Windows için 2020, 2023 ve 2024 LDAP kanalı bağlama ve LDAP imzalama gereksinimleri (KB4520412)

Giriş

LDAP kanalı bağlama ve LDAP imzalama, LDAP istemcileri ile Active Directory etki alanı denetleyicileri arasındaki iletişimlerin güvenliğini artırmanın yollarını sağlar. Active Directory etki alanı denetleyicilerinde LDAP kanal bağlaması ve LDAP imzalamayı zorunlu tutmadan LDAP istemcilerinin kendileriyle iletişim kurmasına olanak sağlayan, LDAP kanal bağlaması ve LDAP imzalama için güvenli olmayan bir varsayılan yapılandırma kümesi vardır. Bu, Active Directory etki alanı denetleyicilerini ayrıcalık yükseltme güvenlik açığına açabilir.

Bu güvenlik açığı, ortadaki bir adamın gelen bağlantılarda kanal bağlama, imzalama veya mühürleme gerektirecek şekilde yapılandırılmamış bir kimlik doğrulama isteğini Microsoft etki alanı sunucusuna başarıyla iletmesine olanak sağlayabilir.

Microsoft, yöneticilerin ADV190023'de açıklanan sağlamlaştırma değişikliklerini yapmasını önerir.

10 Mart 2020'de, yöneticilere Active Directory etki alanı denetleyicilerinde LDAP kanal bağlama yapılandırmalarını sağlamlaştırmaları için aşağıdaki seçenekleri sağlayarak bu güvenlik açığını ele alıyoruz:

Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri Grup İlkesi.
Dizin Hizmeti olay günlüğünde olay gönderen Microsoft-Windows-Active Directory_DomainService ile 3039, 3040 ve 3041 olaylarını imzalayan Kanal Bağlama Belirteçleri (CBT).

Önemli: 10 Mart 2020 güncelleştirmeleri ve öngörülebilir gelecekte yapılan güncelleştirmeler, yeni veya mevcut Active Directory etki alanı denetleyicilerinde LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların kayıt defteri eşdeğerini değiştirmez.

LDAP imzalama Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri ilkesi windows'un desteklenen tüm sürümlerinde zaten var. Windows Server 2022, 23H2 Edition'dan başlayarak, Windows'un tüm yeni sürümleri bu makaledeki tüm değişiklikleri içerecektir.

Bu değişiklik neden gerekli

Active Directory etki alanı denetleyicilerinin güvenliği, sunucuyu imzalama (bütünlük doğrulaması) istemeyen Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek veya net bir metin (SSL/TLS şifreli olmayan) bağlantısında gerçekleştirilen LDAP basit bağlamalarını reddedecek şekilde yapılandırılarak önemli ölçüde geliştirilebilir. SASL'ler; Anlaş, Kerberos, NTLM ve Özet protokolleri gibi protokolleri içerebilir.

İmzalanmamış ağ trafiği, yetkisiz erişenin kimlik doğrulaması girişimini ve bir anahtar verilmesini kestiği saldırıların yeniden yürütülmesine maruz kalabilir. Yetkisiz erişen, yasal kullanıcının kimliğine bürünmek için anahtarı yeniden kullanabilir. Ayrıca, imzalanmamış ağ trafiği, bir davetsiz misafirin istemci ile sunucu arasındaki paketleri yakaladığı, paketleri değiştirdiği ve ardından sunucuya ilettiği ortadaki adam (MiTM) saldırılarına duyarlıdır. Bu durum bir Active Directory Etki Alanı Denetleyicisinde oluşursa, saldırgan sunucunun LDAP istemcisinden gelen sahte istekleri temel alan kararlar vermesine neden olabilir. LDAPS, istemcileri ve sunucuları bağlamak için kendi ayrı ağ bağlantı noktasını kullanır. LDAP için varsayılan bağlantı noktası 389 bağlantı noktasıdır, ancak LDAPS 636 numaralı bağlantı noktasını kullanır ve istemciye bağlandıktan sonra SSL/TLS oluşturur.

Kanal bağlama belirteçleri, SSL/TLS üzerinden LDAP kimlik doğrulamasının ortadaki adam saldırılarına karşı daha güvenli hale getirmesine yardımcı olur.

10 Mart 2020 güncelleştirmeleri

Önemli 10 Mart 2020 güncelleştirmeleri LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini ya da yeni veya mevcut Active Directory etki alanı denetleyicilerindeki kayıt defteri eşdeğerlerini değiştirmez.

10 Mart 2020'de yayınlanacak Windows güncelleştirmeleri aşağıdaki özellikleri ekler:

LDAP kanal bağlaması ile ilgili Olay Görüntüleyicisi yeni olaylar günlüğe kaydedilir. Bu olayların ayrıntıları için bkz. Tablo 1 ve Tablo 2 .
Yeni bir Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri, desteklenen cihazlarda LDAP kanal bağlamasını yapılandırmak için grup ilkesi.

LDAP İmzalama İlkesi ayarları ile kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi eklenir:

İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri"
Kayıt Defteri Ayarı: LDAPServerIntegrity
Datatype: DWORD
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

grup ilkesi Ayarı	Kayıt Defteri Ayarı
Hiçbiri	1
İmzalama Gerektir	2

LDAP Kanal Bağlama İlkesi ayarları ile kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi eklenir:

İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri"
Kayıt Defteri Ayarı: LdapEnforceChannelBinding
Datatype: DWORD
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

grup ilkesi Ayarı	Kayıt Defteri Ayarı
Hiçbir zaman	0
Desteklendiğinde	1
Her zaman	2

Tablo 1: LDAP imzalama olayları

	Açıklama	Tetikleyici
2886	Bu etki alanı denetleyicilerinin güvenliği, sunucuyu LDAP imzalama doğrulamasını zorunlu kılacak şekilde yapılandırarak önemli ölçüde geliştirilebilir.	grup ilkesi Yok olarak ayarlandıysa, her 24 saatte bir başlatma veya hizmet başlangıcında tetikleniyor. En Düşük Günlük Düzeyi: 0 veya üzeri
2887	Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir.	grup ilkesi Yok olarak ayarlandığında ve en az bir korumasız bağlama tamamlandığında her 24 saatte bir tetiklendi. En Düşük Günlük Düzeyi: 0 veya üzeri
2888	Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir.	grup ilkesi İmzalama Gerektir olarak ayarlandığında ve en az bir korumasız bağlama reddedildiğinde her 24 saatte bir tetiklendi. En Düşük Günlük Düzeyi: 0 veya üzeri
2889	Bu etki alanı denetleyicilerinin güvenliği, basit LDAP bağlama isteklerini ve LDAP imzalama içermeyen diğer bağlama isteklerini reddedecek şekilde yapılandırılarak geliştirilebilir.	İstemci 389 numaralı bağlantı noktasındaki oturumlarda bağlamalar için imzalama kullanmadığında tetiklenen. En Düşük Günlük Düzeyi: 2 veya üzeri

Tablo 2: CBT olayları

Olay	Açıklama	Tetikleyici
3039	Aşağıdaki istemci SSL/TLS üzerinden LDAP bağlaması gerçekleştirdi ve LDAP kanalı bağlama belirteci doğrulaması başarısız oldu.	Aşağıdaki koşullardan herhangi birinde tetiklenen: Bir istemci, CBT grup ilkesi Desteklendiğinde veya Her Zaman olarak ayarlandıysa, hatalı biçimlendirilmiş bir Kanal Bağlama Belirteci (CBT) ile bağlanmayı denediğinde. Kanal bağlama özelliğine sahip bir istemci, CBT grup ilkesi Desteklendiğinde olarak ayarlandıysa CBT göndermez. EPA özelliği işletim sisteminde yüklüyse veya kullanılabiliyorsa ve SuppressExtendedProtection kayıt defteri ayarı aracılığıyla devre dışı bırakılmadıysa, istemci kanal bağlama özelliğine sahiptir. Daha fazla bilgi için bkz. KB5021989. Bir istemci CBT göndermediğinde, CBT grup ilkesi Her Zaman olarak ayarlanırsa. En düşük günlük düzeyi: 2
3040	Önceki 24 saatlik süre boyunca korumasız LDAP bağlamalarının sayısı gerçekleştirildi.	CBT grup ilkesi Hiçbir zaman olarak ayarlandığında ve en az bir korumasız bağlama tamamlandığında her 24 saatte bir tetiklendi. En düşük günlük düzeyi: 0
3041	Bu dizin sunucusunun güvenliği, sunucuyu LDAP kanalı bağlama belirteçlerinin doğrulanması için yapılandırılarak önemli ölçüde geliştirilebilir.	CBT grup ilkesi Hiçbir Zaman olarak ayarlandıysa, her 24 saatte bir başlatma veya hizmet başlangıcında tetikleniyor. En düşük günlük düzeyi: 0

Kayıt defterinde günlüğe kaydetme düzeyini ayarlamak için aşağıdakine benzer bir komut kullanın:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Active Directory tanılama olay günlüğünü yapılandırma hakkında daha fazla bilgi için bkz. Active Directory ve LDS tanılama olay günlüğünü yapılandırma.

8 Ağustos 2023 güncelleştirmeleri

Bazı istemci makineleri, Active Directory etki alanı denetleyicilerine (DC) bağlanmak için LDAP kanalı bağlama belirteçlerini kullanamaz. Microsoft, 8 Ağustos 2023'te bir güvenlik güncelleştirmesi yayınlayacak. Windows Server 2022 için, bu güncelleştirme yöneticilerin bu istemcileri denetlemesine yönelik seçenekler ekler. Dizin Hizmeti olay günlüğünde olay kaynağı **Microsoft-Windows-ActiveDirectory_DomainService** ile 3074 ve 3075 CBT olaylarını etkinleştirebilirsiniz.

Önemli 8 Ağustos 2023 güncelleştirmesi LDAP imzalamayı, LDAP kanalı bağlama varsayılan ilkelerini veya yeni veya mevcut Active Directory DC'lerinde bunların kayıt defteri eşdeğerini değiştirmez.

Mart 2020 güncelleştirmeleri bölümündeki tüm yönergeler burada da geçerlidir. Yeni denetim olayları, yukarıdaki kılavuzda özetlenen ilke ve kayıt defteri ayarlarını gerektirir. Yeni denetim olaylarını görmek için bir etkinleştirme adımı da vardır. Yeni uygulama ayrıntıları aşağıdaki Önerilen Eylemler bölümündedir.

Tablo 3: CBT olayları

Olay

Açıklama

Tetikleyici

3074

Aşağıdaki istemci SSL/TLS üzerinden BIR LDAP bağlaması gerçekleştirmiştir ve dizin sunucusu Kanal Bağlama Belirteçlerinin doğrulanmasına zorlayacak şekilde yapılandırılmışsa kanal bağlama belirteci doğrulamasında başarısız olurdu.

Aşağıdaki koşullardan herhangi birinde tetiklenen:

İstemci hatalı biçimlendirilmiş kanal bağlama belirteci (CBT) ile bağlamayı denediğinde

En düşük günlük düzeyi: 2

3075

Aşağıdaki istemci SSL/TLS üzerinden LDAP bağlaması gerçekleştirdi ve Kanal Bağlama Bilgileri sağlamadı. Bu dizin sunucusu Kanal Bağlama Belirteçlerinin doğrulamasını zorunlu kılacak şekilde yapılandırıldığında, bu bağlama işlemi reddedilir.

Aşağıdaki koşullardan herhangi birinde tetiklenen:

Kanal bağlama özelliğine sahip bir istemci CBT göndermediğinde
EPA özelliği işletim sisteminde yüklüyse veya kullanılabiliyorsa ve SuppressExtendedProtection kayıt defteri ayarı aracılığıyla devre dışı bırakılmadıysa, istemci kanal bağlama özelliğine sahiptir. Daha fazla bilgi için bkz. KB5021989.

En düşük günlük düzeyi: 2

Not Günlük düzeyini en az 2 olarak ayarladığınızda Olay Kimliği 3074 günlüğe kaydedilir. Yöneticiler, kanal bağlama belirteçleriyle çalışmayan istemciler için ortamlarını denetlemek için bunu kullanabilir. Olaylar, istemcileri tanımlamak için aşağıdaki tanılama bilgilerini içerir:

Client IP address: 192.168.10.5:62709
İstemcinin kimlik doğrulamayı denediği kimlik:
CONTOSO\Yönetici
İstemci, kanal bağlamayı destekler:YANLIŞ
Desteklenen modda istemciye izin verilir:TRUE
Denetim sonucu bayrakları:0x42

10 Ekim 2023 güncelleştirmeleri

Ağustos 2023'te eklenen denetim değişiklikleri artık Windows Server 2019'da kullanılabilir. Bu işletim sistemi için, bu güncelleştirme yöneticilerin bu istemcileri denetlemesine yönelik seçenekler ekler. CBT olayları 3074 ve 3075'i etkinleştirebilirsiniz. Dizin Hizmeti olay günlüğünde **Microsoft-Windows-ActiveDirectory_DomainService** olay kaynağını kullanın.

Önemli 10 Ekim 2023 güncelleştirmesi LDAP imzalamayı, LDAP kanalı bağlama varsayılan ilkelerini veya yeni veya mevcut Active Directory DC'lerinde bunların kayıt defteri eşdeğerini değiştirmez.

Mart 2020 güncelleştirmeleri bölümündeki tüm yönergeler burada da geçerlidir. Yeni denetim olayları, yukarıdaki kılavuzda özetlenen ilke ve kayıt defteri ayarlarını gerektirir. Yeni denetim olaylarını görmek için bir etkinleştirme adımı da vardır. Yeni uygulama ayrıntıları aşağıdaki Önerilen Eylemler bölümündedir.

14 Kasım 2023 güncelleştirmeleri

Ağustos 2023'te eklenen denetim değişiklikleri artık Windows Server 2022'de kullanılabilir. Önerilen Eylemler'in 3. Adımında belirtildiği gibi MSI'leri yüklemeniz veya ilke oluşturmanız gerekmez.

9 Ocak 2024 güncelleştirmeleri

Ekim 2023'te eklenen denetim değişiklikleri artık Windows Server 2019'da kullanılabilir. Önerilen Eylemler'in 3. Adımında belirtildiği gibi MSI'leri yüklemeniz veya ilke oluşturmanız gerekmez.

Önerilen işlemler

Müşterilere en erken fırsatta aşağıdaki adımları atmalarını kesinlikle öneririz:

Etki alanı denetleyicisi (DC) rol bilgisayarlarına 10 Mart 2020 veya üzeri Windows güncelleştirmelerinin yüklendiğinden emin olun. LDAP Kanal Bağlama denetim olaylarını etkinleştirmek istiyorsanız 8 Ağustos 2023 veya sonraki güncelleştirmelerin Windows Server 2022 veya Server 2019 DC'lerine yüklendiğinden emin olun.
LDAP olayları tanılama günlüğünü 2 veya daha yüksek bir değere etkinleştirin.
grup ilkesi kullanarak Ağustos 2023 veya Ekim 2023 Denetim Olayı güncelleştirmelerini etkinleştirin. Windows Server 2022'de Kasım 2023 veya sonraki güncelleştirmeleri yüklediyseniz bu adımı atlayabilirsiniz. Windows Server 2019'da Ocak 2024 veya üzeri güncelleştirmeleri yüklediyseniz, bu adımı da atlayabilirsiniz.
- İşletim sistemi başına iki etkinleştirme URI'sini Microsoft İndirme Merkezi'nden indirin:
- İlke tanımlarını içeren yeni ADMX dosyalarını yüklemek için MSI'leri genişletin. grup ilkesi için Central Store kullanıyorsanız ADMX dosyalarını Central Store'a kopyalayın.
- İlgili ilkeleri Etki Alanı Denetleyicileri OU'nuza veya Server 2022 veya Server 2019 DC'lerinizin bir alt kümesine uygulayın.
- Değişikliklerin etkili olması için DC'yi yeniden başlatın.
Aşağıdakiler için filtrelenmiş tüm DC rolü bilgisayarlarında Dizin hizmetleri olay günlüğünü izleyin:
- Tablo 1'de LDAP İmzalama hatası olayı 2889.
- Tablo 2'de LDAP Kanal Bağlama hatası olayı 3039.
- Tablo 3'te LDAP Kanal Bağlama denetim olayları 3074 ve 3075.
  
  Not 3039, 3074 ve 3075 olayları yalnızca Kanal Bağlaması Desteklendiğinde veya Her Zaman olarak ayarlandığında oluşturulabilir.
Aşağıdakilerden biri tarafından belirtilen her IP adresi için cihazın türünü, modelini ve türünü belirleyin:
- İmzasız LDAP çağrıları yapmak için olay 2889
- LDAP Kanal Bağlama kullanmamaya yönelik olay 3039
- LDAP Kanal Bağlama özelliğine sahip olmadığı için Olay 3074 veya 3075

Cihaz türleri

Cihaz türlerini 3 kategoriden 1'inde gruplandırın:

Alet veya yönlendirici -
- Cihaz sağlayıcısına başvurun.
Windows işletim sisteminde çalışmayan cihaz -
- hem LDAP kanal bağlamasının hem de LDAP imzalamanın işletim sisteminde ve uygulamada desteklendiğini doğrulayın. Bunu, işletim sistemi ve uygulama sağlayıcısıyla çalışarak yapın.
Windows işletim sisteminde çalışan cihaz -
- LDAP imzalama, desteklenen tüm Windows sürümlerindeki tüm uygulamalar tarafından kullanılabilir. Uygulamanızın veya hizmetinizin LDAP imzalama kullandığını doğrulayın.
- LDAP kanal bağlaması, tüm Windows cihazlarında CVE-2017-8563 yüklü olmasını gerektirir. Uygulamanızın veya hizmetinizin LDAP kanal bağlaması kullandığını doğrulayın.

Yerel, uzak, genel veya cihaza özgü izleme araçlarını kullanın. Bunlar ağ yakalamaları, işlem yöneticisi veya hata ayıklama izlemeleridir. Çekirdek işletim sisteminin, hizmetin veya uygulamanın imzalanmamış LDAP bağlamaları gerçekleştirip gerçekleştirmediğini veya CBT kullanıp kullanmadığını belirleyin.

İşlem kimliğini işlem, hizmet ve uygulama adlarına eşlemek için Windows Görev Yöneticisi'ni veya eşdeğerini kullanın.

Güvenlikle ilgili güncelleştirme zamanlaması

10 Mart 2020 güncelleştirmesi, Active Directory etki alanı denetleyicilerinde LDAP kanalı bağlama ve LDAP imzalama yapılandırmalarını sağlamlaştırmaya yönelik yöneticilere yönelik denetimler ekledi. 8 Ağustos ve 10 Ekim 2023 güncelleştirmeleri, yöneticilerin LDAP kanalı bağlama belirteçlerini kullanamayan istemci makinelerini denetlemesine yönelik seçenekler ekler. Müşterilere bu makalede önerilen eylemleri en erken fırsatta gerçekleştirmelerini kesinlikle öneririz.

Hedef Tarih	Olay	Şunun için geçerlidir:
10 Mart 2020, Saat 20:00	Gerekli: Güvenlik Güncelleştirmesi desteklenen tüm Windows platformları için Windows Update kullanılabilir. Not Standart desteği olmayan Windows platformları için bu güvenlik güncelleştirmesi yalnızca geçerli genişletilmiş destek programları aracılığıyla kullanılabilir. LDAP kanal bağlama desteği, Windows Server 2008 ve sonraki sürümlerde CVE-2017-8563 tarafından eklenmiştir. Kanal bağlama belirteçleri Windows 10, sürüm 1709 ve sonraki sürümlerde desteklenir. Windows XP LDAP kanal bağlamasını desteklemez ve LDAP kanal bağlaması Always değeri kullanılarak yapılandırıldığında başarısız olur, ancak Desteklendiğinde ayarının daha gevşek LDAP kanal bağlama ayarını kullanmak üzere yapılandırılmış DC'lerle birlikte çalışır.	Windows Server 2022 Windows 10, sürüm 20H2 Windows 10, sürüm 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (Genişletilmiş Güvenlik Güncelleştirmesi (ESU))
8 Ağustos 2023, Ağustos 2023	LDAP kanalı bağlama belirteci denetim olaylarını ekler (3074 & 3075). Windows Server 2022'de varsayılan olarak devre dışıdır.	Windows Server 2022
10 Ekim 2023	LDAP kanalı bağlama belirteci denetim olaylarını ekler (3074 & 3075). Windows Server 2019'da varsayılan olarak devre dışıdır.	Windows Server 2019
14 Kasım 2023, İstanbul	LDAP kanalı bağlama belirteci denetim olayları, Etkinleştirme MSI'sini yüklemeden Windows Server 2022'de kullanılabilir (Önerilen Eylemler'in 3. Adımında açıklandığı gibi).	Windows Server 2022
9 Ocak 2024	LDAP kanalı bağlama belirteci denetim olayları Windows Server 2019'da etkinleştirme MSI'sini yüklemeden kullanılabilir (Önerilen Eylemler'in 3. Adımında açıklandığı gibi).	Windows Server 2019

Sık sorulan sorular

Active Directory etki alanı denetleyicilerinde LDAP kanalı bağlama ve LDAP imzalama hakkında sık sorulan soruların yanıtları için bkz: