2020 LDAP-kanalbindnings- och LDAP-signeringskrav för Windows

Sammanfattning

LDAP-kanalbindning och LDAP-signering är sätt att öka säkerheten för nätverkskommunikationen mellan Active Directory Domain Services (AD DS) eller Active Directory Lightweight Directory Services (AD LDS) och dess klienter. Det finns en säkerhetsrisk i standardkonfigurationen för LDAP-kanalbindning (Lightweight Directory Access Protocol) och LDAP-signering som kan exponera Active Directory-domänkontrollanter för risk för behörighetsökning. Microsoft Security Advisory ADV190023 hanterar problemet genom att rekommendera administratörer att aktivera LDAP-kanalbindning och LDAP-signering på Active Directory-domänkontrollanter. Denna härdning måste utföras manuellt tills en säkerhetsuppdatering släpps som aktiverar dessa inställningar som standard. 

Microsoft tänker släppa en säkerhetsuppdatering på Windows Update för att aktivera LDAP-kanalbindning och LDAP-signering i mars 2020.

Varför är den här ändringen nödvändig?

Microsoft rekommenderar att administratörer gör de härdningsändringar som beskrivs i ADV190023 eftersom standardinställningarna innebär en säkerhetsrisk för behörighetshöjning i Microsoft Windows som kan göra att MITM-angripare (man-in-the-middle) kan vidarebefordra en autentiseringsbegäran till en Windows LDAP-server, till exempel ett system som kör Active Directory Domain Services eller Active Directory Lightweight Directory Services, som inte har konfigurerats för att kräva signering eller försegling för inkommande anslutningar. Säkerheten för en katalogserver kan förbättras markant genom att konfigurera servern för att avslå SASL (Simple Authentication and Security Layer) LDAP-bindningar som inte begär signering (integritetsverifiering) eller avslå enkla LDAP-bindningar som utförs för klartextanslutning (ej SSL/TLS-krypterad). SASL kan innefatta protokoll som Negotiate, Kerberos, NTLM och Digest. Osignerad nätverkstrafik är mottaglig för repetitionsattacker där en inkräktare avlyssnar autentiseringsförsöket och utfärdandet av en biljett. Inkräktaren kan återanvända biljetten för att personifiera den legitima användaren. Dessutom är osignerad nätverkstrafik känslig för MITM-angrepp (man-in-the-middle) där en inkräktare fångar upp paket mellan klienten och servern, ändrar paketen och sedan vidarebefordrar dem till servern. Om detta händer på en LDAP-server kan en angripare göra så att en server fattar beslut baserade på förfalskade begäranden från LDAP-klienten.

Rekommenderade åtgärder

Vi rekommenderar starkt att administratörer aktiverar LDAP-kanalbindning och LDAP-signering (mellan nu och mars 2020) för att hitta och åtgärda kompatibilitetsproblem som rör operativsystem, program eller enheter i deras miljö. Om ett kompatibilitetsproblem påträffas måste administratörerna kontakta tillverkaren för operativsystemet, programmet eller enheten för support.

Viktigt! Alla OS-versioner, program och enheter som utför en MITM-inspektion (man-in-the-middle) av LDAP-trafik berörs troligen av denna härdningsändring.

Schema för säkerhetsuppdatering

Microsoft har följande schema för att aktivera LDAP-kanalbindnings och LDAP-signeringssupport. Observera att tidslinjen nedan kan komma att ändras. Vi uppdaterar sidan så snart processen börjar och vid behov.

Måldatum

Händelse

Gäller

13 augusti 2019

Vidta åtgärd: Microsoft Security Advisory ADV190023 publicerades för att introducera LDAP-kanalbindnings- och LDAP-signeringssupport. Administratörer måste testa dessa inställningar i sin miljö efter att de har ändrat dem manuellt på sina servrar.

Windows Server 2008 SP2,
Windows 7 SP1,
Windows Server 2008 R2 SP1, 
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

mars 2020

Obligatoriskt: Säkerhetsuppdatering tillgänglig på Windows Update för alla Windows-plattformar som ska aktivera LDAP-kanalbindning och LDAP-signering på Active Directory-servrar som standard.

Obs! För Windows-plattformar som inte längre har standardsupport är den här säkerhetsuppdateringen endast tillgänglig via tillämpliga program för utökad support.

Windows Server 2008 SP2 (Utökade säkerhetsuppdateringar (ESU)) ,
Windows 7 SP1 (ESU),
Windows Server 2008 R2 SP1 (ESU),
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909

Vanliga frågor

Utifrån feedback vi har fått föredrar kunderna att vi släpper uppdateringen efter semestern 2019. Många administratörer begränsar konfigurationsändringar under semestertider. Administratörer behöver också tid att testa dessa konfigurationsändringar och justera sin miljö vid behov. Det här utgivningsschemat är avsett att ge administratörer ledtid för att förbereda inför den här ändringen.

 

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×