Introdução

A encadernação de canais LDAP e a assinatura LDAP proporcionam formas de aumentar a segurança das comunicações entre clientes LDAP e controladores de domínio do Active Directory. Existe um conjunto de configurações predefinidas não seguras para encadernação de canais LDAP e assinatura LDAP nos controladores de domínio do Active Directory que permitam aos clientes LDAP comunicar com os mesmas sem impor o encadernação de canais LDAP e a assinatura LDAP. Isto pode abrir controladores de domínio do Active Directory para aumentar a vulnerabilidade de privilégios.

Esta vulnerabilidade pode permitir que um atacante do meio encaminhasse com êxito um pedido de autenticação para um servidor de domínio da Microsoft que não tenha sido configurado para exigir encadernação, assinatura ou selar as ligações de entrada.

A Microsoft recomenda aos administradores que façam as alterações ao endurece descritas no ADV190023.

No dia 10 de março de 2020, estamos a resolver esta vulnerabilidade ao fornecer as seguintes opções para os administradores endurecerem as configurações da encadernação de canais LDAP nos controladores de domínio do Active Directory:

  • Controlador de domínio: requisitos de tokens vinculados de canais LDAP .

  • Eventos de assinatura de Tokens de Encadernação de Canais (CBT) 3039, 3040 e 3041 com o remetente do evento Microsoft-Windows-Active Directory_DomainService no registo de eventos do Serviço de Diretório.

Importante: as atualizações e atualizações de 10 de março de 2020 não irão alterar as políticas vinculativas predefinida de encadernação de canais LDAP ou LDAP nos controladores de domínio do Active Directory novos ou existentes.

O controlador de domínio LDAP de assinatura LDAP: A política de requisitos de assinatura do servidor LDAP já existe em todas as versões suportadas do Windows.

Por que razão esta alteração é necessária

A segurança dos controladores de domínio do Active Directory pode ser melhorada significativamente ao configurar o servidor para rejeitar vinculações LDAP de Autenticação Simples e de Segurança (SASL) que não pedem assinatura (verificação de integridade) ou para rejeitar binários LDAP simples que são efetuados numa ligação de texto simples (não encriptado com SSL/TLS). As SASL podem incluir protocolos como Negotiate, Kerberos, NTLM e Digest.

O tráfego de rede não assinado é suscetível a ataques de reprodução em que um intruso interceta a tentativa de autenticação e a emissão de uma permissão. O intruso pode reutilizar a permissão para usurpar a identidade do utilizador legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques man-in-the-middle (MiTM) nos quais um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-os para o servidor. Se isto ocorrer num Controlador de Domínio do Active Directory, um atacante pode fazer com que um servidor tomar decisões baseadas em pedidos forgedados a partir do cliente LDAP. O LDAPS utiliza a sua própria porta de rede distinta para ligar clientes e servidores. A porta predefinida para LDAP é a porta 389, mas lDAPS utiliza a porta 636 e estabelece SSL/TLS após estabelecer ligação com um cliente.

Os tokens de encadernação de canais ajudam a tornar a autenticação LDAP por SSL/TLS mais segura em vez de ataques man-in-the-middle.

Atualizações de 10 de março de 2020

Importante As atualizações de 10 de março de 2020 não alteram as políticas vinculativas de encadernação de canais LDAP ou as suas equivalentes de registo em controladores de domínio do Active Directory novos ou existentes.

Windows as seguintes funcionalidades serão lançadas a 10 de março de 2020:

  • Os novos eventos são marcados no Visualizador de Eventos relacionados com o encadernação de canais LDAP. Consulte Tabela 1 e Tabela 2 para obter detalhes destes eventos.

  • Um novo controlador de domínio: requisitos de tokens de encadernação de canais LDAP para configurar a encadernação de canais LDAP em dispositivos suportados.

