Giriş
LDAP kanal bağlama ve LDAP imzalama, LDAP istemcileri ile Active Directory etki alanı denetleyicileri arasındaki iletişimin güvenliğini artırmanın yollarını sağlar. LDAP kanal bağlama ve LDAP imzalama için güvenli olmayan bir dizi varsayılan yapılandırma, ACTIVE Directory etki alanı denetleyicilerinde LDAP kanal bağlamasını ve LDAP imzalamayı zorlamadan LDAP istemcilerinin iletişim kurmasına olanak sağlayan vardır. Bu, Active Directory etki alanı denetleyicilerinde bir ayrıcalık yükseltme güvenlik açığına neden olabilir.
Bu güvenlik açığı, ortadaki bir adam saldırganın, gelen bağlantılarda kanal bağlama, imzalama veya kapatma işlemi gerektirecek şekilde yapılandırılmamış bir Microsoft etki alanı sunucusuna bir kimlik doğrulama isteğini başarıyla iletmesine olanak sağlar.
Microsoft, yöneticilerin ADV190023'de açıklanan güncelleştirme değişikliklerini yapmalarını önerir.
10 Mart 2020'de, yöneticilere Active Directory etki alanı denetleyicilerinde LDAP kanal bağlama için yapılandırmaları ayarlamaları için aşağıdaki seçenekleri sağlayarak bu güvenlik açığını gidermeye devam ediyoruz:
-
Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri Grup İlkesi.
-
Dizin Hizmeti olay günlüğünde, olay gönderen Microsoft-Windows-Active ile 3039, 3040 ve 3041'den Kanal Bağlama Belirteç Directory_DomainService leri (CBT) imzalama olayları.
Önemli: 10 Mart 2020 güncelleştirmeleri ve yakın gelecekte yapılacak güncelleştirmeler, LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların kayıt defteri eşdeğerini yeni veya var olan Active Directory etki alanı denetleyicilerinde değiştirmez.
LDAP imzalama Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri ilkesi, etki alanının desteklenen tüm Windows.
Bu değişiklik neden gerekli
Active Directory etki alanı denetleyicilerinin güvenliği, sunucu, imzalama isteğinde olmayan Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek şekilde ya da net bir metin (SSL/TLS şifreli olmayan) bağlantıda gerçekleştirilen LDAP basit bağlamalarını reddederek önemli ölçüde geliştir edilebilir. SASL'ler; Anlaş, Kerberos, NTLM ve Özet protokolleri gibi protokolleri içerebilir.
İmzalanmamış ağ trafiği, yetkisiz erişenin kimlik doğrulaması girişimini ve bir anahtar verilmesini kestiği saldırıların yeniden yürütülmesine maruz kalabilir. Yetkisiz erişen, yasal kullanıcının kimliğine bürünmek için anahtarı yeniden kullanabilir. Buna ek olarak, imzalanmamış ağ trafiği, istemciyle sunucu arasındaki paketleri yakalamak, paketleri yapmak ve sonra da sunucuya ilet olmak için ortasındaki (MiTM) saldırılara karşı duyarlıdır. Bu durum Active Directory Etki Alanı Denetleyicisi'de ortaya çıkarsa, saldırgan bir sunucunun LDAP istemcisini kullanarak sahte isteklere dayalı kararlar vermelerine neden olabilir. LDAPS, istemcileri ve sunucuları bağlamak için kendi ayrı ağ bağlantı noktasını kullanır. LDAP için varsayılan bağlantı noktası 389 bağlantı noktasıdır, ancak LDAPS bağlantı noktası 636'yi kullanır ve istemciye bağlanırken SSL/TLS ayarlar.
Kanal bağlama belirteçleri, SSL/TLS üzerinden LDAP kimlik doğrulamasının ortadaki saldırılara karşı daha güvenli hale geliyor.
10 Mart 2020 güncelleştirmeleri
Önemli 10 Mart 2020 güncelleştirmeleri LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların yeni veya var olan Active Directory etki alanı denetleyicilerinde kayıt defteri eşdeğerini değiştirmez.
Windows 10 Mart 2020'de yayımlanacak olan güncelleştirmelere aşağıdaki özellikleri ekleyin:
-
LDAP kanal bağlaması ile ilgili Olay Görüntüleyicisi'ne yeni olaylar kaydedilir. Bu olayların ayrıntıları içinbkz. Tablo 1 ve Tablo 2.
-
Yeni Bir Etki Alanı denetleyicisi: DESTEKLENEN cihazlarda LDAP kanal bağlamasını yapılandırmak için LDAP sunucu kanal bağlama belirteci gereksinimleri Grup İlkesi.
LDAP İmzalama İlkesi ayarlarıyla kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi olur:
-
İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri"
-
Kayıt Defteri Ayarı: LDAPServerIntegrity
-
DataType: DWORD
-
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
Grup İlkesi Ayarı |
Kayıt Defteri Ayarı |
|
Hiçbiri |
1 |
|
İmzalama Gerektir |
2 |
LDAP Kanal Bağlama İlkesi ayarlarıyla kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi olur:
-
İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucusu kanal bağlama belirteci gereksinimleri"
-
Kayıt Defteri Ayarı: LdapEnforceChannelBinding
-
DataType: DWORD
-
Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
Grup İlkesi Ayarı |
Kayıt Defteri Ayarı |
|
Hiçbir zaman |
0 |
|
Destek |
1 |
|
Her zaman |
2 |
Tablo 1: LDAP imzalama olayları
|
Açıklama |
Tetikleyici |
|
|
Bu etki alanı denetleyicilerinin güvenliği, sunucu LDAP imzalamanın doğrulanmasını zorunlu olacak şekilde yapılandırarak önemli ölçüde geliştirebilirsiniz. |
Grup İlkesi Yok olarak ayarlanırsa, hizmetin başlatılması veya başlatılması sırasında her 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek |
|
|
LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir. |
Grup İlkesi Yok olarak ayarlandıktan ve en az bir korumasız bağlamanın tamamlanması 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek |
|
|
LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir. |
Grup İlkesi İmzalama Gerektir olarak ve en az bir korumasız bağlama reddedilirken her 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek |
|
|
LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir. |
İstemci bağlantı noktası 389'da oturumları bağlamak için imzalamayı kullanmazsa tetiklenir. En Düşük Günlük Düzeyi: 2 veya daha yüksek |
Tablo 2: CBT etkinlikleri
Kayıt defterinde günlüğe kaydetme düzeyini ayarlamak için aşağıdakine benzer bir komut kullanın:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Active Directory tanılama olay günlüğünü yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'nın aşağıdaki makalesine bakın:
314980 Active Directory ve LDS tanılama olay günlüğü nasıl yapılandırılır
Önerilen işlemler
Müşterilerin en erken fırsatta aşağıdaki adımları atlarını kesinlikle tavsiye ediyoruz:
-
Güncelleştirmeler yayım geldiğinde 10 Mart 2020 Windows etki alanı denetleyicisi (DC) rol bilgisayarlarına güncelleştirmeleri yükleyin.
-
LDAP olayları tanılama günlüğünü 2 veya daha yüksek bir değere etkinleştirin.
-
Tüm DC rolü bilgisayarlarında Dizin hizmetleri olay günlüğünü filtrelenmiş olarak izleme:
-
İmzalanmamış LDAP aramaları yaparken veya LDAP Kanal Bağlaması kullanımı olmayan 3039 olay olarak olay 2889 tarafından adı geçen her IP adresi için cihazın markasını, modelini ve türünü belirleme.
Cihaz türlerini 3 kategoriden 1'inde grupla:
-
Cihaz veya yönlendirici
-
Cihaz sağlayıcısına başvurun.
-
-
Başka bir işletim sisteminde Windows cihaz
-
Hem LDAP kanal bağlamanın hem de LDAP imzalamanın işletim sisteminde destek olduğunu ve ardından işletim sistemi ve uygulama sağlayıcısıyla çalışarak uygulamayı desteklemektedir.
-
-
Windows işletim sisteminde çalışan cihaz
-
LDAP imzalama, tüm desteklenen E-posta sürümlerinde tüm uygulamalar tarafından Windows. Uygulama veya hizmetinizin LDAP imzalamayı kullanıyor olduğunu doğrulayın.
-
LDAP kanal bağlaması için tüm Windows DEMİ-2017-8563 yüklü olması gerekir. Uygulama veya hizmetinizin LDAP kanal bağlaması kullanıyor olduğunu doğrulayın.
-
Ağ yakalamaları, süreç yöneticisi veya hata ayıklama izlemeleri gibi yerel, uzak, genel veya cihaza özgü izleme araçlarını kullanarak temel işletim sisteminin mi, bir hizmetin mi yoksa bir uygulamanın imzalanmamış LDAP bağlamaları mı gerçekleştir ettiğini veya CBT'yi kullanmadığını belirler.
Süreç Windows, hizmet ve uygulama adlarına eşlemek için görev yöneticisini veya eşdeğerini kullanın.
Güvenlikle ilgili güncelleştirme zamanlaması
10 Mart 2020 güncelleştirmelerinde yöneticilere LDAP kanal bağlama ve Active Directory etki alanı denetleyicilerinde LDAP imzalama yapılandırmalarını sağlayan denetimler sağlanacak. Müşterilerin en erken fırsatta bu makalede önerilen eylemleri yapmalarını kesinlikle öneririz.
|
Hedef Tarih |
Olay |
Geçerli Olduğu Yer |
|
10 Mart 2020 |
Gerekli: Güvenlik Güncelleştirmesi, Windows tüm platformlar için Güncelleştirme Windows kullanılabilir. Not Standart Windows olmayan platformlar için, bu güvenlik güncelleştirmesi yalnızca geçerli genişletilmiş destek programları aracılığıyla kullanılabilir. LDAP kanal bağlama desteği, Windows Server 2008 ve sonraki sürümlerde LDAP kanal bağlama desteği, LDAP-2017-8563 tarafından eklenmiştir. Kanal bağlama belirteçleri son sürümlerde, Windows 10 1709 ve sonraki sürümlerde de desteklenen bir uygulamadır. Windows XP LDAP kanal bağlamayı desteklemez ve LDAP kanal bağlaması Always değerini kullanarak yapılandırıldığında başarısız olur, ancak Ne zaman destek önerilir? ayarının daha rahat LDAP kanal bağlama ayarını kullanmak üzere yapılandırılmış DC'lerle birlikte çalışabilir. |
Windows 10 Sürüm 1909 (19H2) |
Sık sorulan sorular
Active Directory etki alanı denetleyicilerinde LDAP kanal bağlama ve LDAP imzalama hakkında sık sorulan soruların yanıtları için bkz. Basit Dizin Erişim Protokolü'ne yapılan değişiklikler hakkında sık sorulan sorular.
