Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Giriş

LDAP kanal bağlama ve LDAP imzalama, LDAP istemcileri ile Active Directory etki alanı denetleyicileri arasındaki iletişimin güvenliğini artırmanın yollarını sağlar. LDAP kanal bağlama ve LDAP imzalama için güvenli olmayan bir dizi varsayılan yapılandırma, ACTIVE Directory etki alanı denetleyicilerinde LDAP kanal bağlamasını ve LDAP imzalamayı zorlamadan LDAP istemcilerinin iletişim kurmasına olanak sağlayan vardır. Bu, Active Directory etki alanı denetleyicilerinde bir ayrıcalık yükseltme güvenlik açığına neden olabilir.

Bu güvenlik açığı, ortadaki bir adam saldırganın, gelen bağlantılarda kanal bağlama, imzalama veya kapatma işlemi gerektirecek şekilde yapılandırılmamış bir Microsoft etki alanı sunucusuna bir kimlik doğrulama isteğini başarıyla iletmesine olanak sağlar.

Microsoft, yöneticilerin ADV190023'de açıklanan güncelleştirme değişikliklerini yapmalarını önerir.

10 Mart 2020'de, yöneticilere Active Directory etki alanı denetleyicilerinde LDAP kanal bağlama için yapılandırmaları ayarlamaları için aşağıdaki seçenekleri sağlayarak bu güvenlik açığını gidermeye devam ediyoruz:

  • Etki alanı denetleyicisi: LDAP sunucu kanalı bağlama belirteci gereksinimleri Grup İlkesi.

  • Dizin Hizmeti olay günlüğünde, olay gönderen Microsoft-Windows-Active ile 3039, 3040 ve 3041'den Kanal Bağlama Belirteç Directory_DomainService leri (CBT) imzalama olayları.

Önemli: 10 Mart 2020 güncelleştirmeleri ve yakın gelecekte yapılacak güncelleştirmeler, LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların kayıt defteri eşdeğerini yeni veya var olan Active Directory etki alanı denetleyicilerinde değiştirmez.

LDAP imzalama Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri ilkesi, etki alanının desteklenen tüm Windows.

Bu değişiklik neden gerekli

Active Directory etki alanı denetleyicilerinin güvenliği, sunucu, imzalama isteğinde olmayan Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek şekilde ya da net bir metin (SSL/TLS şifreli olmayan) bağlantıda gerçekleştirilen LDAP basit bağlamalarını reddederek önemli ölçüde geliştir edilebilir. SASL'ler; Anlaş, Kerberos, NTLM ve Özet protokolleri gibi protokolleri içerebilir.

İmzalanmamış ağ trafiği, yetkisiz erişenin kimlik doğrulaması girişimini ve bir anahtar verilmesini kestiği saldırıların yeniden yürütülmesine maruz kalabilir. Yetkisiz erişen, yasal kullanıcının kimliğine bürünmek için anahtarı yeniden kullanabilir. Buna ek olarak, imzalanmamış ağ trafiği, istemciyle sunucu arasındaki paketleri yakalamak, paketleri yapmak ve sonra da sunucuya ilet olmak için ortasındaki (MiTM) saldırılara karşı duyarlıdır. Bu durum Active Directory Etki Alanı Denetleyicisi'de ortaya çıkarsa, saldırgan bir sunucunun LDAP istemcisini kullanarak sahte isteklere dayalı kararlar vermelerine neden olabilir. LDAPS, istemcileri ve sunucuları bağlamak için kendi ayrı ağ bağlantı noktasını kullanır. LDAP için varsayılan bağlantı noktası 389 bağlantı noktasıdır, ancak LDAPS bağlantı noktası 636'yi kullanır ve istemciye bağlanırken SSL/TLS ayarlar.

Kanal bağlama belirteçleri, SSL/TLS üzerinden LDAP kimlik doğrulamasının ortadaki saldırılara karşı daha güvenli hale geliyor.

10 Mart 2020 güncelleştirmeleri

Önemli 10 Mart 2020 güncelleştirmeleri LDAP imzalama veya LDAP kanal bağlama varsayılan ilkelerini veya bunların yeni veya var olan Active Directory etki alanı denetleyicilerinde kayıt defteri eşdeğerini değiştirmez.

Windows 10 Mart 2020'de yayımlanacak olan güncelleştirmelere aşağıdaki özellikleri ekleyin:

  • LDAP kanal bağlaması ile ilgili Olay Görüntüleyicisi'ne yeni olaylar kaydedilir. Bu olayların ayrıntıları içinbkz. Tablo 1 ve Tablo 2.

  • Yeni Bir Etki Alanı denetleyicisi: DESTEKLENEN cihazlarda LDAP kanal bağlamasını yapılandırmak için LDAP sunucu kanal bağlama belirteci gereksinimleri Grup İlkesi.

LDAP İmzalama İlkesi ayarlarıyla kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi olur:

  • İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri"

  • Kayıt Defteri Ayarı: LDAPServerIntegrity

  • DataType: DWORD

  • Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Grup İlkesi Ayarı

Kayıt Defteri Ayarı

Hiçbiri

1

İmzalama Gerektir

2

LDAP Kanal Bağlama İlkesi ayarlarıyla kayıt defteri ayarları arasındaki eşleme aşağıdaki gibi olur:

  • İlke Ayarı: "Etki alanı denetleyicisi: LDAP sunucusu kanal bağlama belirteci gereksinimleri"

  • Kayıt Defteri Ayarı: LdapEnforceChannelBinding

  • DataType: DWORD

  • Kayıt Defteri Yolu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

Grup İlkesi Ayarı

Kayıt Defteri Ayarı

Hiçbir zaman

0

Destek

1

Her zaman

2


Tablo 1: LDAP imzalama olayları

Açıklama

Tetikleyici

2886

Bu etki alanı denetleyicilerinin güvenliği, sunucu LDAP imzalamanın doğrulanmasını zorunlu olacak şekilde yapılandırarak önemli ölçüde geliştirebilirsiniz.

Grup İlkesi Yok olarak ayarlanırsa, hizmetin başlatılması veya başlatılması sırasında her 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek

2887

LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir.

Grup İlkesi Yok olarak ayarlandıktan ve en az bir korumasız bağlamanın tamamlanması 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek

2888

LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir.

Grup İlkesi İmzalama Gerektir olarak ve en az bir korumasız bağlama reddedilirken her 24 saatte bir tetiklenir. En Düşük Günlük Düzeyi: 0 veya daha yüksek

2889

LDAP imzalaması yapmayan basit LDAP bağlama isteklerini ve diğer bağlama isteklerini reddeden bir yapılandırmayla, bu etki alanı denetleyicilerinin güvenliği geliştir edilebilir.

İstemci bağlantı noktası 389'da oturumları bağlamak için imzalamayı kullanmazsa tetiklenir. En Düşük Günlük Düzeyi: 2 veya daha yüksek

Tablo 2: CBT etkinlikleri

Olay

Açıklama

Tetikleyici

3039

Aşağıdaki istemci SSL/TLS üzerinden LDAP bağlaması gerçekleştirdi ve LDAP kanal bağlama belirteci doğrulaması başarısız oldu.

Aşağıdaki koşullardan herhangi biri tetiklenir:

  • CBT Grup İlkesi Desteklenen Zaman veya Her Zaman olarak ayarlanmışsa, istemci yanlış biçimlendirilmiş bir Kanal Bağlama Belirteci 'ne (CBT) bağlamayı dener.

  • CBT Grup İlkesi Desteklenen Zaman olarak ayarlanmışsa, kanal bağlama yeteneği olan bir istemci CBT göndermezse. EPA özelliği işletim sistemi içinde yüklüyse veya kullanılabilirse ve SuppressExtendedProtection kayıt defteri ayarı aracılığıyla devre dışı bırakılamazsa, Aclient  kanal bağlama özelliğine sahiptir.

  • CBT Grup İlkesi Her Zaman olarak ayarlanmışsa, istemci CBT göndermezse.

En düşük günlük düzeyi: 2

3040

Önceki 24 saatlik dönemde, korumasız LDAP'ler için # bağlamaları gerçekleştirildi.

CBT Grup İlkesi Hiçbir Zaman olarak ayarlandıktan ve en az bir korumasız bağlamanın tamamlanması 24 saatte bir tetiklenir. En düşük günlük düzeyi: 0

3041

Bu dizin sunucusunun güvenliği, sunucu LDAP kanal bağlama belirteçlerinin doğrulanmasına zorlanacak şekilde yapılandırarak önemli ölçüde geliştirebilirsiniz.

CBT Grup İlkesi Hiçbir Zaman olarak ayarlanırsa, hizmetin başlatılması veya başlatılması sırasında her 24 saatte bir tetiklenir. En düşük günlük düzeyi: 0


Kayıt defterinde günlüğe kaydetme düzeyini ayarlamak için aşağıdakine benzer bir komut kullanın:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Active Directory tanılama olay günlüğünü yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'nın aşağıdaki makalesine bakın:

314980 Active Directory ve LDS tanılama olay günlüğü nasıl yapılandırılır

Önerilen işlemler

Müşterilerin en erken fırsatta aşağıdaki adımları atlarını kesinlikle tavsiye ediyoruz:

  1. Güncelleştirmeler yayım geldiğinde 10 Mart 2020 Windows etki alanı denetleyicisi (DC) rol bilgisayarlarına güncelleştirmeleri yükleyin.

  2. LDAP olayları tanılama günlüğünü 2 veya daha yüksek bir değere etkinleştirin.

  3. Tüm DC rolü bilgisayarlarında Dizin hizmetleri olay günlüğünü filtrelenmiş olarak izleme:

    • Tablo 1'de listelenen LDAP İmzalama hatası olayı 2889.

    • Tablo 2'de LDAP Kanal Bağlama hatası olayı 3039.

      Not Etkinlik 3039 yalnızca Kanal Bağlaması Destek olduğunda veya Her Zaman olarak ayarlanmışkenoluşturul olabilir.

  4. İmzalanmamış LDAP aramaları yaparken veya LDAP Kanal Bağlaması kullanımı olmayan 3039 olay olarak olay 2889 tarafından adı geçen her IP adresi için cihazın markasını, modelini ve türünü belirleme.

Cihaz türlerini 3 kategoriden 1'inde grupla:

  1. Cihaz veya yönlendirici

    • Cihaz sağlayıcısına başvurun.

  2. Başka bir işletim sisteminde Windows cihaz

    • Hem LDAP kanal bağlamanın hem de LDAP imzalamanın işletim sisteminde destek olduğunu ve ardından işletim sistemi ve uygulama sağlayıcısıyla çalışarak uygulamayı desteklemektedir.

  3. Windows işletim sisteminde çalışan cihaz

    • LDAP imzalama, tüm desteklenen E-posta sürümlerinde tüm uygulamalar tarafından Windows. Uygulama veya hizmetinizin LDAP imzalamayı kullanıyor olduğunu doğrulayın.

    • LDAP kanal bağlaması için tüm Windows DEMİ-2017-8563 yüklü olması gerekir. Uygulama veya hizmetinizin LDAP kanal bağlaması kullanıyor olduğunu doğrulayın.

Ağ yakalamaları, süreç yöneticisi veya hata ayıklama izlemeleri gibi yerel, uzak, genel veya cihaza özgü izleme araçlarını kullanarak temel işletim sisteminin mi, bir hizmetin mi yoksa bir uygulamanın imzalanmamış LDAP bağlamaları mı gerçekleştir ettiğini veya CBT'yi kullanmadığını belirler.

Süreç Windows, hizmet ve uygulama adlarına eşlemek için görev yöneticisini veya eşdeğerini kullanın.

Güvenlikle ilgili güncelleştirme zamanlaması

10 Mart 2020 güncelleştirmelerinde yöneticilere LDAP kanal bağlama ve Active Directory etki alanı denetleyicilerinde LDAP imzalama yapılandırmalarını sağlayan denetimler sağlanacak. Müşterilerin en erken fırsatta bu makalede önerilen eylemleri yapmalarını kesinlikle öneririz.

Hedef Tarih

Olay

Geçerli Olduğu Yer

10 Mart 2020

Gerekli: Güvenlik Güncelleştirmesi, Windows tüm platformlar için Güncelleştirme Windows kullanılabilir.

Not Standart Windows olmayan platformlar için, bu güvenlik güncelleştirmesi yalnızca geçerli genişletilmiş destek programları aracılığıyla kullanılabilir.

LDAP kanal bağlama desteği, Windows Server 2008 ve sonraki sürümlerde LDAP kanal bağlama desteği, LDAP-2017-8563 tarafından eklenmiştir. Kanal bağlama belirteçleri son sürümlerde, Windows 10 1709 ve sonraki sürümlerde de desteklenen bir uygulamadır.

Windows XP LDAP kanal bağlamayı desteklemez ve LDAP kanal bağlaması Always değerini kullanarak yapılandırıldığında başarısız olur, ancak Ne zaman destek önerilir? ayarının daha rahat LDAP kanal bağlama ayarını kullanmak üzere yapılandırılmış DC'lerle birlikte çalışabilir.

Windows 10 Sürüm 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (Genişletilmiş Güvenlik Güncelleştirmesi (ESU))

Sık sorulan sorular

Active Directory etki alanı denetleyicilerinde LDAP kanal bağlama ve LDAP imzalama hakkında sık sorulan soruların yanıtları için bkz. Basit Dizin Erişim Protokolü'ne yapılan değişiklikler hakkında sık sorulan sorular.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin

Eğitimleri keşfedin >

Yeni özellikleri ilk olarak siz edinin

Microsoft Insider’a katılın >

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?

Geri bildiriminiz için teşekkürler!

×