O mapeamento entre as definições da Política de Assinatura LDAP e as definições de registo são incluídos da seguinte forma:

  • Definição da Política: "Domain controller: LDAP server signing requirements"

  • Definição de Registo: LDAPServerIntegrity

  • DataType: DWORD

  • Caminho de Registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Definição da Política de Grupo

Definição de Registo

Nenhuma

1

Exigir Assinatura

2

O mapeamento entre as definições da Política de Vinculação de Via LDAP e as definições de registo são incluídos da seguinte forma:

  • Definição da Política: "Domain controller: LDAP server binding token requirements"

  • Definição de Registo: LdapEnforceChannelBinding

  • DataType: DWORD

  • Caminho de Registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Definição da Política de Grupo

Definição de Registo

Nunca

0

Quando Suportada

1

Sempre

2


Tabela 1: eventos de assinatura LDAP

Descrição

Ativador

2886

A segurança destes controladores de domínio pode ser significativamente melhorada ao configurar o servidor para impor a validação da assinatura LDAP.

Ativada a cada 24 horas, no arranque ou início do serviço se a Política de Grupo estiver definida para Nenhum. Nível de Registo Mínimo: 0 ou superior

2887

A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos simples de vinculação LDAP e outros pedidos de vinculação que não incluam assinatura LDAP.

Ativada a cada 24 horas quando a Política de Grupo está definida como Nenhuma e foi concluída, pelo menos, uma vinculação desprotegida. Nível de Registo Mínimo: 0 ou superior

2888

A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos simples de vinculação LDAP e outros pedidos de vinculação que não incluam assinatura LDAP.

Ativada a cada 24 horas quando a Política de Grupo está definida para Exigir Assinatura e foi rejeitada, pelo menos, uma vinculação desprotegida. Nível de Registo Mínimo: 0 ou superior

2889

A segurança destes controladores de domínio pode ser melhorada ao configurá-los para rejeitar pedidos simples de vinculação LDAP e outros pedidos de vinculação que não incluam assinatura LDAP.

Ativada quando um cliente não utiliza a assinatura para vinculações em sessões na porta 389. Nível de Registo Mínimo: 2 ou superior

Tabela 2: eventos CBT

Evento

Descrição

Ativador

3039

O cliente seguinte executou um binário LDAP sobre SSL/TLS e falhou a validação do token de encadernação de canais LDAP.

Ativado em qualquer uma das seguintes circunstâncias:

  • Quando um cliente tenta vincular com um Token de Encadernação de Vias de Encadernação de Vias de Forma indevido (CBT), se a Política de Grupo CBT estiver definida como Quando Suportado ou Sempre.

  • Quando um cliente com capacidade de encadernação de canais não envia um CBT se a Política de Grupo CBT estiver definida como Quando Suportado. O Aclient  é capaz de encadernação de canais se a funcionalidade EPA estiver instalada ou disponível no SO e não estiver desativada através da definição de registo SuppressExtendedProtection.

  • Quando um cliente não envia um CBT se a Política de Grupo CBT estiver definida como Sempre.

Nível de registo mínimo: 2

3040

Durante o período de 24 horas anterior, foram efetuados os n.º de vinculações LDAPs desprotegidos.

Ativada a cada 24 horas quando a Política de Grupo CBT está definida como Nunca e, pelo menos, uma vinculação desprotegida foi concluída. Nível de registo mínimo: 0

3041

A segurança deste servidor de diretório pode ser significativamente melhorada ao configurar o servidor para impor a validação de tokens de encadernação de canais LDAP.

Ativada a cada 24 horas, no arranque ou no início do serviço se a Política de Grupo CBT estiver definida para Nunca. Nível de registo mínimo: 0


Para definir o nível de registo no registo, utilize um comando que se assemelha ao seguinte:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Para obter mais informações sobre como configurar o registo de eventos de diagnóstico do Active Directory, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

314980 Como configurar o registo de eventos de diagnóstico do Active Directory e do LDS

Ações recomendadas

Recomendamos vivamente aos clientes que tomem os seguintes passos na primeira oportunidade:

  1. Instale as atualizações de 10 de março de 2020 Windows computadores com funções de controlador de domínio (DC) quando as atualizações são lançadas.

  2. Ative o registo de diagnóstico de eventos LDAP para 2 ou superior.

  3. Monitorize o registo de eventos dos serviços de diretório em todos os computadores com funções de DC filtrados por:

    • Evento de falha de assinatura LDAP 2889 listado na Tabela 1.

    • Evento de falha de Encadernação de Via LDAP 3039 na Tabela 2.

      Nota O Evento 3039 só pode ser gerado quando o Encadernação de Canais está definido para Quando Suportado ou Sempre.

  4. Identifique a forma, modelo e tipo de dispositivo para cada endereço IP citado pelo evento 2889 como fazer chamadas LDAP não assinadas ou por 3039 eventos como não utilizando o Encadernação de Canais LDAP.

Agrupar tipos de dispositivo em 1 de 3 categorias:

  1. Aparelho ou router

    • Contacte o fornecedor do dispositivo.

  2. Dispositivo que não é executado num sistema operativo Windows dispositivo

    • Verifique se a vinculação de canais LDAP e a assinatura LDAP são suportadas no sistema operativo e, em seguida, aplicam-se ao trabalhar com o sistema operativo e o fornecedor de aplicações.

  3. Dispositivo que é executado num sistema operativo Windows dispositivo

    • O sinal LDAP está disponível para ser utilizado por todas as aplicações em todas as versões suportadas Windows. Verifique se a sua aplicação ou serviço está a utilizar a assinatura LDAP.

    • A encadernação de canais LDAP requer que todos Windows dispositivos tenham o CVE-2017-8563 instalado. Verifique se a sua aplicação ou serviço está a utilizar encadernação de canais LDAP.

Utilize ferramentas de rastreio locais, remotas, genéricas ou específicas do dispositivo, incluindo capturas de rede, gestor de processos ou rastreios de depuração para determinar se o sistema operativo principal, um serviço ou uma aplicação está a executar binários LDAP não assinados ou se não está a utilizar CBT.

Utilize Windows de Tarefas ou equivalente a mapear o ID do processo para nomes de processos, serviços e aplicações.

Agenda da atualização de segurança

As atualizações de 10 de março de 2020 fornecerão controlos aos administradores para endurecer as configurações da encadernação de canais LDAP e assinatura LDAP em controladores de domínio do Active Directory. Recomendamos vivamente aos clientes que atendam as ações recomendadas neste artigo na primeira oportunidade.

Data Alvo

Evento

Aplica-se A

10 de março de 2020

Obrigatório: Atualização de Segurança disponível Windows Atualização para todas as plataformas de Windows suportadas.

Nota Para Windows plataformas que não utilizam o suporte padrão, esta atualização de segurança só estará disponível através dos programas de suporte alargados aplicáveis.

O suporte de encadernação de vias LDAP foi adicionado pela CVE-2017-8563 em Windows Server 2008 e versões posteriores. Os tokens de encadernação de canais são suportados no Windows 10, versão 1709 e versões posteriores.

O Windows XP não suporta o encadernação de canais LDAP e falha quando a encadernação de canais LDAP é configurada ao utilizar um valor de Always mas interoperia com DCs configurados para utilizar uma definição de encadernação de canal LDAP mais descontraída de Quando suportada.

Windows 10, versão 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Atualização de Segurança Alargada (ESU))

Perguntas mais frequentes

Para respostas às perguntas mais frequentes sobre o encadernação de canais LDAP e a assinatura LDAP em controladores de domínio do Active Directory, consulte Perguntas mais frequentes sobre as alterações ao Protocolo de Acesso de Diretório Simples.

Precisa de mais ajuda?

Aumente os seus conhecimentos

Explore as formações >

Seja o primeiro a obter novas funcionalidades

Aderir ao Microsoft insiders >

As informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?

Obrigado pelo seu feedback!

×