Windows (KB4520412) 的 2020、2023 和 2024 LDAP 通道绑定和 LDAP 签名要求

简介

LDAP 通道绑定和 LDAP 签名提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。 Active Directory 域控制器上存在一组不安全的默认配置，用于 LDAP 通道绑定和 LDAP 签名，这些配置允许 LDAP 客户端与其通信，而无需强制执行 LDAP 通道绑定和 LDAP 签名。这会使 Active Directory 域控制器打开特权提升漏洞。

此漏洞可能允许中间人攻击者成功将身份验证请求转发到尚未配置为要求对传入连接进行通道绑定、签名或密封的 Microsoft 域服务器。

Microsoft 建议管理员进行ADV190023中所述的强化更改。

2020 年 3 月 10 日，我们通过为管理员提供以下选项来解决此漏洞，以强化 Active Directory 域控制器上的 LDAP 通道绑定配置：

域控制器：LDAP 服务器通道绑定令牌要求 组策略。
通道绑定令牌 (CBT) 目录服务事件日志中的事件发送方 Microsoft-Windows-Active Directory_DomainService签名事件 3039、3040 和 3041。

重要提示：2020 年 3 月 10 日更新和在可预见的将来，不会更改新的或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其注册表等效项。

LDAP 签名域控制器：LDAP 服务器签名要求策略已存在于所有受支持的 Windows 版本中。从 Windows Server 2022、23H2 Edition 开始，所有新版本的 Windows 将包含本文中的所有更改。

为什么需要此更改

通过将服务器配置为拒绝不请求签名 (完整性验证 () 的 SASL) LDAP 绑定，或者拒绝对明文 (非 SSL/TLS 加密) 连接执行的 LDAP 简单绑定，可以显著提高 Active Directory 域控制器的安全性。 SASL 可能包括 Negotiate、Kerberos、NTLM 和 Digest 等协议。

未签名的网络流量容易受到重放攻击，在这种重放攻击中，入侵者可拦截身份验证尝试和票证的颁发。入侵者可以重用票证以模拟合法用户。此外，未签名的网络流量容易受到中间人 (MiTM) 攻击，其中入侵者捕获客户端和服务器之间的数据包，更改数据包，然后将其转发到服务器。如果这种情况发生在Active Directory 域控制器上，攻击者可能导致服务器根据来自 LDAP 客户端的伪造请求做出决策。 LDAPS 使用自己的不同网络端口来连接客户端和服务器。 LDAP 的默认端口是端口 389，但 LDAPS 使用端口 636 并在与客户端连接时建立 SSL/TLS。

通道绑定令牌有助于使基于 SSL/TLS 的 LDAP 身份验证更安全，免受中间人攻击。

2020 年 3 月 10 日更新

重要说明 2020 年 3 月 10 日更新不会更改新的或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其等效注册表。

将于 2020 年 3 月 10 日发布的 Windows 更新添加了以下功能：

新事件记录在与 LDAP 通道绑定相关的事件查看器中。有关这些事件的详细信息，请参阅表 1 和表 2 。
新的域控制器：LDAP 服务器通道绑定令牌要求组策略在受支持的设备上配置 LDAP 通道绑定。

LDAP 签名策略设置和注册表设置之间的映射包括如下：

策略设置：“域控制器：LDAP 服务器签名要求”
注册表设置： LDAPServerIntegrity
DataType： DWORD
注册表路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

组策略设置	注册表设置
无	1
需要签名	2

LDAP 通道绑定策略设置和注册表设置之间的映射包括如下：

策略设置：“域控制器：LDAP 服务器通道绑定令牌要求”
注册表设置： LdapEnforceChannelBinding
DataType： DWORD
注册表路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

组策略设置	注册表设置
到期	0
支持时	1
始终	2

表 1：LDAP 签名事件

	描述	触发
2886	通过将服务器配置为强制验证 LDAP 签名，可以显著提高这些域控制器的安全性。	如果组策略设置为“无”，则每 24 小时在服务启动时或启动时触发一次。最低日志记录级别：0 或更高
2887	可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。	当组策略设置为“无”且至少完成了一个未受保护的绑定时，每 24 小时触发一次。最低日志记录级别：0 或更高
2888	可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。	当组策略设置为“需要签名”并且至少拒绝了一个未受保护的绑定时，每 24 小时触发一次。最低日志记录级别：0 或更高
2889	可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和其他不包含 LDAP 签名的绑定请求来提高这些域控制器的安全性。	当客户端不对端口 389 上的会话上的绑定使用签名时触发。最低日志记录级别：2 或更高

表 2：CBT 事件

Event	描述	触发
3039	以下客户端通过 SSL/TLS 执行 LDAP 绑定，但 LDAP 通道绑定令牌验证失败。	在以下任一情况下触发：如果 CBT 组策略设置为“支持时”或“始终”，客户端尝试使用格式不正确的通道绑定令牌进行绑定， (CBT) 。如果 CBT 组策略设置为“支持时”，则能够进行通道绑定的客户端不发送 CBT。如果 EPA 功能已安装或在 OS 中可用，并且未通过注册表设置 SuppressExtendedProtection 禁用，则客户端能够进行通道绑定。若要了解详细信息，请参阅 KB5021989。如果 CBT 组策略设置为“始终”，则客户端不发送 CBT。最低日志记录级别：2
3040	在过去 24 小时内，执行了不受保护的 LDAP 绑定数。	当 CBT 组策略设置为“从不”且至少完成了一个未受保护的绑定时，每 24 小时触发一次。最低日志记录级别： 0
3041	通过将服务器配置为强制验证 LDAP 通道绑定令牌，可以显著提高此目录服务器的安全性。	如果 CBT 组策略设置为“从不”，则每 24 小时在服务启动时或启动时触发一次。最低日志记录级别： 0

若要在注册表中设置日志记录级别，请使用类似于以下内容的命令：

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2

有关如何配置 Active Directory 诊断事件日志记录的详细信息，请参阅如何配置 Active Directory 和 LDS 诊断事件日志记录。

2023 年 8 月 8 日更新

某些客户端计算机无法使用 LDAP 通道绑定令牌绑定到 Active Directory 域控制器 (DC) 。 Microsoft 将于 2023 年 8 月 8 日发布安全更新。对于 Windows Server 2022，此更新添加了供管理员审核这些客户端的选项。可以使用目录服务事件日志中的事件源 **Microsoft-Windows-ActiveDirectory_DomainService** 启用 CBT 事件 3074 和 3075。

重要说明 2023 年 8 月 8 日更新不会更改新的或现有 Active Directory DC 上的 LDAP 签名、LDAP 通道绑定默认策略或其等效注册表。

此处也适用 2020 年 3 月更新部分中的所有指南。新的审核事件需要上述指南中概述的策略和注册表设置。还有一个启用步骤，用于查看新的审核事件。新的实现详细信息位于下面的建议操作部分中。

表 3：CBT 事件

Event

描述

触发

3074

以下客户端通过 SSL/TLS 执行 LDAP 绑定，如果目录服务器配置为强制验证通道绑定令牌，则通道绑定令牌验证将失败。

在以下任一情况下触发：

当客户端尝试使用格式不正确的通道绑定令牌进行绑定时， (CBT)

最低日志记录级别： 2

3075

以下客户端通过 SSL/TLS 执行 LDAP 绑定，但未提供通道绑定信息。当此目录服务器配置为强制验证通道绑定令牌时，将拒绝此绑定操作。

在以下任一情况下触发：

当能够进行通道绑定的客户端不发送 CBT 时
如果 EPA 功能已安装或在 OS 中可用，并且未通过注册表设置 SuppressExtendedProtection 禁用，则客户端能够进行通道绑定。若要了解详细信息，请参阅 KB5021989。

最低日志记录级别： 2

注意将日志记录级别设置为至少 2 时，会记录事件 ID 3074。管理员可以使用它来审核其不使用通道绑定令牌的客户端的环境。这些事件将包含以下诊断信息，用于标识客户端：

Client IP address: 192.168.10.5：62709
客户端尝试以以下方式进行身份验证的标识：
CONTOSO\Administrator
客户端支持通道绑定：FALSE
支持模式时允许的客户端：TRUE
审核结果标志：0x42

2023 年 10 月 10 日更新

2023 年 8 月添加的审核更改现已在 Windows Server 2019 上提供。对于该 OS，此更新添加了供管理员审核这些客户端的选项。可以启用 CBT 事件 3074 和 3075。在目录服务事件日志中使用事件源 **Microsoft-Windows-ActiveDirectory_DomainService**。

重要说明 2023 年 10 月 10 日更新不会更改新的或现有 Active Directory DC 上的 LDAP 签名、LDAP 通道绑定默认策略或其等效注册表。

此处也适用 2020 年 3 月更新部分中的所有指南。新的审核事件需要上述指南中概述的策略和注册表设置。还有一个启用步骤，用于查看新的审核事件。新的实现详细信息位于下面的建议操作部分中。

2023 年 11 月 14 日更新

2023 年 8 月添加的审核更改现已在 Windows Server 2022 上提供。无需按照建议操作的步骤 3 中所述安装 MSI 或创建策略。

2024 年 1 月 9 日更新

2023 年 10 月添加的审核更改现已在 Windows Server 2019 上提供。无需按照建议操作的步骤 3 中所述安装 MSI 或创建策略。

建议的操作

我们强烈建议客户尽早采取以下步骤：

确保在域控制器 (DC) 角色计算机上安装 2020 年 3 月 10 日或更高版本的 Windows 更新。如果要启用 LDAP 通道绑定审核事件，请确保在 Windows Server 2022 或 Server 2019 DC 上安装 2023 年 8 月 8 日或更高版本的更新。
启用 LDAP 事件诊断日志记录到 2 或更高。
使用组策略启用 2023 年 8 月或 2023 年 10 月审核事件更新。如果你已在 Windows Server 2022 上安装 2023 年 11 月或更高版本的更新，则可以跳过此步骤。如果已在 Windows Server 2019 上安装 2024 年 1 月或更高版本的更新，也可以跳过此步骤。
- 从 Microsoft 下载中心下载每个 OS 版本的两个启用 MSI：
- 展开 MSI 以安装包含策略定义的新 ADMX 文件。如果使用中央存储组策略，请将 ADMX 文件复制到中央存储。
- 将相应的策略应用于域控制器 OU 或 Server 2022 或 Server 2019 DC 的子集。
- 重启 DC，使更改生效。
在筛选的所有 DC 角色计算机上监视目录服务事件日志：
- 表 1 中的 LDAP 签名失败事件 2889。
- 表 2 中的 LDAP 通道绑定失败事件 3039。
- 表 3 中的 LDAP 通道绑定审核事件 3074 和 3075。
  
  注意只有在通道绑定设置为“ 支持时 ”或“ 始终”时，才能生成事件 3039、3074 和 3075。
为引用的每个 IP 地址确定设备的制造、型号和类型：
- 用于进行未签名 LDAP 调用的事件 2889
- 未使用 LDAP 通道绑定的事件 3039
- 无法进行 LDAP 通道绑定的事件 3074 或 3075

设备类型

将设备类型分组为 3 个类别中的 1 个：

设备或路由器 -
- 请联系设备提供商。
不在 Windows 操作系统上运行的设备 -
- 验证操作系统和应用程序是否支持 LDAP 通道绑定和 LDAP 签名。为此，请使用操作系统和应用程序提供程序。
在 Windows 操作系统上运行的设备 -
- LDAP 签名可供所有受支持的 Windows 版本上的所有应用程序使用。验证应用程序或服务是否正在使用 LDAP 签名。
- LDAP 通道绑定要求所有 Windows 设备都安装了 CVE-2017-8563 。验证应用程序或服务是否正在使用 LDAP 通道绑定。

使用本地、远程、通用或特定于设备的跟踪工具。其中包括网络捕获、进程管理器或调试跟踪。确定核心操作系统、服务或应用程序是执行未签名的 LDAP 绑定还是不使用 CBT。

使用 Windows 任务管理器或等效项将进程 ID 映射到进程、服务和应用程序名称。

安全更新计划

2020 年 3 月 10 日更新为管理员添加了控制，以强化 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名配置。 2023 年 8 月 8 日和 10 月 10 日更新为管理员添加了用于审核无法使用 LDAP 通道绑定令牌的客户端计算机的选项。我们强烈建议客户尽早采取本文中建议的操作。

目标日期	Event	适用范围
2020 年 3 月 10 日（星期二）	必需：安全更新可用于所有受支持的 Windows 平台的 Windows 更新。注意对于不受标准支持的 Windows 平台，此安全更新只能通过适用的扩展支持计划提供。 WINDOWS Server 2008 及更高版本上的 CVE-2017-8563 添加了 LDAP 通道绑定支持。 Windows 10版本 1709 及更高版本中支持通道绑定令牌。 Windows XP 不支持 LDAP 通道绑定，在使用 Always 值配置 LDAP 通道绑定时会失败，但会与配置为使用更宽松的 LDAP 通道绑定设置的 DC 互操作。当支持时。	Windows Server 2022 Windows 10版本 20H2 Windows 10版本 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (扩展安全更新 (ESU) )
2023 年 8 月 8 日	(3074 & 3075) 添加 LDAP 通道绑定令牌审核事件。它们在 Windows Server 2022 上默认处于禁用状态。	Windows Server 2022
2023 年 10 月 10 日	(3074 & 3075) 添加 LDAP 通道绑定令牌审核事件。它们在 Windows Server 2019 上默认处于禁用状态。	Windows Server 2019
2023 年 11 月 14 日	LDAP 通道绑定令牌审核事件在 Windows Server 2022 上可用，无需安装启用 MSI (，如建议操作) 的步骤 3 中所述。	Windows Server 2022
2024 年 1 月 9 日	LDAP 通道绑定令牌审核事件在 Windows Server 2019 上可用，无需安装启用 MSI (，如建议操作) 的步骤 3 中所述。	Windows Server 2019

常见问题

有关 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名的常见问题解答，请参阅：