Požiadavky na väzbu kanála LDAP 2020, 2023 a 2024 a požiadavky na podpisovanie LDAP pre Windows (KB4520412)

Úvod

Väzba kanála LDAP a podpisovanie LDAP poskytujú spôsoby na zvýšenie zabezpečenia komunikácie medzi klientmi LDAP a radičmi domény služby Active Directory. Množina nebezpečných predvolených konfigurácií pre väzbu kanála LDAP a podpisovanie LDAP existujú v radičoch domény služby Active Directory, ktoré umožňujú klientom LDAP komunikovať s nimi bez vynútenia väzby kanála LDAP a podpisovania LDAP. To môže otvoriť radiče domény služby Active Directory na zvýšenie zraniteľnosti oprávnenia.

Toto nedostatočné zabezpečenie by mohlo umožniť útočníkovi v strede úspešne preposlať žiadosť o overenie na doménový server spoločnosti Microsoft, ktorý nebol nakonfigurovaný tak, aby vyžadoval väzbu kanála, podpisovanie alebo utesnenie prichádzajúcich pripojení.

Spoločnosť Microsoft odporúča správcom vykonať zmeny, ktoré sú popísané v ADV190023.

10. marca 2020 riešime túto zraniteľnosť poskytnutím nasledujúcich možností pre správcov na stvrdnutie konfigurácií väzby kanála LDAP pre radiče domény služby Active Directory:

Radič domény: Požiadavky tokenu väzby kanála servera LDAP jazyka“.
Podpisové udalosti 3039, 3040 a 3041 kanálových tokenov väzby (CBT) s odosielateľom udalosti Microsoft-Windows-Active Directory_DomainService v denníku udalostí adresárovej služby.

Dôležité: Aktualizácie a aktualizácie z 10. marca 2020 v dohľadnej budúcnosti nezmenia predvolené politiky väzby kanála LDAP ani ich ekvivalent databázy Registry v nových alebo existujúcich radičoch domén služby Active Directory.

Radič domény podpisu LDAP: Politika požiadaviek na podpisovanie servera LDAP už existuje vo všetkých podporovaných verziách Windowsu. Počnúc systémom Windows Server 2022, 23H2 Edition budú všetky nové verzie Windowsu obsahovať všetky zmeny v tomto článku.

Prečo je táto zmena potrebná

Zabezpečenie radičov domény služby Active Directory možno výrazne zlepšiť konfiguráciou servera tak, aby odmietol väzby LDAP (Simple Authentication and Security Layer) SASL, ktoré nevyžadujú podpísanie (overenie integrity) alebo odmietnutie jednoduchých viazaní LDAP, ktoré sa vykonávajú pri pripojení so zrozumiteľným textom (bez šifrovania SSL/TLS). Väzby SASL môžu obsahovať protokoly, ako napríklad Negotiate, Kerberos, NTLM a Digest.

Nepodpísaný sieťový prenos je náchylný na útoky typu Replay, v ktorých útočník zachytí pokus o overenie a vydanie žiadosti. Útočník môže opätovne použiť lístok na zosobnenie legitímneho používateľa. Okrem toho je nepodpísaný sieťový prenos náchylný na útoky typu man-in-the-middle (MiTM), pri ktorých votrelec zachytáva pakety medzi klientom a serverom, zmení pakety a potom ich prepošle na server. Ak sa to vyskytne na radiči domény služby Active Directory, útočník môže spôsobiť, že server bude rozhodovať na základe sfalšovaných požiadaviek klienta LDAP. LDAPS používa na pripojenie klientov a serverov vlastný jedinečný sieťový port. Predvolený port pre LDAP je port 389, ale LDAPS používa port 636 a vytvára SSL/TLS pri pripojení s klientom.

Tokeny väzby kanála pomáhajú zabezpečiť overovanie LDAP cez SSL/TLS pred útokmi typu man-in-the-middle.

Aktualizácie z 10. marca 2020

Dôležité Aktualizácie z 10. marca 2020 nemenia predvolené politiky viazania kanála LDAP ani ich ekvivalent databázy Registry v nových alebo existujúcich radičoch domén služby Active Directory.

Aktualizácie Windowsu, ktoré budú vydané 10. marca 2020, pridajú nasledujúce funkcie:

Nové udalosti sa zapíšu do Zobrazovač udalostí súvisiace s väzbou kanála LDAP. Podrobnosti o týchto udalostiach nájdete v tabuľke 1 a tabuľke 2 .
Nový radič domény: Požiadavky na token väzby kanála servera LDAP skupinová politika na konfiguráciu väzby kanála LDAP v podporovaných zariadeniach.

Priradenie medzi nastaveniami politiky podpisovania LDAP a nastaveniami databázy Registry je zahrnuté nasledovne:

Nastavenie politiky: "Radič domény: Požiadavky na podpisovanie servera LDAP"
Nastavenie databázy Registry: LDAPServerIntegrity (LDAPServerIntegrity)
Údajový typ: DWORD
Cesta k databáze Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavenie skupinová politika	Nastavenie databázy Registry
Žiadne	1
Vyžadovať podpisovanie	2

Priradenie medzi nastaveniami politiky väzby kanála LDAP a nastaveniami databázy Registry je zahrnuté nasledovne:

Nastavenie politiky: "Radič domény: Požiadavky tokenu väzby kanála servera LDAP"
Nastavenie databázy Registry: LdapEnforceChannelBinding (LdapEnforceChannelBinding)
Údajový typ: DWORD
Cesta k databáze Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

nastavenie skupinová politika	Nastavenie databázy Registry
Nikdy	0
Ak je podporovaná	1
Vždy	2

Tabuľka 1: Podpisové udalosti protokolu LDAP

	Popis	Spúšť
2886	Zabezpečenie týchto radičov domény možno výrazne zlepšiť konfiguráciou servera na vynútenie overenia podpisovania LDAP.	Spúšťa sa každých 24 hodín pri spustení alebo spustení služby, ak je skupinová politika nastavená na možnosť Žiadne. Minimálna úroveň zapisovania do denníka: 0 alebo vyššia
2887	Zabezpečenie týchto radičov domény je možné zlepšiť nakonfigurovaním tak, aby odmietali jednoduché žiadosti o väzby LDAP a iné požiadavky na väzby, ktoré nezahŕňajú podpisovanie LDAP.	Spúšťa sa každých 24 hodín, keď je skupinová politika nastavená na možnosť Žiadne a dokončilo sa aspoň jedno nezabezpečené väzby. Minimálna úroveň zapisovania do denníka: 0 alebo vyššia
2888	Zabezpečenie týchto radičov domény je možné zlepšiť nakonfigurovaním tak, aby odmietali jednoduché žiadosti o väzby LDAP a iné požiadavky na väzby, ktoré nezahŕňajú podpisovanie LDAP.	Spúšťa sa každých 24 hodín, keď je skupinová politika nastavená na možnosť Vyžadovať podpis a najmenej jedna nechránená väzba bola odmietnutá. Minimálna úroveň zapisovania do denníka: 0 alebo vyššia
2889	Zabezpečenie týchto radičov domény je možné zlepšiť nakonfigurovaním tak, aby odmietali jednoduché žiadosti o väzby LDAP a iné požiadavky na väzby, ktoré nezahŕňajú podpisovanie LDAP.	Spustí sa, keď klient nepoužíva podpisovanie pre väzby na relácie na porte 389. Minimálna úroveň zapisovania do denníka: 2 alebo vyššia

Tabuľka 2: Udalosti CBT

Udalosť	Popis	Spúšť
3039	Nasledujúci klient vykonal LDAP naviazanie cez SSL/TLS a zlyhalo overenie tokenu väzby kanála LDAP.	Spúšťa sa za týchto okolností: Keď sa klient pokúsi viazať s nesprávne formátovaným tokenom väzby kanála (CBT), ak je skupinová politika CBT nastavená na možnosť Kedy je podporovaná alebo Vždy. Keď klient, ktorý je schopný väzby kanála neodosiela CBT, ak CBT skupinová politika je nastavená na možnosť Keď je podporovaný. Klient dokáže vytvoriť väzbu kanála, ak je funkcia EPA nainštalovaná alebo dostupná v operačnom systéme a nie je vypnutá prostredníctvom nastavenia databázy Registry SuppressExtendedProtection. Ďalšie informácie nájdete v téme KB5021989. Ak klient neodosiela CBT, ak je skupinová politika CBT nastavená na možnosť Vždy. Minimálna úroveň zapisovania do denníka: 2
3040	Počas predchádzajúceho 24-hodinového obdobia sa vykonalo # nechránených LDAP viazaní.	Spúšťa sa každých 24 hodín, keď je cbt skupinová politika nastavená na hodnotu Nikdy a dokončilo sa aspoň jedno nezabezpečené väzby. Minimálna úroveň zapisovania do denníka: 0
3041	Zabezpečenie tohto adresárového servera možno výrazne zlepšiť konfiguráciou servera na vynútenie overenia tokenov väzby kanála LDAP.	Spúšťa sa každých 24 hodín pri spustení alebo spustení služby, ak je skupinová politika CBT nastavená na hodnotu Nikdy. Minimálna úroveň zapisovania do denníka: 0

Ak chcete nastaviť úroveň zapisovania do denníka v databáze Registry, použite príkaz, ktorý sa podobá nasledujúcemu:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Ďalšie informácie o konfigurácii zapisovania diagnostických udalostí do denníka služby Active Directory nájdete v téme Konfigurácia zapisovania diagnostických udalostí služby Active Directory do denníka LDS.

Aktualizácie z 8. augusta 2023

Niektoré klientske počítače nemôžu používať tokeny väzby kanála LDAP na naviazanie na radiče domény služby Active Directory. Spoločnosť Microsoft vydá aktualizáciu zabezpečenia 8. augusta 2023. V systéme Windows Server 2022 táto aktualizácia pridáva možnosti pre správcov na auditovanie týchto klientov. Udalosti CBT 3074 a 3075 môžete povoliť pomocou zdroja udalostí **Microsoft-Windows-ActiveDirectory_DomainService** v denníku udalostí adresárovej služby.

Dôležité Aktualizácia z 8. augusta 2023 nemení podpisovanie LDAP, predvolené politiky väzby kanála LDAP ani ich ekvivalent databázy Registry v nových alebo existujúcich DCs služby Active Directory.

Na tomto mieste sa vzťahujú aj všetky pokyny v časti s aktualizáciami z marca 2020. Nové udalosti auditovania si budú vyžadovať nastavenia politiky a databázy Registry uvedené v pokynoch uvedených vyššie. K dispozícii je aj krok povolenia na zobrazenie nových udalostí auditu. Podrobnosti o novej implementácii nájdete v časti Odporúčané akcie nižšie.

Tabuľka 3: Udalosti CBT

Udalosť

Popis

Spúšť

3074

Nasledujúci klient vykonal väzbu LDAP cez SSL/TLS a zlyhalo by overenie tokenu väzby kanála, ak by bol adresárový server nakonfigurovaný na vynútenie overenia tokenov väzby kanála.

Spúšťa sa za týchto okolností:

Keď sa klient pokúsi viazať s nesprávne formátovaným tokenom väzby kanála (CBT)

Minimálna úroveň zapisovania do denníka: 2

3075

Nasledujúci klient vykonal väzbu LDAP cez SSL/TLS a neposkytol informácie o väzbe kanála. Keď je tento adresárový server nakonfigurovaný na vynútenie overenia tokenov väzby kanála, táto operácia väzby bude odmietnutá.

Spúšťa sa za týchto okolností:

Keď klient, ktorý je schopný väzby kanála neodosiela CBT
Klient dokáže vytvoriť väzbu kanála, ak je funkcia EPA nainštalovaná alebo dostupná v operačnom systéme a nie je vypnutá prostredníctvom nastavenia databázy Registry SuppressExtendedProtection. Ďalšie informácie nájdete v téme KB5021989.

Minimálna úroveň zapisovania do denníka: 2

Poznámka Keď nastavíte úroveň zapisovania do denníka aspoň na hodnotu 2, zaznamená sa identifikácia udalosti 3074. Správcovia môžu toto nastavenie použiť na auditovanie prostredia pre klientov, ktorí nepracujú s tokenmi väzby kanála. Udalosti budú obsahovať nasledujúce diagnostické informácie na identifikáciu klientov:

Client IP address: 192.168.10.5:62709
Identita, o ktorá sa klient pokúsil overiť ako:
CONTOSO\Správca
Klient podporuje väzbu kanála:FALSE
Klient povolený v podporovanom režime:TRUE
Príznaky výsledkov auditu:0x42

Aktualizácie z 10. októbra 2023

Zmeny auditovania pridané v auguste 2023 sú teraz k dispozícii v systéme Windows Server 2019. V prípade tohto operačného systému táto aktualizácia pridáva možnosti pre správcov na audit týchto klientov. Môžete povoliť CBT udalosti 3074 a 3075. Použite zdroj udalostí **Microsoft-Windows-ActiveDirectory_DomainService** v denníku udalostí adresárovej služby.

Dôležité Aktualizácia z 10. októbra 2023 nemení podpisovanie LDAP, predvolené politiky väzby kanála LDAP ani ich ekvivalent databázy Registry v nových alebo existujúcich DCs služby Active Directory.

Na tomto mieste sa vzťahujú aj všetky pokyny v časti s aktualizáciami z marca 2020. Nové udalosti auditovania si budú vyžadovať nastavenia politiky a databázy Registry uvedené v pokynoch uvedených vyššie. K dispozícii je aj krok povolenia na zobrazenie nových udalostí auditu. Podrobnosti o novej implementácii nájdete v časti Odporúčané akcie nižšie.

Aktualizácie zo 14. novembra 2023

Zmeny auditovania pridané v auguste 2023 sú teraz k dispozícii v systéme Windows Server 2022. Nie je potrebné inštalovať MSI ani vytvárať politiky, ako je uvedené v kroku 3 odporúčaných akcií.

Aktualizácie z 9. januára 2024

Zmeny auditovania pridané v októbri 2023 sú teraz k dispozícii v systéme Windows Server 2019. Nie je potrebné inštalovať MSI ani vytvárať politiky, ako je uvedené v kroku 3 odporúčaných akcií.

Odporúčané akcie

Zákazníkom dôrazne odporúčame, aby pri najbližšej príležitosti podnikli tieto kroky:

Uistite sa, že aktualizácie Windowsu z 10. marca 2020 alebo novšej verzie sú nainštalované v počítačoch s rolami radiča domény (DC). Ak chcete povoliť udalosti auditu väzby kanála LDAP, uistite sa, že 8. augusta 2023 alebo novšie aktualizácie sú nainštalované v systémoch Windows Server 2022 alebo Server 2019 DCs.
Povoľte diagnostické zapisovanie udalostí LDAP do denníka 2 alebo novšej verzie.
Povoľte aktualizácie udalosti auditovania z augusta 2023 alebo októbra 2023 pomocou skupinová politika. Tento krok môžete vynechať, ak máte nainštalované aktualizácie z novembra 2023 alebo novšie v systéme Windows Server 2022. Ak máte v systéme Windows Server 2019 nainštalované aktualizácie z januára 2024 alebo novšej verzie, tento krok môžete vynechať.
- Z Centra sťahovania softvéru si stiahnite dve povolenia MSI pre jednotlivé verzie operačného systému:
- Rozbaľte MSI a nainštalujte nové súbory ADMX, ktoré obsahujú definície politiky. Ak na skupinová politika používate Central Store, skopírujte súbory ADMX do centrálneho ukladacieho priestoru.
- Použite príslušné politiky na OU radičov domény alebo na podmnožinu vašich dcerov Servera 2022 alebo Servera 2019.
- Reštartujte jednosmerný prúd, aby sa zmeny prejavili.
Monitorovanie denníka udalostí adresárovej služby vo všetkých počítačoch s rolou DC filtrovaných pre:
- Udalosť zlyhania podpisu LDAP 2889 v tabuľke 1.
- Udalosť zlyhania väzby kanála LDAP 3039 v tabuľke 2.
- Udalosti auditu väzby kanála LDAP 3074 a 3075 v tabuľke 3.
  
  Poznámka Udalosti 3039, 3074 a 3075 je možné generovať len vtedy, keď je väzba kanála nastavená na možnosť Keď je podporovaná alebo Vždy.
Identifikujte make, model a typ zariadenia pre každú IP adresu citovanú:
- Udalosť 2889 na uskutočňovanie nepodpísaných volaní LDAP
- Udalosť 3039 na nepoužívanie väzby kanála LDAP
- Udalosť 3074 alebo 3075 za to, že nie je schopná väzby kanála LDAP

Typy zariadení

Zoskupte typy zariadení do 1 z 3 kategórií:

Zariadenie alebo smerovač -
- Obráťte sa na poskytovateľa zariadenia.
Zariadenie, ktoré nie je spustené v operačnom systéme Windows –
- Overte, či sú v operačnom systéme a aplikácii podporované väzby kanála LDAP aj podpisovanie LDAP. Postupujte tak, že pracujete s operačným systémom a poskytovateľom aplikácií.
Zariadenie, ktoré funguje v operačnom systéme Windows –
- Podpisovanie LDAP je k dispozícii pre všetky aplikácie vo všetkých podporovaných verziách Windowsu. Overte, či vaša aplikácia alebo služba používa podpisovanie LDAP.
- Väzba kanála LDAP vyžaduje, aby všetky zariadenia s Windowsom mali nainštalovaný CVE-2017-8563 . Overte, či vaša aplikácia alebo služba používa väzbu kanála LDAP.

Použite lokálne, vzdialené, všeobecné alebo špecifické nástroje na sledovanie zariadenia. Patria sem záznamy siete, správca procesov alebo sledovania ladenia. Určte, či základný operačný systém, služba alebo aplikácia vykonávajú nepodpísané väzby LDAP alebo nepoužívajú CBT.

Použite Správcu úloh systému Windows alebo ekvivalent na priradenie ID procesu k názvom procesov, služieb a aplikácií.

Plán aktualizácie zabezpečenia

Aktualizácia z 10. marca 2020 pridala správcom ovládacie prvky na spevnenie konfigurácií pre väzbu kanála LDAP a podpisovanie protokolu LDAP v radičoch domény služby Active Directory. Aktualizácie z 8. a 10. októbra 2023 pridajú správcom možnosti auditovať klientske počítače, ktoré nemôžu používať tokeny väzby kanála LDAP. Zákazníkom dôrazne odporúčame, aby pri najbližšej príležitosti prijali kroky odporúčané v tomto článku.

Cieľový dátum	Udalosť	Vzťahuje sa na
10. marca 2020	Povinné: Aktualizácia zabezpečenia je k dispozícii v Windows Update pre všetky podporované platformy Windowsu. Poznámka V prípade platforiem windowsu, ktoré nie sú štandardne podporované, bude táto aktualizácia zabezpečenia k dispozícii len prostredníctvom príslušných programov rozšírenej podpory. Podporu väzby kanála LDAP pridala verzia CVE-2017-8563 v systéme Windows Server 2008 a novších verziách. Tokeny väzby kanála sú podporované v Windows 10 verzii 1709 a novších verziách. Windows XP nepodporuje väzbu kanála LDAP a zlyhalo by, keď je väzba kanála LDAP nakonfigurovaná pomocou hodnoty Always, ale bola by v súčinnosti s DCs nakonfigurovanými na používanie uvoľnenejšieho nastavenia väzby kanála LDAP v prípade, že je podporovaná.	Windows Server 2022 Windows 10, verzia 20H2 Windows 10, verzia 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (rozšírená aktualizácia zabezpečenia (ESU))
8. augusta 2023	Pridá udalosti auditovania tokenu väzby kanála LDAP (3074 & 3075). V systéme Windows Server 2022 sú predvolene vypnuté.	Windows Server 2022
10. október 2023	Pridá udalosti auditovania tokenu väzby kanála LDAP (3074 & 3075). V systéme Windows Server 2019 sú predvolene vypnuté.	Windows Server 2019
14. novembra 2023	Udalosti auditovania tokenu väzby kanála LDAP sú k dispozícii v systéme Windows Server 2022 bez inštalácie enablement MSI (ako je popísané v kroku 3 odporúčaných akcií).	Windows Server 2022
9. januára 2024	Udalosti auditovania tokenu väzby kanála LDAP sú k dispozícii v systéme Windows Server 2019 bez nainštalovania enablement MSI (ako je popísané v kroku 3 odporúčaných akcií).	Windows Server 2019

Najčastejšie otázky

Odpovede na najčastejšie otázky o väzbe kanála LDAP a podpisovaní LDAP v radičoch domény služby Active Directory nájdete v témach: