2020, 2023 e 2024 Associação de canais LDAP e requisitos de assinatura LDAP para Windows (KB4520412)

Introdução

A associação de canal LDAP e a assinatura de LDAP fornecem maneiras de aumentar a segurança das comunicações entre clientes LDAP e controladores de domínio do Active Directory. Existe um conjunto de configurações padrão não seguras para associação de canal LDAP e assinatura LDAP em controladores de domínio do Active Directory que permitem que os clientes LDAP se comuniquem com eles sem impor a associação de canal LDAP e a assinatura LDAP. Isso pode abrir controladores de domínio do Active Directory para uma elevação da vulnerabilidade de privilégio.

Essa vulnerabilidade pode permitir que um invasor do meio encaminhe com êxito uma solicitação de autenticação para um servidor de domínio da Microsoft que não foi configurado para exigir associação de canal, assinatura ou vedação em conexões de entrada.

A Microsoft recomenda que os administradores façam as alterações de endurecimento descritas em ADV190023.

Em 10 de março de 2020, estamos resolvendo essa vulnerabilidade fornecendo as seguintes opções para os administradores endurecerem as configurações para associação de canais LDAP em controladores de domínio do Active Directory:

Controlador de domínio: requisitos de token de associação de canal de servidor LDAP Política de Grupo.
Eventos de assinatura de Tokens de Associação de Canal (CBT) 3039, 3040 e 3041 com o remetente de eventos Microsoft-Windows-Active Directory_DomainService no log de eventos do Serviço de Diretório.

Importante: as atualizações e atualizações de 10 de março de 2020 no futuro previsível não alterarão a assinatura LDAP ou as políticas padrão de associação de canal LDAP ou seu registro equivalente em controladores de domínio novos ou existentes do Active Directory.

A política de requisitos de assinatura do servidor LDAP: LDAP já existe em todas as versões com suporte do Windows. A partir do Windows Server 2022, 23H2 Edition, todas as novas versões do Windows conterão todas as alterações neste artigo.

Por que a alteração é necessária?

A segurança dos controladores de domínio do Active Directory pode ser significativamente aprimorada configurando o servidor para rejeitar associações LDAP (Simple Authentication and Security Layer) que não solicitam assinatura (verificação de integridade) ou para rejeitar associações simples LDAP executadas em uma conexão de texto clara (não criptografada por SSL/TLS). Os SASLs podem incluir protocolos como Negotiate, Kerberos, NTLM e Digest.

O tráfego de rede não assinado é suscetível a ataques de reprodução em que um intruso intercepta a tentativa de autenticação e a emissão de um tíquete. O intruso pode reutilizar o tíquete para usurpar a identidade do usuário legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques miTM (homem no meio) em que um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-os para o servidor. Se isso ocorrer em um controlador de Domínio do Active Directory, um invasor poderá fazer com que um servidor tome decisões baseadas em solicitações forjadas do cliente LDAP. O LDAPS usa sua própria porta de rede distinta para conectar clientes e servidores. A porta padrão para LDAP é a porta 389, mas o LDAPS usa a porta 636 e estabelece o SSL/TLS ao se conectar com um cliente.

Os tokens de associação de canal ajudam a tornar a autenticação LDAP em SSL/TLS mais segura contra ataques de homem no meio.

Atualizações de 10 de março de 2020

Importante As atualizações de 10 de março de 2020 não alteram as políticas padrão de associação de canal LDAP ou LDAP ou o equivalente do registro em controladores de domínio novos ou existentes do Active Directory.

As atualizações do Windows a serem lançadas em 10 de março de 2020 adicionam os seguintes recursos:

Novos eventos são registrados no Visualizador de Eventos relacionados à associação de canal LDAP. Consulte Tabela 1 e Tabela 2 para obter detalhes desses eventos.
Um novo controlador de domínio: requisitos de token de associação de canal de servidor LDAP Política de Grupo configurar a associação de canal LDAP em dispositivos com suporte.

O mapeamento entre as configurações da Política de Assinatura LDAP e as configurações do registro está incluído da seguinte maneira:

Configuração da política: "Controlador de domínio: requisitos de assinatura do servidor LDAP"
Configuração do Registro: LDAPServerIntegrity
Datatype: DWORD
Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Configuração de Política de Grupo	Configuração do Registro
Nenhum	1
Exigir Assinatura	2

O mapeamento entre as configurações da Política de Associação de Canal LDAP e as configurações do registro está incluído da seguinte maneira:

Configuração da política: "Controlador de domínio: requisitos de token de associação de canal de servidor LDAP"
Configuração do Registro: LdapEnforceChannelBinding
Datatype: DWORD
Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Configuração de Política de Grupo	Configuração do Registro
Never	0
Quando há suporte	1
Sempre	2

Tabela 1: eventos de assinatura LDAP

	Descrição	Gatilho
2886	A segurança desses controladores de domínio pode ser significativamente aprimorada configurando o servidor para impor a validação da assinatura LDAP.	Disparado a cada 24 horas, na inicialização ou início do serviço se o Política de Grupo estiver definido como Nenhum. Nível mínimo de log: 0 ou superior
2887	A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de associação LDAP simples e outras solicitações de associação que não incluem assinatura LDAP.	Disparado a cada 24 horas quando Política de Grupo é definido como Nenhum e pelo menos uma associação desprotegida foi concluída. Nível mínimo de log: 0 ou superior
2888	A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de associação LDAP simples e outras solicitações de associação que não incluem assinatura LDAP.	Disparado a cada 24 horas quando Política de Grupo é definido como Exigir Assinatura e pelo menos uma associação desprotegida foi rejeitada. Nível mínimo de log: 0 ou superior
2889	A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de associação LDAP simples e outras solicitações de associação que não incluem assinatura LDAP.	Disparado quando um cliente não usa a assinatura para associações em sessões na porta 389. Nível mínimo de log: 2 ou superior

Tabela 2: eventos CBT

Hubs de	Descrição	Gatilho
3039	O cliente a seguir realizou uma associação LDAP sobre SSL/TLS e falhou na validação do token de associação de canal LDAP.	Disparado em qualquer uma das seguintes circunstâncias: Quando um cliente tenta associar com um CBT (Token de Associação de Canal) formatado incorretamente se o cbt Política de Grupo estiver definido como Quando suportado ou Sempre. Quando um cliente capaz de associação de canal não envia uma TCC se o cbt Política de Grupo estiver definido como Quando suportado. Um cliente é capaz de associação de canal se o recurso EPA estiver instalado ou disponível no sistema operacional e não estiver desabilitado por meio da configuração de registro SuppressExtendedProtection. Para saber mais, confira KB5021989. Quando um cliente não envia uma TCC se o cbt Política de Grupo estiver definido como Always. Nível mínimo de log: 2
3040	Durante o período anterior de 24 horas, # de associações LDAPs desprotegidas foram executadas.	Disparada a cada 24 horas quando o cbt Política de Grupo é definido como Never e pelo menos uma associação desprotegida foi concluída. Nível mínimo de log: 0
3041	A segurança desse servidor de diretório pode ser significativamente aprimorada configurando o servidor para impor a validação de tokens de associação de canal LDAP.	Disparado a cada 24 horas, na inicialização ou início do serviço se o cbt Política de Grupo estiver definido como Nunca. Nível mínimo de log: 0

Para definir o nível de log no registro, use um comando que se assemelha ao seguinte:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 Eventos de Interface LDAP" /t REG_DWORD /d 2

Para obter mais informações sobre como configurar o log de eventos de diagnóstico do Active Directory, confira Como configurar o log de eventos de diagnóstico do Active Directory e do LDS.

Atualizações de 8 de agosto de 2023

Alguns computadores cliente não podem usar tokens de associação de canal LDAP para associar aos DCs (controladores de domínio do Active Directory). A Microsoft lançará uma atualização de segurança em 8 de agosto de 2023. Para o Windows Server 2022, essa atualização adiciona opções para os administradores auditarem esses clientes. Você pode habilitar os eventos CBT 3074 e 3075 com a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no log de eventos do Serviço de Diretório.

Importante A atualização de 8 de agosto de 2023 não altera a assinatura LDAP, as políticas padrão de associação de canal LDAP ou o equivalente do registro em DCs novos ou existentes do Active Directory.

Todas as diretrizes na seção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as configurações de política e registro descritas nas diretrizes acima. Há também uma etapa de habilitação para ver os novos eventos de auditoria. Os novos detalhes da implementação estão na seção Ações Recomendadas abaixo.

Tabela 3: eventos CBT

Hubs de

Descrição

Gatilho

3074

O cliente a seguir executou uma associação LDAP sobre SSL/TLS e teria falhado na validação do token de associação de canal se o servidor de diretório fosse configurado para impor a validação de Tokens de Associação de Canal.

Disparado em qualquer uma das seguintes circunstâncias:

Quando um cliente tenta associar com um CBT (Token de Associação de Canal) formatado incorretamente

Nível mínimo de log: 2

3075

O cliente a seguir realizou uma associação LDAP no SSL/TLS e não forneceu informações de associação de canal. Quando esse servidor de diretório estiver configurado para impor a validação de Tokens de Associação de Canal, essa operação de associação será rejeitada.

Disparado em qualquer uma das seguintes circunstâncias:

Quando um cliente capaz de associação de canal não envia um CBT
Um cliente é capaz de associação de canal se o recurso EPA estiver instalado ou disponível no sistema operacional e não estiver desabilitado por meio da configuração de registro SuppressExtendedProtection. Para saber mais, confira KB5021989.

Nível mínimo de log: 2

Observação Quando você define o nível de log como pelo menos 2, a ID do evento 3074 é registrada. Os administradores podem usá-lo para auditar seu ambiente para clientes que não funcionam com tokens de associação de canal. Os eventos conterão as seguintes informações de diagnóstico para identificar os clientes:

Client IP address: 192.168.10.5:62709
Identidade que o cliente tentou autenticar como:
Contoso\administrador
O cliente dá suporte à associação de canal:FALSE
Cliente permitido em quando o modo com suporte:TRUE
Auditar sinalizadores de resultado:0x42

Atualizações de 10 de outubro de 2023

As alterações de auditoria adicionadas em agosto de 2023 já estão disponíveis no Windows Server 2019. Para esse sistema operacional, essa atualização adiciona opções para os administradores auditarem esses clientes. Você pode habilitar os eventos CBT 3074 e 3075. Use a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no log de eventos do Serviço de Diretório.

Importante A atualização de 10 de outubro de 2023 não altera a assinatura do LDAP, as políticas padrão de associação de canal LDAP ou o equivalente ao registro em DCs novos ou existentes do Active Directory.

Todas as diretrizes na seção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as configurações de política e registro descritas nas diretrizes acima. Há também uma etapa de habilitação para ver os novos eventos de auditoria. Os novos detalhes da implementação estão na seção Ações Recomendadas abaixo.

Atualizações de 14 de novembro de 2023

As alterações de auditoria adicionadas em agosto de 2023 já estão disponíveis no Windows Server 2022. Você não precisa instalar MSIs ou criar políticas, conforme mencionado na Etapa 3 das Ações Recomendadas.

Atualizações de 9 de janeiro de 2024

As alterações de auditoria adicionadas em outubro de 2023 já estão disponíveis no Windows Server 2019. Você não precisa instalar MSIs ou criar políticas, conforme mencionado na Etapa 3 das Ações Recomendadas.

Ações recomendadas

Recomendamos fortemente que os clientes tomem as seguintes etapas na primeira oportunidade:

Verifique se as atualizações do Windows de 10 de março de 2020 ou posteriores estão instaladas em computadores de função DC (controlador de domínio). Se você quiser habilitar eventos de auditoria de associação de canal LDAP, verifique se as atualizações de 8 de agosto de 2023 ou posteriores estão instaladas nos DCs do Windows Server 2022 ou do Server 2019.
Habilite o log de diagnóstico de eventos LDAP para 2 ou mais.
Habilite as atualizações de eventos de auditoria de agosto de 2023 ou outubro de 2023 usando Política de Grupo. Você pode ignorar essa etapa se tiver instalado as atualizações de novembro de 2023 ou posteriores no Windows Server 2022. Se você tiver instalado as atualizações de janeiro de 2024 ou posteriores no Windows Server 2019, também poderá ignorar essa etapa.
- Baixe as duas MSIs de habilitação por versão do sistema operacional no Centro de Download da Microsoft:
- Expanda as MSIs para instalar os novos arquivos ADMX que contêm as definições de política. Se você usar a Central Store para Política de Grupo, copie os arquivos do ADMX para a Central Store.
- Aplique as políticas correspondentes à OU dos Controladores de Domínio ou a um subconjunto dos DCs do Server 2022 ou do Server 2019.
- Reinicie o DC para que as alterações entrem em vigor.
Monitore o log de eventos dos serviços de diretório em todos os computadores de função DC filtrados para:
- Evento de falha de assinatura LDAP 2889 na Tabela 1.
- Evento de falha de associação de canal LDAP 3039 na Tabela 2.
- Eventos de auditoria LDAP Channel Binding 3074 e 3075 na Tabela 3.
  
  Observação Os eventos 3039, 3074 e 3075 só podem ser gerados quando a Associação de Canais é definida como Quando Compatível ou Sempre.
Identifique a criação, o modelo e o tipo de dispositivo para cada endereço IP citado por:
- Evento 2889 para fazer chamadas LDAP não assinadas
- Evento 3039 por não usar associação de canal LDAP
- Evento 3074 ou 3075 por não ser capaz de associação de canal LDAP

Tipos de dispositivo

Agrupar tipos de dispositivo em 1 das 3 categorias:

Dispositivo ou roteador –
- Entre em contato com o provedor de dispositivos.
Dispositivo que não é executado em um sistema operacional Windows -
- Verifique se há suporte para associação de canal LDAP e assinatura LDAP no sistema operacional e no aplicativo. Faça isso trabalhando com o sistema operacional e o provedor de aplicativos.
Dispositivo que é executado em um sistema operacional Windows -
- A assinatura LDAP está disponível para uso por todos os aplicativos em todas as versões com suporte do Windows. Verifique se seu aplicativo ou serviço está usando a assinatura LDAP.
- A associação de canal LDAP exige que todos os dispositivos Windows tenham cVE-2017-8563 instalado. Verifique se seu aplicativo ou serviço está usando a associação de canal LDAP.

Use ferramentas de rastreamento locais, remotas, genéricas ou específicas do dispositivo. Elas incluem capturas de rede, gerenciador de processos ou rastreamentos de depuração. Determine se o sistema operacional principal, um serviço ou um aplicativo está executando associações LDAP não assinadas ou se não está usando o CBT.

Use o Gerenciador de Tarefas do Windows ou um equivalente para mapear a ID do processo para processar, o serviço e os nomes do aplicativo.

Agenda de atualizações de segurança

A atualização de 10 de março de 2020 adicionou controles para os administradores endurecerem as configurações para associação de canal LDAP e assinatura LDAP em controladores de domínio do Active Directory. As atualizações de 8 de agosto e 10 de outubro de 2023 adicionam opções para administradores auditarem computadores cliente que não podem usar tokens de associação de canal LDAP. Recomendamos fortemente que os clientes tomem as ações recomendadas neste artigo na primeira oportunidade.

Data de Destino	Hubs de	Aplicável a
10 de março de 2020	Obrigatório: Atualização de segurança disponível no Windows Update para todas as plataformas Windows com suporte. Observação Para plataformas Windows que estão fora do suporte padrão, essa atualização de segurança só estará disponível por meio dos programas de suporte estendido aplicáveis. O suporte à associação de canal LDAP foi adicionado pelo CVE-2017-8563 nas versões posteriores e do Windows Server 2008. Há suporte para tokens de associação de canal em versões Windows 10, versão 1709 e posteriores. O Windows XP não dá suporte à associação de canal LDAP e falha quando a associação de canal LDAP é configurada usando um valor de Always, mas interopera com DCs configurados para usar a configuração de associação de canal LDAP mais relaxada de Quando com suporte.	Windows Server 2022 Windows 10, versão 20H2 Windows 10, versão 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Atualização de Segurança Estendida (ESU))
08 de agosto de 2023	Adiciona eventos de auditoria de token de associação de canal LDAP (3074 & 3075). Eles estão desabilitados por padrão no Windows Server 2022.	Windows Server 2022
10 de outubro de 2023	Adiciona eventos de auditoria de token de associação de canal LDAP (3074 & 3075). Eles estão desabilitados por padrão no Windows Server 2019.	Windows Server 2019
14 de novembro de 2023	Os eventos de auditoria de token de associação de canal LDAP estão disponíveis no Windows Server 2022 sem instalar uma MSI de habilitação (conforme descrito na Etapa 3 das Ações Recomendadas).	Windows Server 2022
9 de janeiro de 2024	Os eventos de auditoria de token de associação de canal LDAP estão disponíveis no Windows Server 2019 sem instalar uma MSI de habilitação (conforme descrito na Etapa 3 das Ações Recomendadas).	Windows Server 2019

Perguntas frequentes

Para obter respostas para perguntas frequentes sobre associação de canal LDAP e assinatura LDAP em controladores de domínio do Active Directory, consulte: