Introdução

A associação de canal LDAP e a assinatura LDAP oferecem maneiras de aumentar a segurança das comunicações entre clientes LDAP e controladores de domínio do Active Directory. Um conjunto de configurações padrão não seguras para associação de canal LDAP e assinatura LDAP existem em controladores de domínio do Active Directory que permitem que os clientes LDAP se comuniquem com eles sem impor a associação de canal LDAP e a assinatura LDAP. Isso pode abrir controladores de domínio do Active Directory para uma elevação da vulnerabilidade de privilégio.

Essa vulnerabilidade pode permitir que um invasor intermediário encaminhe com êxito uma solicitação de autenticação para um servidor de domínio da Microsoft que não foi configurado para exigir vinculação de canal, assinatura ou selagem em conexões de entrada.

A Microsoft recomenda que os administradores façam as alterações de fortalecimento descritas em ADV190023.

Em 10 de março de 2020, estamos abordando essa vulnerabilidade fornecendo as seguintes opções para os administradores fortalecerem as configurações para a associação de canal LDAP nos controladores de domínio do Active Directory:

  • Controlador de domínio: requisitos de token de associação de canal de servidor LDAP Política de Grupo.

  • Eventos de assinatura de Tokens de Associação de Canal (CBT) 3039, 3040 e 3041 com o remetente de eventos Microsoft-Windows-Active Directory_DomainService no log de eventos do Serviço de Diretório.

Importante: as atualizações e atualizações de 10 de março de 2020 no futuro previsível não alterarão as políticas padrão de associação de canal LDAP ou LDAP ou seus equivalentes do Registro em controladores de domínio do Active Directory novos ou existentes.

O controlador de domínio de assinatura LDAP: a política de requisitos de assinatura de servidor LDAP já existe em todas as versões com suporte de Windows.

Por que essa alteração é necessária

A segurança dos controladores de domínio do Active Directory pode ser significativamente aprimorada configurando o servidor para rejeitar as vinculações LDAP de Autenticação Simples e Segurança (SASL) que não solicitam assinatura (verificação de integridade) ou para rejeitar vínculos simples LDAP que são executados em uma conexão de texto claro (não SSL/TLS-encrypted). SASLs podem incluir protocolos como os protocolos Negotiate, Kerberos, NTLM e Digest.

O tráfego de rede não assinado é suscetível a ataques de repetição nos quais um invasor intercepta a tentativa de autenticação e a emissão de um tíquete. O invasor pode reutilizar o tíquete para representar o usuário legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques de MiTM (man-in-the-middle) nos quais um invasor captura pacotes entre o cliente e o servidor, altera os pacotes e os encaminha para o servidor. Se isso ocorrer em um Controlador de Domínio do Active Directory, um invasor poderá fazer com que um servidor faça decisões baseadas em solicitações forjadas do cliente LDAP. O LDAPS usa sua própria porta de rede distinta para conectar clientes e servidores. A porta padrão para LDAP é a porta 389, mas o LDAPS usa a porta 636 e estabelece SSL/TLS ao se conectar a um cliente.

Os tokens de associação de canal ajudam a tornar a autenticação LDAP sobre SSL/TLS mais segura contra ataques de homem no meio.

Atualizações de 10 de março de 2020

Importante As atualizações de 10 de março de 2020 não alteram as políticas padrão de associação de canal LDAP ou LDAP ou seus equivalentes de registro em controladores de domínio do Active Directory novos ou existentes.

Windows atualizações a serem lançadas em 10 de março de 2020 adicionam os seguintes recursos:

  • Novos eventos são registrados no Visualizador de Eventos relacionado à associação de canal LDAP. Consulte Tabela 1 e Tabela 2 para obter detalhes desses eventos.

  • Um novo controlador de domínio: requisitos de token de associação de canal de servidor LDAP Política de grupo para configurar a associação de canal LDAP em dispositivos com suporte.

