Зв’язування каналу LDAP та вимога щодо підписування LDAP для Windows у 2020 р.

Застосовується до: Windows 10, version 1909, all editionsWindows 10, version 1903, all editionsWindows 10, version 1809, all editions

Зведення


Зв’язування каналу LDAP і підписування LDAP надають способи підвищити безпеку мережевих комунікацій між службами доменів Active Directory (AD DS) або спрощеної служби каталогів AD LDS та їхніх клієнтів. У стандартній конфігурації для зв’язування каналу полегшеного протоколу доступу до каталогів (LDAP) і підписання LDAP існує вразливість, яка може відкрити контролери домену служби Active Directory для вразливостей перехоплення системних прав. У порадах корпорації Майкрософт із питань безпеки ADV190023 рекомендовано таке рішення цієї проблеми: адміністратору слід увімкнути зв’язування каналу LDAP і підписання LDAP на контролерах домену служби Active Directory. Це посилення безпеки необхідно виконувати вручну до виходу оновлення системи безпеки, за допомогою якого ці настройки буде ввімкнено за замовчуванням. 

Корпорація Майкрософт має намір випустити оновлення системи безпеки для служби Windows Update, щоб реалізувати ці зміни для посилення зв’язування каналу LDAP та підписання LDAP, і планує випустити це оновлення в березні 2020 р.

Чому ця зміна необхідна


Корпорація Майкрософт рекомендує адміністраторам внести зміни для посилення безпеки, описані в статті ADV190023, оскільки у разі використання стандартних настройок існує ризик перехоплення системних прав у Microsoft Windows, яка може дозволити зловмиснику, який підключився до каналу зв’язку між контрагентами, успішно надіслати запит на автентифікацію на сервер Windows LDAP, наприклад у систему з AD DS або AD LDS, не налаштовану на обов’язкове підписування або запечатування на вхідних підключеннях.  Безпеку сервера каталогів можна значно покращити, якщо налаштувати сервер на відхилення прив’язок LDAP SASL, які не запитують підписання (перевірка цілісності даних), або на відхилення простих прив’язок LDAP, які виконуються при незашифрованому підключенні (без шифрування SSL/TLS). Автентифікація SASL може включати такі протоколи, як Negotiate, Kerberos, NTLM і Digest. Непідписаний мережевий трафік вразливий до атак повторного відтворення, в яких зловмисник перехоплює спробу автентифікації та видачу квитка. Зловмисник може повторно використовувати квиток для імітування користувача з належними правами. Крім того, непідписаний мережевий трафік вразливий до атак шляхом підключення до каналу зв’язку між контрагентами, у яких зловмисник захоплює пакети між клієнтом і сервером, змінює ці пакети, а потім спрямовує їх на сервер. Якщо це відбувається на сервері LDAP, зловмисник може змусити сервер приймати рішення, засновані на підроблених запитах від клієнта LDAP.

Рекомендовані дії


Наполегливо рекомендуємо адміністраторам увімкнути зв’язування каналу LDAP та підписування LDAP з цього моменту до березня 2020 року, щоб знайти та виправити всі проблеми сумісності операційних систем, програм або проміжних пристроїв у своєму середовищі. У разі виявлення проблеми із сумісністю адміністратору потрібно звернутися до виробника цієї конкретної ОС, програми або пристрою по допомогу.

Увага! Швидше за все, ця зміна з метою посилення безпеки стосується будь-якої версії ОС, програми та проміжного пристрою, що виконує перевірку трафіку LDAP на наявність атаки шляхом підключення до каналу зв’язку між контрагентами.

Планування оновлення системи безпеки


Корпорація Майкрософт орієнтується на наведений нижче розклад увімкнення підтримки зв’язування каналу LDAP та підписування LDAP. Зверніть увагу, що часова шкала нижче може змінитися. Ми оновимо цю сторінку після початку процесу та оновлюватимемо її за необхідності.

Дата завершення

Дія

Застосовується до

13 серпня 2019 р.

Дія: опубліковано поради з безпеки корпорації Майкрософт ADV190023 для опису підтримки зв’язування каналу LDAP та підписування LDAP. Адміністраторам потрібно буде перевірити ці настройки в своєму середовищі після їх налаштування вручну на серверах.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1, 
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909

Березень 2020 р.

Обов’язково: оновлення системи безпеки, доступне в службі Windows Update для всіх підтримуваних платформ Windows, яке активує прив’язку каналів LDAP та підписування LDAP на серверах служби Active Directory за замовчуванням.

Нотатка. Дляплатформ Windows, які не мають стандартної підтримки, це оновлення системи безпеки буде доступним лише за допомогою застосовних програм розширеної підтримки.

Windows Server 2008 SP2 (Подовжене оновлення системи безпеки (ESU)),
Windows 7 із пакетом оновлень 1 (SP1) (ESU),

Windows Server 2008 R2 із пакетом оновлень 1 (SP1) (ESU),
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909