbinding en ondersteuning voor LDAP-ondertekening te introduceren. Beheerders moeten deze instellingen in hun omgeving testen nadat ze handmatig zijn aangepast op hun servers.

Windows Server 2008 SP2
Windows 7 SP1,

Windows Server 2008 R2 SP1, 
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909

Maart 2020

Vereist: Beveiligingsupdate beschikbaar op Windows Update voor alle ondersteunde Windows-platforms die LDAP-kanaalbinding en LDAP-ondertekening op Active Directory servers standaard inschakelen.

Opmerking Voor Windows-platforms die geen standaardondersteuning meer bieden, is deze beveiligingsupdate alleen beschikbaar via de toepasselijke programma's voor uitgebreide ondersteuning.

Windows Server 2008 SP2 (Extended Security Update (ESU)) ,
Windows 7 SP1 (ESU),

Windows Server 2008 R2 SP1 (ESU),
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909