O mapeamento entre as configurações da Política de Assinatura LDAP e as configurações do Registro estão incluídos da seguinte forma:

  • Configuração de Política: "Controlador de domínio: requisitos de assinatura de servidor LDAP"

  • Configuração do Registro: LDAPServerIntegrity

  • DataType: DWORD

  • Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Configuração da Política de Grupo

Configuração do Registro

Nenhum

1

Exigir Assinatura

2

O mapeamento entre as configurações da Política de Associação de Canal LDAP e as configurações do Registro estão incluídos da seguinte forma:

  • Configuração de Política: "Controlador de domínio: requisitos de token de associação de canal de servidor LDAP"

  • Configuração do Registro: LdapEnforceChannelBinding

  • DataType: DWORD

  • Caminho do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Configuração da Política de Grupo

Configuração do Registro

Nunca

0

Quando suportado

1

Sempre

2


Tabela 1: Eventos de assinatura LDAP

Descrição

Gatilho

2886

A segurança desses controladores de domínio pode ser significativamente melhorada configurando o servidor para impor a validação da assinatura LDAP.

Disparado a cada 24 horas, na inicialização ou início do serviço, se a Política de Grupo estiver definida como Nenhuma. Nível mínimo de log: 0 ou superior

2887

A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de vinculação LDAP simples e outras solicitações de vinculação que não incluem a assinatura LDAP.

Disparado a cada 24 horas quando a Política de Grupo é definida como Nenhuma e pelo menos uma vinculação desprotegida foi concluída. Nível mínimo de log: 0 ou superior

2888

A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de vinculação LDAP simples e outras solicitações de vinculação que não incluem a assinatura LDAP.

Disparado a cada 24 horas quando a Política de Grupo é definida como Exigir Assinatura e pelo menos um vínculo desprotegido foi rejeitado. Nível mínimo de log: 0 ou superior

2889

A segurança desses controladores de domínio pode ser aprimorada configurando-os para rejeitar solicitações de vinculação LDAP simples e outras solicitações de vinculação que não incluem a assinatura LDAP.

Disparado quando um cliente não usa a assinatura para vinculações em sessões na porta 389. Nível mínimo de registro em log: 2 ou mais

Tabela 2: eventos CBT

Evento

Descrição

Gatilho

3039

O cliente a seguir realizou uma associação LDAP sobre SSL/TLS e falhou na validação de token de associação de canal LDAP.

Disparado em qualquer uma das seguintes circunstâncias:

  • Quando um cliente tenta se vincular a um Token de Associação de Canal (CBT) formatado incorretamente se a Política de Grupo CBT estiver definida como Quando Suportado ou Sempre.

  • Quando um cliente capaz de vinculação de canal não envia uma CBT se a Política de Grupo CBT estiver definida como Quando Há Suporte. Aclient  é a associação de canal capaz se o recurso EPA estiver instalado ou disponível no sistema operacional e não estiver desabilitado por meio da configuração do Registro SuppressExtendedProtection.

  • Quando um cliente não envia uma CBT se a Política de Grupo CBT estiver definida como Always.

Nível mínimo de registro em log: 2

3040

Durante o período anterior de 24 horas, # das vinculações LDAPs desprotegidas foram executadas.

Disparado a cada 24 horas quando a Política de Grupo CBT é definida como Nunca e pelo menos um vínculo desprotegido foi concluído. Nível mínimo de log: 0

3041

A segurança desse servidor de diretório pode ser significativamente melhorada configurando o servidor para impor a validação de tokens de associação de canal LDAP.

Disparado a cada 24 horas, na inicialização ou início do serviço se a Política de Grupo CBT estiver definida como Nunca. Nível mínimo de log: 0


Para definir o nível de registro em log no Registro, use um comando semelhante ao seguinte:

Reg Adicionar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 Eventos de Interface LDAP" /t REG_DWORD /d 2

Para obter mais informações sobre como configurar o log de eventos de diagnóstico do Active Directory, consulte o seguinte artigo na Base de Dados de Conhecimento da Microsoft:

314980 Como configurar o registro em log de eventos de diagnóstico do Active Directory e LDS

Ações recomendadas

Aconselhamos os clientes a tomarem as seguintes etapas na primeira oportunidade:

  1. Instale as atualizações de 10 de março de 2020 Windows em computadores de função controlador de domínio (DC) quando as atualizações são lançadas.

  2. Habilitar o log de diagnóstico de eventos LDAP para 2 ou mais.

  3. Monitore o log de eventos de serviços de diretório em todos os computadores de função DC filtrados para:

    • Evento de falha de assinatura LDAP 2889 listado na Tabela 1.

    • Evento de falha de associação de canal LDAP 3039 na Tabela 2.

      Observação O evento 3039 só pode ser gerado quando a Associação de Canal estiver definida como Quando For Suportado ou Sempre.

  4. Identifique a make, o modelo e o tipo de dispositivo para cada endereço IP citado pelo evento 2889 como fazendo chamadas LDAP não atribuídas ou eventos 3039 como não usando a Associação de Canal LDAP.

Tipos de dispositivo de grupo em 1 de 3 categorias:

  1. Aparelho ou roteador

    • Contate o provedor de dispositivos.

  2. Dispositivo que não é executado em um Windows operacional

    • Verifique se a associação de canal LDAP e a assinatura LDAP têm suporte no sistema operacional e no aplicativo trabalhando com o sistema operacional e o provedor de aplicativos.

  3. Dispositivo que é executado em um Windows operacional

    • A assinatura LDAP está disponível para uso por todos os aplicativos em todas as versões com suporte de Windows. Verifique se seu aplicativo ou serviço está usando a assinatura LDAP.

    • A associação de canal LDAP exige que todos Windows dispositivos com CVE-2017-8563 instalados. Verifique se seu aplicativo ou serviço está usando a associação de canal LDAP.

Use ferramentas de rastreamento locais, remotas, genéricas ou específicas de dispositivo, incluindo capturas de rede, gerenciador de processos ou rastreamentos de depuração para determinar se o sistema operacional principal, um serviço ou um aplicativo está executando vínculos LDAP não assinados ou não está usando CBT.

Use Windows Gerenciador de Tarefas ou equivalente para mapear a ID do processo para processar, serviço e nomes de aplicativos.

Agenda de atualização de segurança

As atualizações de 10 de março de 2020 fornecerão controles para os administradores protegerem as configurações para a associação de canal LDAP e a assinatura LDAP nos controladores de domínio do Active Directory. Aconselhamos os clientes a tomarem as ações recomendadas neste artigo na primeira oportunidade.

Data de destino

Evento

Aplica-se a

10 de março de 2020

Obrigatório: Atualização de Segurança disponível no Windows Update para todas as plataformas Windows com suporte.

Observação Para Windows plataformas que não têm suporte padrão, essa atualização de segurança só estará disponível por meio dos programas de suporte estendido aplicáveis.

O suporte à associação de canal LDAP foi adicionado pelo CVE-2017-8563 no Windows Server 2008 e versões posteriores. Os tokens de associação de canal têm suporte Windows 10 versão 1709 e versões posteriores.

Windows XP não dá suporte à associação de canal LDAP e falharia quando a associação de canal LDAP é configurada usando um valor Always, mas interopera com os DCs configurados para usar a configuração de associação de canal LDAP mais descontraída de Quando suportado.

Windows 10, versão 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Atualização de Segurança Estendida (ESU))

Perguntas frequentes

Para obter respostas para perguntas frequentes sobre a associação de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory, consulte Perguntas frequentes sobre alterações no Protocolo de Acesso ao Diretório Leve.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?

Obrigado pelos seus comentários!

×