Bijgewerkt 01-09-2024
Bekijk nieuwe inhoud in updates van 9 januari 2024.
Inleiding
LDAP-kanaalbinding en LDAP-ondertekening bieden manieren om de beveiliging voor communicatie tussen LDAP-clients en Active Directory-domeincontrollers te verbeteren. Er bestaat een set onveilige standaardconfiguraties voor LDAP-kanaalbinding en LDAP-ondertekening op Active Directory-domeincontrollers waarmee LDAP-clients met hen kunnen communiceren zonder ldap-kanaalbinding en LDAP-ondertekening af te dwingen. Hierdoor kunnen Active Directory-domeincontrollers worden geopend met een beveiligingsprobleem met betrekking tot uitbreiding van bevoegdheden.
Door dit beveiligingsprobleem kan een man-in-the-middle-aanvaller een verificatieaanvraag doorsturen naar een Microsoft-domeinserver die niet is geconfigureerd om kanaalbinding, ondertekening of verzegeling te vereisen bij binnenkomende verbindingen.
Microsoft raadt beheerders aan om de beveiligingswijzigingen aan te brengen die worden beschreven in ADV190023.
Op 10 maart 2020 pakken we dit beveiligingsprobleem aan door beheerders de volgende opties te bieden om de configuraties voor LDAP-kanaalbinding op Active Directory-domeincontrollers te beveiligen:
-
Domeincontroller: vereisten voor bindingstokens voor LDAP-serverkanaal groepsbeleid.
-
Ondertekeningsgebeurtenissen 3039, 3040 en 3041 met gebeurtenisverzender Microsoft-Windows-Active Directory_DomainService in het gebeurtenislogboek van de Directory-service.
Belangrijk: De updates van 10 maart 2020 en updates in de nabije toekomst zullen geen wijzigingen aanbrengen in standaardbeleid voor LDAP-ondertekening of LDAP-kanaalbinding of hun registerequivalent op nieuwe of bestaande Active Directory-domeincontrollers.
Het beleid VOOR LDAP-ondertekeningsdomeincontroller: vereisten voor ondertekening van LDAP-server bestaat al in alle ondersteunde versies van Windows. Vanaf Windows Server 2022, 23H2 Edition bevatten alle nieuwe versies van Windows alle wijzigingen in dit artikel.
Waarom deze wijziging nodig is
De beveiliging van Active Directory-domeincontrollers kan aanzienlijk worden verbeterd door de server zo te configureren dat LDAP-bindingen van Simple Authentication and Security Layer (SASL) worden geweigerd die geen ondertekening aanvragen (integriteitsverificatie) of om eenvoudige LDAP-bindingen te weigeren die worden uitgevoerd op een niet-SSL/TLS-versleutelde verbinding. SASL´s kunnen protocollen zoals de Negotiate, Kerberos, NTLM en Digest-protocollen bevatten.
Niet-ondertekend netwerkverkeer is vatbaar voor replay-aanvallen waarbij een indringer de verificatiepoging en de uitgifte van een ticket onderschept. De indringer kan het ticket hergebruiken om de legitieme gebruiker te imiteren. Bovendien is niet-ondertekend netwerkverkeer vatbaar voor MiTM-aanvallen (man-in-the-middle) waarbij een indringer pakketten tussen de client en de server vastlegt, de pakketten wijzigt en deze vervolgens doorstuurt naar de server. Als dit gebeurt op een Active Directory-domein Controller, kan een aanvaller ervoor zorgen dat een server beslissingen neemt die zijn gebaseerd op vervalste aanvragen van de LDAP-client. LDAPS maakt gebruik van een eigen unieke netwerkpoort om clients en servers te verbinden. De standaardpoort voor LDAP is poort 389, maar LDAPS gebruikt poort 636 en brengt SSL/TLS tot stand bij verbinding met een client.
Kanaalbindingstokens helpen LDAP-verificatie via SSL/TLS beter te beveiligen tegen man-in-the-middle-aanvallen.
Updates van 10 maart 2020
Belangrijk De updates van 10 maart 2020 wijzigen geen standaardbeleid voor LDAP-ondertekening of LDAP-kanaalbinding of het bijbehorende register op nieuwe of bestaande Active Directory-domeincontrollers.
Windows-updates die op 10 maart 2020 worden uitgebracht, voegen de volgende functies toe:
-
Nieuwe gebeurtenissen worden vastgelegd in de Logboeken die betrekking hebben op LDAP-kanaalbinding. Zie Tabel 1 en Tabel 2 voor meer informatie over deze gebeurtenissen.
-
Een nieuwe domeincontroller: vereisten voor ldap-serverkanaalbindingstokens groepsbeleid voor het configureren van LDAP-kanaalbinding op ondersteunde apparaten.
De toewijzing tussen instellingen voor LDAP-ondertekeningsbeleid en registerinstellingen is als volgt opgenomen:
-
Beleidsinstelling: "Domeincontroller: ondertekeningsvereisten voor LDAP-server"
-
Registerinstelling: LDAPServerIntegrity
-
Datatype: DWORD
-
Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
groepsbeleid-instelling |
Registerinstelling |
Geen |
1 |
Ondertekening vereisen |
2 |
De toewijzing tussen instellingen voor LDAP-kanaalbindingsbeleid en registerinstellingen is als volgt opgenomen:
-
Beleidsinstelling: "Domeincontroller: vereisten voor ldap-serverkanaalbindingstoken"
-
Registerinstelling: LdapEnforceChannelBinding
-
Datatype: DWORD
-
Registerpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
groepsbeleid-instelling |
Registerinstelling |
Nooit |
0 |
Indien ondersteund |
1 |
Altijd |
2 |
Tabel 1: LDAP-ondertekeningsevenementen
Beschrijving |
Trigger |
|
De beveiliging van deze domeincontrollers kan aanzienlijk worden verbeterd door de server te configureren om validatie van LDAP-ondertekening af te dwingen. |
Wordt elke 24 uur geactiveerd bij het opstarten of starten van de service als de groepsbeleid is ingesteld op Geen. Minimaal logboekregistratieniveau: 0 of hoger |
|
De beveiliging van deze domeincontrollers kan worden verbeterd door ze zo te configureren dat eenvoudige LDAP-bindingsaanvragen en andere bindingsaanvragen die geen LDAP-ondertekening bevatten, worden geweigerd. |
Elke 24 uur geactiveerd wanneer groepsbeleid is ingesteld op Geen en ten minste één niet-beveiligde binding is voltooid. Minimaal logboekregistratieniveau: 0 of hoger |
|
De beveiliging van deze domeincontrollers kan worden verbeterd door ze zo te configureren dat eenvoudige LDAP-bindingsaanvragen en andere bindingsaanvragen die geen LDAP-ondertekening bevatten, worden geweigerd. |
Wordt elke 24 uur geactiveerd wanneer groepsbeleid is ingesteld op Ondertekening vereisen en ten minste één niet-beveiligde binding is geweigerd. Minimaal logboekregistratieniveau: 0 of hoger |
|
De beveiliging van deze domeincontrollers kan worden verbeterd door ze zo te configureren dat eenvoudige LDAP-bindingsaanvragen en andere bindingsaanvragen die geen LDAP-ondertekening bevatten, worden geweigerd. |
Wordt geactiveerd wanneer een client geen ondertekening gebruikt voor bindingen in sessies op poort 389. Minimaal logboekregistratieniveau: 2 of hoger |
Tabel 2: CGT-gebeurtenissen
Gebeurtenis |
Beschrijving |
Trigger |
3039 |
De volgende client heeft een LDAP-binding via SSL/TLS uitgevoerd en heeft de validatie van de bindingstoken van het LDAP-kanaal mislukt. |
Geactiveerd in een van de volgende omstandigheden:
Minimaal logboekregistratieniveau: 2 |
3040 |
Tijdens de vorige periode van 24 uur zijn er een aantal niet-beveiligde LDAPs-bindingen uitgevoerd. |
Elke 24 uur geactiveerd wanneer CBT-groepsbeleid is ingesteld op Nooit en ten minste één niet-beveiligde binding is voltooid. Minimumniveau voor logboekregistratie: 0 |
3041 |
De beveiliging van deze adreslijstserver kan aanzienlijk worden verbeterd door de server te configureren om validatie van LDAP-kanaalbindingstokens af te dwingen. |
Wordt elke 24 uur geactiveerd bij het opstarten of starten van de service als de CGT-groepsbeleid is ingesteld op Nooit. Minimumniveau voor logboekregistratie: 0 |
Als u het logboekregistratieniveau in het register wilt instellen, gebruikt u een opdracht die er ongeveer als volgt uitziet:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Zie Logboekregistratie van diagnostische active directory- en LDS-gebeurtenissen configureren voor meer informatie over het configureren van logboekregistratie van diagnostische active directory-gebeurtenissen.
Updates van 8 augustus 2023
Sommige clientcomputers kunnen geen LDAP-kanaalbindingstokens gebruiken om verbinding te maken met Active Directory-domeincontrollers (DC's). Microsoft brengt op 8 augustus 2023 een beveiligingsupdate uit. Voor Windows Server 2022 voegt deze update opties toe voor beheerders om deze clients te controleren. U kunt CBT-gebeurtenissen 3074 en 3075 inschakelen met de gebeurtenisbron **Microsoft-Windows-ActiveDirectory_DomainService** in het gebeurtenislogboek van de Directory Service.
Belangrijk De update van 8 augustus 2023 wijzigt geen LDAP-ondertekening, standaardbeleid voor LDAP-kanaalbinding of hun registerequivalent op nieuwe of bestaande Active Directory-DC's.
Alle richtlijnen in de sectie updates van maart 2020 zijn hier ook van toepassing. Voor de nieuwe controle-gebeurtenissen zijn de beleids- en registerinstellingen vereist die in de bovenstaande richtlijnen worden beschreven. Er is ook een activeringsstap om de nieuwe controlegebeurtenissen te bekijken. De nieuwe implementatiedetails vindt u in de sectie Aanbevolen acties hieronder.
Tabel 3: CGT-gebeurtenissen
Gebeurtenis |
Beschrijving |
Trigger |
3074 |
De volgende client heeft een LDAP-binding via SSL/TLS uitgevoerd en de validatie van het kanaalbindingstoken is mislukt als de adreslijstserver is geconfigureerd om de validatie van kanaalbindingstokens af te dwingen. |
Geactiveerd in een van de volgende omstandigheden:
Minimaal logboekregistratieniveau: 2 |
3075 |
De volgende client heeft een LDAP-binding via SSL/TLS uitgevoerd en heeft geen kanaalbindingsgegevens opgegeven. Wanneer deze adreslijstserver is geconfigureerd voor het afdwingen van validatie van kanaalbindingstokens, wordt deze bindingsbewerking geweigerd. |
Geactiveerd in een van de volgende omstandigheden:
Minimaal logboekregistratieniveau: 2 |
Opmerking Wanneer u het logboekregistratieniveau instelt op ten minste 2, wordt gebeurtenis-id 3074 geregistreerd. Beheerders kunnen dit gebruiken om hun omgeving te controleren voor clients die niet werken met kanaalbindingstokens. De gebeurtenissen bevatten de volgende diagnostische informatie om de clients te identificeren:
Client IP address: 192.168.10.5:62709 Identiteit die de client heeft geprobeerd te verifiëren als: CONTOSO\Administrator Client ondersteunt kanaalbinding:FALSE Client toegestaan in wanneer ondersteunde modus:TRUE Controleresultaatvlagken:0x42
Updates van 10 oktober 2023
De controlewijzigingen die in augustus 2023 zijn toegevoegd, zijn nu beschikbaar op Windows Server 2019. Voor dat besturingssysteem voegt deze update opties toe voor beheerders om deze clients te controleren. U kunt CBT-gebeurtenissen 3074 en 3075 inschakelen. Gebruik de gebeurtenisbron **Microsoft-Windows-ActiveDirectory_DomainService** in het gebeurtenislogboek van directoryservice.
Belangrijk De update van 10 oktober 2023 wijzigt geen LDAP-ondertekening, standaardbeleid voor LDAP-kanaalbinding of hun registerequivalent op nieuwe of bestaande Active Directory-DC's.
Alle richtlijnen in de sectie updates van maart 2020 zijn hier ook van toepassing. Voor de nieuwe controle-gebeurtenissen zijn de beleids- en registerinstellingen vereist die in de bovenstaande richtlijnen worden beschreven. Er is ook een activeringsstap om de nieuwe controlegebeurtenissen te bekijken. De nieuwe implementatiedetails vindt u in de sectie Aanbevolen acties hieronder.
Updates van 14 november 2023
De controlewijzigingen die in augustus 2023 zijn toegevoegd, zijn nu beschikbaar op Windows Server 2022. U hoeft geen MSA's te installeren of beleidsregels te maken zoals vermeld in stap 3 van aanbevolen acties.
Updates van 9 januari 2024
De controlewijzigingen die in oktober 2023 zijn toegevoegd, zijn nu beschikbaar in Windows Server 2019. U hoeft geen MSA's te installeren of beleidsregels te maken zoals vermeld in stap 3 van aanbevolen acties.
Aanbevolen acties
We raden klanten ten zeerste aan om de volgende stappen zo snel mogelijk uit te voeren:
-
Zorg ervoor dat de Windows-updates van 10 maart 2020 of hoger zijn geïnstalleerd op domeincontrollers (DC)-rolcomputers. Als u controlegebeurtenissen voor LDAP-kanaalbinding wilt inschakelen, moet u ervoor zorgen dat de updates van 8 augustus 2023 of latere updates zijn geïnstalleerd op Windows Server 2022- of Server 2019-dc's.
-
Schakel diagnostische logboekregistratie van LDAP-gebeurtenissen in op 2 of hoger.
-
Schakel de updates van de controle-gebeurtenis van augustus 2023 of oktober 2023 in met behulp van groepsbeleid. U kunt deze stap overslaan als u de updates van november 2023 of hoger op Windows Server 2022 hebt geïnstalleerd. Als u de updates van januari 2024 of hoger op Windows Server 2019 hebt geïnstalleerd, kunt u deze stap ook overslaan.
-
Download de twee activerings-MSA's per versie van het besturingssysteem in het Microsoft Downloadcentrum:
-
Vouw de MURI's uit om de nieuwe ADMX-bestanden te installeren die de beleidsdefinities bevatten. Als u Central Store gebruikt voor groepsbeleid, kopieert u de ADMX-bestanden naar de centrale opslag.
-
Pas het bijbehorende beleid toe op de OE van uw domeincontrollers of op een subset van uw Server 2022- of Server 2019-DC's.
-
Start de domeincontroller opnieuw op om de wijzigingen van kracht te laten worden.
-
-
Bewaak het gebeurtenislogboek van Directory services op alle DC-rolcomputers die zijn gefilterd op:
-
Fout-gebeurtenis 2889 voor LDAP-ondertekening in tabel 1.
-
Fout gebeurtenis 3039 ldap-kanaalbinding in tabel 2.
-
Controlegebeurtenissen 3074 en 3075 van LDAP-kanaalbinding in tabel 3.
Opmerking Gebeurtenissen 3039, 3074 en 3075 kunnen alleen worden gegenereerd wanneer Kanaalbinding is ingesteld op Wanneer ondersteund of Altijd.
-
-
Identificeer het merk, het model en het type apparaat voor elk IP-adres dat wordt genoemd door:
-
Gebeurtenis 2889 voor het maken van niet-ondertekende LDAP-aanroepen
-
Gebeurtenis 3039 voor het niet gebruiken van LDAP-kanaalbinding
-
Gebeurtenis 3074 of 3075 voor het niet kunnen gebruiken van LDAP-kanaalbinding
-
Apparaattypen
Groepeer apparaattypen in 1 van 3 categorieën:
-
Apparaat of router -
-
Neem contact op met de apparaatprovider.
-
-
Apparaat dat niet wordt uitgevoerd op een Windows-besturingssysteem -
-
Controleer of zowel LDAP-kanaalbinding als LDAP-ondertekening worden ondersteund in het besturingssysteem en de toepassing. Doe dit door samen te werken met het besturingssysteem en de toepassingsprovider.
-
-
Apparaat dat wel wordt uitgevoerd op een Windows-besturingssysteem -
-
LDAP-ondertekening is beschikbaar voor gebruik door alle toepassingen in alle ondersteunde versies van Windows. Controleer of uw toepassing of service gebruikmaakt van LDAP-ondertekening.
-
LDAP-kanaalbinding vereist dat op alle Windows-apparaten CVE-2017-8563 is geïnstalleerd. Controleer of uw toepassing of service gebruikmaakt van LDAP-kanaalbinding.
-
Gebruik lokale, externe, algemene of apparaatspecifieke traceringshulpprogramma's. Deze omvatten netwerkopnamen, procesbeheer of foutopsporingstraceringen. Bepaal of het kernbesturingssysteem, een service of een toepassing niet-ondertekende LDAP-bindingen uitvoert of geen CGT gebruikt.
Gebruik Windows Taakbeheer of een equivalent om de proces-id toe te wijzen aan proces-, service- en toepassingsnamen.
Beveiligingsupdate planning
De update van 10 maart 2020 heeft besturingselementen toegevoegd voor beheerders om de configuraties voor LDAP-kanaalbinding en LDAP-ondertekening op Active Directory-domeincontrollers te beveiligen. De updates van 8 augustus en 10 oktober 2023 voegen opties toe voor beheerders om clientcomputers te controleren die geen LDAP-kanaalbindingstokens kunnen gebruiken. We raden klanten ten zeerste aan om de in dit artikel aanbevolen acties zo snel mogelijk uit te voeren.
Streefdatum |
Gebeurtenis |
Van toepassing op |
dinsdag 10 maart 2020 |
Vereist: beveiligingsupdate beschikbaar op Windows Update voor alle ondersteunde Windows-platforms. Opmerking Voor Windows-platforms die geen standaardondersteuning hebben, is deze beveiligingsupdate alleen beschikbaar via de toepasselijke uitgebreide ondersteuningsprogramma's. Ondersteuning voor LDAP-kanaalbinding is toegevoegd door CVE-2017-8563 in Windows Server 2008 en latere versies. Kanaalbindingstokens worden ondersteund in Windows 10, versie 1709 en latere versies. Windows XP biedt geen ondersteuning voor LDAP-kanaalbinding en mislukt wanneer de LDAP-kanaalbinding is geconfigureerd met de waarde Always, maar zou samenwerken met DC's die zijn geconfigureerd voor het gebruik van een meer ontspannen LDAP-kanaalbindingsinstelling van Wanneer ondersteund. |
Windows Server 2022 Windows 10 versie 20H2 Windows 10, versie 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Uitgebreide beveiligingsupdate (ESU)) |
dinsdag 8 augustus 2023 |
Voegt controle-gebeurtenissen voor LDAP-kanaalbindingstokens toe (3074 & 3075). Ze zijn standaard uitgeschakeld op Windows Server 2022. |
Windows Server 2022 |
10 oktober 2023 |
Voegt controle-gebeurtenissen voor LDAP-kanaalbindingstokens toe (3074 & 3075). Ze zijn standaard uitgeschakeld op Windows Server 2019. |
Windows Server 2019 |
dinsdag 14 november 2023 |
Controlegebeurtenissen voor LDAP-kanaalbindingstokens zijn beschikbaar op Windows Server 2022 zonder een MSI-activering te installeren (zoals beschreven in stap 3 van aanbevolen acties). |
Windows Server 2022 |
9 januari 2024 |
Controlegebeurtenissen voor LDAP-kanaalbindingstokens zijn beschikbaar op Windows Server 2019 zonder installatie van een MSI-activering (zoals beschreven in stap 3 van aanbevolen acties). |
Windows Server 2019 |
Veelgestelde vragen
Zie voor antwoorden op veelgestelde vragen over LDAP-kanaalbinding en LDAP-ondertekening op Active Directory-domeincontrollers: