Atualizado a 09/01/2024
Veja novos conteúdos nas atualizações de 9 de janeiro de 2024.
Introdução
O enlace de canal LDAP e a assinatura LDAP fornecem formas de aumentar a segurança das comunicações entre clientes LDAP e controladores de domínio do Active Directory. Existe um conjunto de configurações predefinidas não seguras para o enlace de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory que permitem que os clientes LDAP comuniquem com os mesmos sem impor o enlace de canal LDAP e a assinatura LDAP. Isto pode abrir controladores de domínio do Active Directory para uma elevação de vulnerabilidade de privilégios.
Esta vulnerabilidade pode permitir que um atacante man-in-the-middle reencaminhe com êxito um pedido de autenticação para um servidor de domínio da Microsoft que não tenha sido configurado para exigir enlace de canal, assinatura ou selagem em ligações recebidas.
A Microsoft recomenda que os administradores efetuem as alterações de proteção descritas no ADV190023.
A 10 de março de 2020, estamos a abordar esta vulnerabilidade ao fornecer as seguintes opções para os administradores protegerem as configurações do enlace de canal LDAP nos controladores de domínio do Active Directory:
-
Controlador de domínio: requisitos de tokens de enlace de canal de servidor LDAP .
-
Eventos de assinatura de Tokens de Enlace de Canal (CBT) 3039, 3040 e 3041 com o remetente de eventos Microsoft-Windows-Active Directory_DomainService no registo de eventos do Serviço de Diretório.
Importante: as atualizações de 10 de março de 2020 e as atualizações num futuro próximo não irão alterar as políticas predefinidas de enlace de canal LDAP ou assinatura LDAP ou o respetivo equivalente de registo em controladores de domínio do Active Directory novos ou existentes.
A política controlador de domínio de assinatura LDAP: requisitos de assinatura de servidor LDAP já existe em todas as versões suportadas do Windows. A partir do Windows Server 2022, 23H2 Edition, todas as novas versões do Windows irão conter todas as alterações neste artigo.
Por que razão esta alteração é necessária
A segurança dos controladores de domínio do Active Directory pode ser significativamente melhorada ao configurar o servidor para rejeitar enlaces LDAP de Camada de Segurança e Autenticação Simples (SASL) que não pedem assinatura (verificação de integridade) ou para rejeitar enlaces simples LDAP que são executados numa ligação de texto não encriptado por SSL/TLS. As SASL podem incluir protocolos como Negotiate, Kerberos, NTLM e Digest.
O tráfego de rede não assinado é suscetível a ataques de reprodução em que um intruso interceta a tentativa de autenticação e a emissão de uma permissão. O intruso pode reutilizar a permissão para usurpar a identidade do utilizador legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques man-in-the-middle (MiTM) em que um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-os para o servidor. Se isto ocorrer num Controlador Domínio do Active Directory, um atacante pode fazer com que um servidor tome decisões baseadas em pedidos falsificados do cliente LDAP. O LDAPS utiliza a sua própria porta de rede distinta para ligar clientes e servidores. A porta predefinida para LDAP é a porta 389, mas o LDAPS utiliza a porta 636 e estabelece o SSL/TLS ao ligar a um cliente.
Os tokens de enlace de canal ajudam a tornar a autenticação LDAP através de SSL/TLS mais segura contra ataques man-in-the-middle.
Atualizações de 10 de março de 2020
Importante As atualizações de 10 de março de 2020 não alteram as políticas predefinidas de enlace de canal LDAP ou assinatura LDAP ou o respetivo equivalente de registo em controladores de domínio do Active Directory novos ou existentes.
As atualizações do Windows que serão lançadas a 10 de março de 2020 adicionam as seguintes funcionalidades:
-
São registados novos eventos no Visualizador de Eventos relacionados com o enlace do canal LDAP. Consulte a Tabela 1 e a Tabela 2 para obter detalhes sobre estes eventos.
-
Um novo Controlador de domínio: os requisitos de token de enlace do canal de servidor LDAP Política de Grupo para configurar o enlace de canal LDAP em dispositivos suportados.
O mapeamento entre as definições da Política de Assinatura LDAP e as definições do registo está incluído da seguinte forma:
-
Definição de Política: "Controlador de domínio: requisitos de assinatura do servidor LDAP"
-
Definição do Registo: Integridade LDAPServer
-
Tipo de Dados: DWORD
-
Caminho do Registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Definição de Política de Grupo |
Definição do Registo |
Nenhuma |
1 |
Exigir Assinatura |
2 |
O mapeamento entre as definições de Política de Enlace de Canal LDAP e as definições de registo está incluído da seguinte forma:
-
Definição de Política: "Controlador de domínio: requisitos de tokens de enlace de canal de servidor LDAP"
-
Definição do Registo: LdapEnforceChannelBinding
-
Tipo de Dados: DWORD
-
Caminho do Registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Definição de Política de Grupo |
Definição do Registo |
Nunca |
0 |
Quando Suportado |
1 |
Sempre |
2 |
Tabela 1: eventos de assinatura LDAP
Descrição |
Acionador |
|
A segurança destes controladores de domínio pode ser significativamente melhorada ao configurar o servidor para impor a validação da assinatura LDAP. |
Acionado a cada 24 horas, no arranque ou início do serviço se o Política de Grupo estiver definido como Nenhum. Nível Mínimo de Registo: 0 ou superior |
|
A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP. |
Acionado a cada 24 horas quando Política de Grupo está definido como Nenhum e pelo menos um enlace desprotegido foi concluído. Nível Mínimo de Registo: 0 ou superior |
|
A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP. |
Acionado a cada 24 horas quando Política de Grupo está definido como Exigir Assinatura e pelo menos um enlace desprotegido foi rejeitado. Nível Mínimo de Registo: 0 ou superior |
|
A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos de enlace LDAP simples e outros pedidos de enlace que não incluam a assinatura LDAP. |
Acionado quando um cliente não utiliza a assinatura para enlaces em sessões na porta 389. Nível Mínimo de Registo: 2 ou superior |
Tabela 2: eventos CBT
Evento |
Descrição |
Acionador |
3039 |
O cliente seguinte efetuou um enlace LDAP através de SSL/TLS e falhou na validação do token de enlace do canal LDAP. |
Acionado em qualquer uma das seguintes circunstâncias:
Nível mínimo de registo: 2 |
3040 |
Durante o período de 24 horas anterior, foram efetuados n.º de enlaces LDAPs desprotegidos. |
Acionado a cada 24 horas quando o cbt Política de Grupo está definido como Nunca e pelo menos um enlace desprotegido foi concluído. Nível mínimo de registo: 0 |
3041 |
A segurança deste servidor de diretórios pode ser significativamente melhorada ao configurar o servidor para impor a validação de tokens de enlace de canal LDAP. |
Acionado a cada 24 horas, no arranque ou início do serviço, se a Política de Grupo CBT estiver definida como Nunca. Nível mínimo de registo: 0 |
Para definir o nível de registo no registo, utilize um comando semelhante ao seguinte:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Para obter mais informações sobre como configurar o registo de eventos de diagnóstico do Active Directory, veja Como configurar o registo de eventos de diagnóstico do Active Directory e LDS.
Atualizações de 8 de agosto de 2023
Alguns computadores cliente não podem utilizar tokens de enlace de canal LDAP para vincular a controladores de domínio (DCs) do Active Directory. A Microsoft lançará uma atualização de segurança a 8 de agosto de 2023. Para o Windows Server 2022, esta atualização adiciona opções para os administradores auditarem estes clientes. Pode ativar os eventos CBT 3074 e 3075 com a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no registo de eventos do Serviço de Diretório.
Importante A atualização de 8 de agosto de 2023 não altera a assinatura LDAP, as políticas predefinidas de enlace do canal LDAP ou o respetivo equivalente de registo em DCs do Active Directory novos ou existentes.
Todas as orientações na secção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as definições de política e registo descritas na documentação de orientação acima. Também existe um passo de ativação para ver os novos eventos de auditoria. Os novos detalhes de implementação estão na secção Ações Recomendadas abaixo.
Tabela 3: eventos CBT
Evento |
Descrição |
Acionador |
3074 |
O cliente seguinte efetuou um enlace LDAP através de SSL/TLS e teria falhado a validação do token de enlace de canal se o servidor de diretórios estivesse configurado para impor a validação de Tokens de Enlace de Canal. |
Acionado em qualquer uma das seguintes circunstâncias:
Nível mínimo de registo: 2 |
3075 |
O cliente seguinte efetuou um enlace LDAP através de SSL/TLS e não forneceu Informações de Enlace de Canal. Quando este servidor de diretório está configurado para impor a validação de Tokens de Enlace de Canal, esta operação de enlace será rejeitada. |
Acionado em qualquer uma das seguintes circunstâncias:
Nível mínimo de registo: 2 |
Nota Quando define o nível de registo para, pelo menos, 2, o ID do Evento 3074 é registado. Os administradores podem utilizá-lo para auditar o ambiente dos clientes que não funcionam com tokens de enlace de canal. Os eventos irão conter as seguintes informações de diagnóstico para identificar os clientes:
Client IP address: 192.168.10.5:62709 Identidade que o cliente tentou autenticar como: CONTOSO\Administrador O cliente suporta o enlace de canal:FALSO Cliente permitido no modo suportado:VERDADEIRO Sinalizadores de resultados de auditoria:0x42
Atualizações de 10 de outubro de 2023
As alterações de auditoria adicionadas em agosto de 2023 estão agora disponíveis no Windows Server 2019. Para esse SO, esta atualização adiciona opções para os administradores auditarem estes clientes. Pode ativar os eventos CBT 3074 e 3075. Utilize a origem do evento **Microsoft-Windows-ActiveDirectory_DomainService** no registo de eventos do Serviço de Diretório.
Importante A atualização de 10 de outubro de 2023 não altera a assinatura LDAP, as políticas predefinidas de enlace do canal LDAP ou o respetivo equivalente de registo em DCs do Active Directory novos ou existentes.
Todas as orientações na secção atualizações de março de 2020 também se aplicam aqui. Os novos eventos de auditoria exigirão as definições de política e registo descritas na documentação de orientação acima. Também existe um passo de ativação para ver os novos eventos de auditoria. Os novos detalhes de implementação estão na secção Ações Recomendadas abaixo.
Atualizações de 14 de novembro de 2023
As alterações de auditoria adicionadas em agosto de 2023 estão agora disponíveis no Windows Server 2022. Não precisa de instalar MSIs nem de criar políticas, conforme mencionado no Passo 3 das Ações Recomendadas.
Atualizações de 9 de janeiro de 2024
As alterações de auditoria adicionadas em outubro de 2023 estão agora disponíveis no Windows Server 2019. Não precisa de instalar MSIs nem de criar políticas, conforme mencionado no Passo 3 das Ações Recomendadas.
Ações recomendadas
Aconselhamos vivamente os clientes a efetuarem os seguintes passos o mais rapidamente possível:
-
Certifique-se de que as atualizações de 10 de março de 2020 ou posteriores do Windows estão instaladas em computadores de função de controlador de domínio (DC). Se quiser ativar eventos de auditoria do Enlace de Canal LDAP, certifique-se de que as atualizações de 8 de agosto de 2023 ou posteriores estão instaladas em DCs do Windows Server 2022 ou Server 2019.
-
Ative o registo de diagnóstico de eventos LDAP para 2 ou superior.
-
Ative as atualizações de Eventos de Auditoria de agosto de 2023 ou outubro de 2023 com Política de Grupo. Pode ignorar este passo se tiver instalado as atualizações de novembro de 2023 ou posteriores no Windows Server 2022. Se instalou as atualizações de janeiro de 2024 ou posteriores no Windows Server 2019, também pode ignorar este passo.
-
Transfira os dois MSIs de ativação por versão do SO a partir do Centro de Transferências da Microsoft:
-
Expanda os MSIs para instalar os novos ficheiros ADMX que contêm as definições de política. Se utilizar o Arquivo Central para Política de Grupo, copie os ficheiros ADMX para o Arquivo Central.
-
Aplique as políticas correspondentes à UO dos Controladores de Domínio ou a um subconjunto dos seus DCs server 2022 ou Server 2019.
-
Reinicie o DC para que as alterações entrem em vigor.
-
-
Monitorize o registo de eventos dos Serviços de diretório em todos os computadores de função DC filtrados para:
-
Evento de falha de Assinatura LDAP 2889 na Tabela 1.
-
Evento de falha de Enlace de Canal LDAP 3039 na Tabela 2.
-
Eventos de auditoria de Enlace de Canal LDAP 3074 e 3075 na Tabela 3.
Nota Os eventos 3039, 3074 e 3075 só podem ser gerados quando o Enlace de Canal está definido como Quando Suportado ou Sempre.
-
-
Identifique a criação, o modelo e o tipo de dispositivo para cada endereço IP citado por:
-
Evento 2889 para fazer chamadas LDAP não assinadas
-
Evento 3039 para não utilizar o Enlace de Canal LDAP
-
Evento 3074 ou 3075 por não ser capaz de Enlace de Canal LDAP
-
Tipos de dispositivo
Agrupar tipos de dispositivos em 1 de 3 categorias:
-
Aplicação ou router -
-
Contacte o fornecedor do dispositivo.
-
-
Dispositivo que não é executado num sistema operativo Windows -
-
Verifique se o enlace do canal LDAP e a assinatura LDAP são suportados no sistema operativo e na aplicação. Faça-o ao trabalhar com o sistema operativo e o fornecedor de aplicações.
-
-
Dispositivo que é executado num sistema operativo Windows -
-
A assinatura LDAP está disponível para utilização por todas as aplicações em todas as versões suportadas do Windows. Verifique se a sua aplicação ou serviço está a utilizar a assinatura LDAP.
-
O enlace de canal LDAP requer que todos os dispositivos Windows tenham o CVE-2017-8563 instalado. Verifique se a sua aplicação ou serviço está a utilizar o enlace de canal LDAP.
-
Utilize ferramentas de rastreio locais, remotas, genéricas ou específicas do dispositivo. Estes incluem capturas de rede, gestor de processos ou rastreios de depuração. Determine se o sistema operativo principal, um serviço ou uma aplicação está a executar enlaces LDAP não assinados ou se não está a utilizar CBT.
Utilize o Gestor de Tarefas do Windows ou um equivalente para mapear o ID do processo para processar, serviço e nomes de aplicações.
Agenda da atualização de segurança
A atualização de 10 de março de 2020 adicionou controlos para os administradores protegerem as configurações para o enlace de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory. As atualizações de 8 de agosto e 10 de outubro de 2023 adicionam opções para os administradores auditarem máquinas cliente que não podem utilizar tokens de enlace de canal LDAP. Aconselhamos vivamente os clientes a tomar as ações recomendadas neste artigo o mais rapidamente possível.
Data Alvo |
Evento |
Aplica-se a |
10 de março de 2020 |
Obrigatório: Atualização de Segurança disponível no Windows Update para todas as plataformas Windows suportadas. Nota Para plataformas Windows que não têm suporte padrão, esta atualização de segurança só estará disponível através dos programas de suporte alargado aplicáveis. O suporte de enlace de canais LDAP foi adicionado pela CVE-2017-8563 no Windows Server 2008 e versões posteriores. Os tokens de enlace de canal são suportados no Windows 10, versão 1709 e versões posteriores. O Windows XP não suporta o enlace de canal LDAP e falha quando o enlace de canal LDAP é configurado através de um valor always, mas interoperaria com DCs configurados para utilizar uma definição de enlace de canal LDAP mais relaxada de Quando suportado. |
Windows Server 2022 Windows 10, versão 20H2 Windows 10, versão 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Extensão da Atualização de Segurança (ESU)) |
8 de agosto de 2023 |
Adiciona eventos de auditoria de tokens de enlace de canal LDAP (3074 & 3075). Estão desativadas por predefinição no Windows Server 2022. |
Windows Server 2022 |
10 de outubro de 2023 |
Adiciona eventos de auditoria de tokens de enlace de canal LDAP (3074 & 3075). Estão desativadas por predefinição no Windows Server 2019. |
Windows Server 2019 |
14 de novembro de 2023 |
Os eventos de auditoria de tokens de enlace de canal LDAP estão disponíveis no Windows Server 2022 sem instalar um MSI de ativação (conforme descrito no Passo 3 das Ações Recomendadas). |
Windows Server 2022 |
9 de janeiro de 2024 |
Os eventos de auditoria de tokens de enlace de canal LDAP estão disponíveis no Windows Server 2019 sem instalar um MSI de ativação (conforme descrito no Passo 3 das Ações Recomendadas). |
Windows Server 2019 |
Perguntas mais frequentes
Para obter respostas às perguntas mais frequentes sobre o enlace de canal LDAP e a assinatura LDAP em controladores de domínio do Active Directory, veja: