2020, 2023 i 2024 LDAP powiązanie kanału i podpisywania LDAP wymagania dotyczące systemu Windows (KB4520412)

Wprowadzenie

Powiązanie kanału LDAP i podpisywanie LDAP zapewniają sposoby zwiększenia bezpieczeństwa komunikacji między klientami LDAP a kontrolerami domeny usługi Active Directory. Zestaw niebezpiecznych konfiguracji domyślnych dla powiązania kanału LDAP i podpisywania LDAP istnieje na kontrolerach domeny usługi Active Directory, które umożliwiają klientom LDAP komunikowanie się z nimi bez wymuszania powiązania kanału LDAP i podpisywania LDAP. Może to otworzyć kontrolery domeny usługi Active Directory w celu podwyższenia luki w zabezpieczeniach uprawnień.

Ta luka może umożliwić osobie atakującej w środku pomyślne przesyłanie dalej żądania uwierzytelniania na serwer domeny firmy Microsoft, który nie został skonfigurowany tak, aby wymagać powiązania kanału, podpisywania lub uszczelniania połączeń przychodzących.

Firma Microsoft zaleca administratorom wprowadzanie zmian zaostrzania opisanych w ADV190023.

10 marca 2020 r. usuwamy tę lukę, udostępniając administratorom następujące opcje w celu zaostrzenia konfiguracji dla powiązania kanału LDAP na kontrolerach domeny usługi Active Directory:

Kontroler domeny: wymagania dotyczące tokenu powiązania kanału serwera LDAP Zasady grupy.
Zdarzenia podpisywania cbt (Channel Binding Tokens) 3039, 3040 i 3041 z nadawcą zdarzeń Microsoft-Windows-Active Directory_DomainService w dzienniku zdarzeń usługi katalogowej.

Ważne: Aktualizacje i aktualizacje z 10 marca 2020 r. w najbliższej przyszłości nie zmienią zasad domyślnych wiążących kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach domeny usługi Active Directory.

Zasady wymagań dotyczących podpisywania serwerów LDAP: Wymagania dotyczące podpisywania serwerów LDAP już istnieją we wszystkich obsługiwanych wersjach systemu Windows. Począwszy od systemu Windows Server 2022 w wersji 23H2 wszystkie nowe wersje systemu Windows będą zawierać wszystkie zmiany opisane w tym artykule.

Dlaczego ta zmiana jest potrzebna

Bezpieczeństwo kontrolerów domeny usługi Active Directory można znacznie zwiększyć, konfigurując serwer w taki sposób, aby odrzucał powiązania LDAP warstwy prostego uwierzytelniania i zabezpieczeń (SASL), które nie żądają podpisywania (weryfikacji integralności) ani nie odrzucają prostych powiązyń LDAP wykonywanych na czystym tekście (niezaszyfrowanym przez protokół SSL/TLS). Mechanizmy SASL mogą zawierać protokoły, takie jak Negotiate, Kerberos, NTLM czy Digest.

Niepodpisany ruch sieciowy jest podatny na powtórne ataki, w których intruz przechwytuje próbę uwierzytelnienia i wystawienie biletu. Intruz może ponownie wykorzystać bilet do podszycia się pod uprawnionego użytkownika. Ponadto niepodpisany ruch sieciowy jest podatny na ataki man-in-the-middle (MiTM), w których intruz przechwytuje pakiety między klientem a serwerem, zmienia pakiety, a następnie przesyła je dalej na serwer. Jeśli dzieje się tak na kontrolerze domena usługi Active Directory, osoba atakująca może spowodować, że serwer będzie podejmował decyzje oparte na sfałszowanych żądaniach klienta LDAP. LDAPS używa własnego, odrębnego portu sieciowego do łączenia klientów i serwerów. Domyślnym portem LDAP jest port 389, ale LDAPS używa portu 636 i ustanawia protokół SSL/TLS podczas nawiązywania połączenia z klientem.

Tokeny powiązania kanału pomagają w zabezpieczeniu uwierzytelniania LDAP za pośrednictwem protokołu SSL/TLS przed atakami typu "man-in-the-middle".

Aktualizacje z 10 marca 2020 r.

Ważne Aktualizacje z 10 marca 2020 r. nie zmieniają domyślnych zasad wiążących kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach domeny usługi Active Directory.

Aktualizacje systemu Windows, które zostaną wydane 10 marca 2020 r., dodają następujące funkcje:

Nowe zdarzenia są rejestrowane w Podgląd zdarzeń związane z powiązaniem kanału LDAP. Aby uzyskać szczegółowe informacje o tych zdarzeniach, zobacz Tabela 1 i Tabela 2 .
Nowy kontroler domeny: wymagania dotyczące tokenu powiązania kanału serwera LDAP zasady grupy skonfigurować powiązanie kanału LDAP na obsługiwanych urządzeniach.

Mapowanie między ustawieniami zasad podpisywania LDAP i ustawieniami rejestru jest uwzględniane w następujący sposób:

Ustawienie zasad: "Domain controller: LDAP server signing requirements"
Ustawienie rejestru: LDAPServerIntegrity
Datatype: DWORD
Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ustawienie zasady grupy	Ustawienie rejestru
Nic	1
Wymaganie podpisania	2

Mapowanie między ustawieniami zasad wiążących kanału LDAP i ustawieniami rejestru są uwzględniane w następujący sposób:

Ustawienie zasad: "Domain controller: LDAP server channel binding token requirements"
Ustawienie rejestru: LdapEnforceChannelBinding
Datatype: DWORD
Ścieżka rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

ustawienie zasady grupy	Ustawienie rejestru
Nigdy	0
Jeśli jest obsługiwana	1
Zawsze	2

Tabela 1: Zdarzenia podpisywania LDAP

	Opis	Wyzwalacz
2886	Bezpieczeństwo tych kontrolerów domeny można znacznie poprawić, konfigurując serwer do wymuszania sprawdzania poprawności podpisywania LDAP.	Wyzwalane co 24 godziny podczas uruchamiania lub uruchamiania usługi, jeśli dla zasady grupy jest ustawiona wartość Brak. Minimalny poziom rejestrowania: 0 lub nowszy
2887	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane co 24 godziny, gdy zasady grupy ma wartość Brak i ukończono co najmniej jedno niechronione powiązanie. Minimalny poziom rejestrowania: 0 lub nowszy
2888	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane co 24 godziny, gdy zasady grupy ma ustawioną wartość Wymagaj podpisywania, a co najmniej jedno niechronione powiązanie zostało odrzucone. Minimalny poziom rejestrowania: 0 lub nowszy
2889	Bezpieczeństwo tych kontrolerów domeny można poprawić, konfigurując je tak, aby odrzucały proste żądania powiązania LDAP i inne żądania powiązania, które nie zawierają podpisywania LDAP.	Wyzwalane, gdy klient nie używa podpisywania dla powiązywania na sesjach na porcie 389. Minimalny poziom rejestrowania: 2 lub nowszy

Tabela 2: Zdarzenia CBT

Zdarzenie	Opis	Wyzwalacz
3039	Następujący klient wykonał powiązanie LDAP przez protokół SSL/TLS i nie powiodło się sprawdzanie poprawności tokenu powiązania kanału LDAP.	Wyzwalane w następujących okolicznościach: Gdy klient próbuje powiązać z nieprawidłowo sformatowanym tokenem powiązania kanału (CBT), jeśli zasady grupy CBT jest ustawiona na Wartość Gdy jest obsługiwana lub Zawsze. Jeśli klient, który może powiązanie kanału nie wysyła CBT, jeśli zasady grupy CBT jest ustawiona na When Supported. Klient może wiązać kanał, jeśli funkcja EPA jest zainstalowana lub dostępna w systemie operacyjnym i nie jest wyłączona za pośrednictwem ustawienia rejestru SuppressExtendedProtection. Aby dowiedzieć się więcej, zobacz KB5021989. Jeśli klient nie wysyła cbt, jeśli zasady grupy CBT jest ustawiona na Zawsze. Minimalny poziom rejestrowania: 2
3040	W ciągu ostatnich 24 godzin wykonano # niechronionych powiązań LDAPs.	Wyzwalane co 24 godziny, gdy zasady grupy CBT ma ustawioną wartość Nigdy i ukończono co najmniej jedną niechronioną oprawę. Minimalny poziom rejestrowania: 0
3041	Bezpieczeństwo tego serwera katalogów można znacznie zwiększyć, konfigurując serwer do wymuszania sprawdzania poprawności tokenów powiązania kanału LDAP.	Wyzwalane co 24 godziny, podczas uruchamiania lub uruchamiania usługi, jeśli zasady grupy CBT jest ustawione na Nigdy. Minimalny poziom rejestrowania: 0

Aby ustawić poziom rejestrowania w rejestrze, użyj polecenia przypominającego następujące polecenie:

Reg Dodaj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 zdarzeń interfejsu LDAP" /t REG_DWORD /d 2

Aby uzyskać więcej informacji na temat konfigurowania rejestrowania zdarzeń diagnostycznych usługi Active Directory, zobacz Jak skonfigurować rejestrowanie zdarzeń diagnostycznych usługi Active Directory i usługi LDS.

Aktualizacje z 8 sierpnia 2023 r.

Niektóre komputery klienckie nie mogą używać tokenów powiązania kanału LDAP do powiązania z kontrolerami domeny (DCs) usługi Active Directory. Firma Microsoft wyda aktualizację zabezpieczeń 8 sierpnia 2023 r. W przypadku systemu Windows Server 2022 ta aktualizacja dodaje opcje inspekcji tych klientów przez administratorów. Zdarzenia CBT 3074 i 3075 można włączyć ze źródłem zdarzeń **Microsoft-Windows-ActiveDirectory_DomainService** w dzienniku zdarzeń usługi katalogowej.

Ważne Aktualizacja z 8 sierpnia 2023 r. nie zmienia podpisywania LDAP, wiążących zasad domyślnych kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach DOMENY usługi Active Directory.

Wszystkie wskazówki zawarte w sekcji aktualizacji z marca 2020 r. mają zastosowanie również tutaj. Nowe zdarzenia inspekcji będą wymagały ustawień zasad i rejestru opisanych w powyższych wytycznych. Istnieje również krok umożliwiający wyświetlenie nowych zdarzeń inspekcji. Szczegóły nowej implementacji znajdują się w sekcji Zalecane akcje poniżej.

Tabela 3: Zdarzenia CBT

Zdarzenie

Opis

Wyzwalacz

3074

Poniższy klient wykonał powiązanie LDAP za pośrednictwem protokołu SSL/TLS i nie mógł zweryfikować tokenu powiązania kanału, jeśli serwer katalogów został skonfigurowany do wymuszania sprawdzania poprawności tokenów powiązania kanału.

Wyzwalane w następujących okolicznościach:

Gdy klient próbuje powiązać z nieprawidłowo sformatowanym tokenem powiązania kanału (CBT)

Minimalny poziom rejestrowania: 2

3075

Poniższy klient wykonał powiązanie LDAP przez protokół SSL/TLS i nie dostarczył informacji o powiązaniu kanału. Gdy ten serwer katalogów jest skonfigurowany do wymuszania sprawdzania poprawności tokenów powiązania kanału, ta operacja powiązania zostanie odrzucona.

Wyzwalane w następujących okolicznościach:

Gdy klient, który jest zdolny do powiązania kanału nie wysyła CBT
Klient może wiązać kanał, jeśli funkcja EPA jest zainstalowana lub dostępna w systemie operacyjnym i nie jest wyłączona za pośrednictwem ustawienia rejestru SuppressExtendedProtection. Aby dowiedzieć się więcej, zobacz KB5021989.

Minimalny poziom rejestrowania: 2

Uwaga Po ustawieniu poziomu rejestrowania na co najmniej 2 jest rejestrowany identyfikator zdarzenia 3074. Administratorzy mogą używać tej funkcji do inspekcji środowiska dla klientów, którzy nie współpracują z tokenami powiązania kanału. Zdarzenia będą zawierać następujące informacje diagnostyczne umożliwiające identyfikację klientów:

Client IP address: 192.168.10.5:62709
Tożsamość klienta, który próbował uwierzytelnić jako:
CONTOSO\Administrator
Klient obsługuje powiązanie kanału:FAŁSZ
Klient dozwolony w trybie obsługiwanym:PRAWDA
Flagi wyników inspekcji:0x42

Aktualizacje z 10 października 2023 r.

Zmiany inspekcji dodane w sierpniu 2023 r. są teraz dostępne w systemie Windows Server 2019. W tym systemie operacyjnym ta aktualizacja dodaje do administratorów opcje inspekcji tych klientów. Można włączyć zdarzenia CBT 3074 i 3075. W dzienniku zdarzeń usługi katalogowej użyj źródła **Microsoft-Windows-ActiveDirectory_DomainService**.

Ważne Aktualizacja z 10 października 2023 r. nie zmienia podpisywania LDAP, wiążących zasad domyślnych kanału LDAP ani ich odpowiedników w rejestrze na nowych lub istniejących kontrolerach DOMENY usługi Active Directory.

Wszystkie wskazówki zawarte w sekcji aktualizacji z marca 2020 r. mają zastosowanie również tutaj. Nowe zdarzenia inspekcji będą wymagały ustawień zasad i rejestru opisanych w powyższych wytycznych. Istnieje również krok umożliwiający wyświetlenie nowych zdarzeń inspekcji. Szczegóły nowej implementacji znajdują się w sekcji Zalecane akcje poniżej.

Aktualizacje z 14 listopada 2023 r.

Zmiany inspekcji dodane w sierpniu 2023 r. są teraz dostępne w systemie Windows Server 2022. Nie musisz instalować msi ani tworzyć zasad, jak wspomniano w kroku 3 polecanych akcji.

Aktualizacje z 9 stycznia 2024 r.

Zmiany w inspekcji dodane w październiku 2023 r. są teraz dostępne w systemie Windows Server 2019. Nie musisz instalować msi ani tworzyć zasad, jak wspomniano w kroku 3 polecanych akcji.

Proponowane działania

Zdecydowanie zalecamy klientom jak najszybsze podjęcie następujących czynności:

Upewnij się, że aktualizacje systemu Windows z 10 marca 2020 r. lub nowsze są zainstalowane na komputerach z rolami kontrolera domeny (DC). Jeśli chcesz włączyć zdarzenia inspekcji powiązanej kanału LDAP, upewnij się, że aktualizacje z 8 sierpnia 2023 r. lub nowsze są zainstalowane na komputerach z systemem Windows Server 2022 lub Server 2019.
Włącz rejestrowanie diagnostyczne zdarzeń LDAP na poziomie 2 lub nowszym.
Włącz aktualizacje zdarzeń inspekcji z sierpnia 2023 r. lub października 2023 r. przy użyciu zasady grupy. Możesz pominąć ten krok, jeśli zainstalowano aktualizacje z listopada 2023 r. lub nowsze w systemie Windows Server 2022. Jeśli masz zainstalowane aktualizacje ze stycznia 2024 r. lub nowsze w systemie Windows Server 2019, możesz również pominąć ten krok.
- Pobierz dwa msi włączania dla każdego systemu operacyjnego z Centrum pobierania Microsoft:
- Rozwiń msi, aby zainstalować nowe pliki ADMX zawierające definicje zasad. Jeśli używasz Sklepu Centralnego do zasady grupy, skopiuj pliki ADMX do Sklepu Centralnego.
- Stosuj odpowiednie zasady do swojej OU kontrolerów domeny lub do podzestawu kontrolerów domeny z serwerem Server 2022 lub Server 2019.
- Uruchom ponownie kontroler domeny, aby zmiany zostały wprowadzone.
Monitoruj dziennik zdarzeń usług katalogowych na wszystkich komputerach z rolami kontrolera domeny przefiltrowanych pod kątem:
- Zdarzenie błędu podpisywania LDAP 2889 w tabeli 1.
- Zdarzenie błędu powiązania kanału LDAP 3039 w tabeli 2.
- Zdarzenia inspekcji LDAP Channel Binding 3074 i 3075 w tabeli 3.
  
  Uwaga Zdarzenia 3039, 3074 i 3075 można generować tylko wtedy, gdy dla opcji Powiązanie kanału jest ustawiona wartość Gdy jest obsługiwana lub Zawsze.
Zidentyfikuj nazwę, model i typ urządzenia dla każdego adresu IP cytowanego przez:
- Zdarzenie 2889 dotyczące nawiązywania niepodpisawanych połączeń LDAP
- Zdarzenie 3039 dla nieużywania powiązania kanału LDAP
- Zdarzenie 3074 lub 3075 za brak możliwości powiązania kanału LDAP

Typy urządzeń

Grupowanie typów urządzeń w 1 z 3 kategorii:

Urządzenie lub router —
- Skontaktuj się z dostawcą urządzenia.
Urządzenie, które nie działa w systemie operacyjnym Windows —
- Sprawdź, czy zarówno powiązanie kanału LDAP, jak i podpisywanie LDAP są obsługiwane w systemie operacyjnym i aplikacji. W tym celu należy pracować z dostawcą systemu operacyjnego i aplikacji.
Urządzenie, które działa w systemie operacyjnym Windows —
- Podpisywania LDAP można używać we wszystkich aplikacjach we wszystkich obsługiwanych wersjach systemu Windows. Sprawdź, czy aplikacja lub usługa używa podpisywania LDAP.
- Powiązanie kanału LDAP wymaga, aby wszystkie urządzenia z systemem Windows miały zainstalowane cve-2017-8563 . Sprawdź, czy aplikacja lub usługa używa powiązania kanału LDAP.

Używaj lokalnych, zdalnych, ogólnych lub specyficznych dla urządzenia narzędzi do śledzenia. Należą do nich przechwytywanie sieci, menedżer procesów lub śledzenie debugowania. Określ, czy podstawowy system operacyjny, usługa lub aplikacja wykonuje niepodpisane powiązania LDAP, czy nie używa cbt.

Zamapuj identyfikator procesu na nazwy procesów, usług i aplikacji za pomocą Menedżera zadań systemu Windows lub jego odpowiednika.

Harmonogram aktualizacji zabezpieczeń

Aktualizacja z 10 marca 2020 r. dodała kontrolki dla administratorów w celu zaostrzenia konfiguracji powiązania kanału LDAP i podpisywania LDAP na kontrolerach domeny usługi Active Directory. Aktualizacje z 8 sierpnia i 10 października 2023 r. dodają opcje dla administratorów do inspekcji komputerów klienckich, na których nie można używać tokenów powiązania kanału LDAP. Zdecydowanie zalecamy klientom jak najszybsze podjęcie działań zalecanych w tym artykule.

Data docelowa	Zdarzenie	Dotyczy
10 marca 2020 r.	Wymagane: Aktualizacja zabezpieczeń jest dostępna na Windows Update na wszystkich obsługiwanych platformach Windows. Uwaga W przypadku platform z systemem Windows, na których nie jest dostępna standardowa pomoc techniczna, ta aktualizacja zabezpieczeń będzie dostępna tylko za pośrednictwem odpowiednich programów wsparcia dodatkowego. Obsługa powiązania kanału LDAP została dodana przez cve-2017-8563 w systemie Windows Server 2008 i nowszych wersjach. Tokeny powiązania kanału są obsługiwane w Windows 10 w wersji 1709 i nowszych. System Windows XP nie obsługuje powiązania kanału LDAP i kończy się niepowodzeniem, gdy powiązanie kanału LDAP jest skonfigurowane przy użyciu wartości Always, ale współdziałałoby z kontrolerami DOMENY skonfigurowanymi do używania bardziej zrelaksowanego ustawienia powiązania kanału LDAP , gdy jest obsługiwane.	Windows Server 2022 Windows 10, wersja 20H2 Windows 10, wersja 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 z dodatek SP1 (ESU) Windows Server 2008 SP2 (dodatkowa aktualizacja zabezpieczeń (ESU))
8 sierpnia 2023 r.	Dodaje zdarzenia inspekcji tokenu powiązania kanału LDAP (3074 & 3075). Są one domyślnie wyłączone w systemie Windows Server 2022.	Windows Server 2022
10 października 2023 r.	Dodaje zdarzenia inspekcji tokenu powiązania kanału LDAP (3074 & 3075). Są one domyślnie wyłączone w systemie Windows Server 2019.	Windows Server 2019
14 listopada 2023 r.	Zdarzenia inspekcji tokenu powiązania kanału LDAP są dostępne w systemie Windows Server 2022 bez instalowania msi włączania (zgodnie z opisem w kroku 3 zalecanych akcji).	Windows Server 2022
9 stycznia 2024 r.	Zdarzenia inspekcji tokenu powiązania kanału LDAP są dostępne w systemie Windows Server 2019 bez instalowania msi włączania (zgodnie z opisem w kroku 3 zalecanych akcji).	Windows Server 2019

Często zadawane pytania

Aby uzyskać odpowiedzi na często zadawane pytania dotyczące powiązania kanału LDAP i podpisywania LDAP na kontrolerach domeny Active Directory, zobacz: