简介

LDAP 通道绑定 和 LDAP 签名提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。 Active Directory 域控制器上存在一组用于 LDAP 通道绑定和 LDAP 签名的不安全默认配置,这些配置允许 LDAP 客户端与它们通信,而无需强制实施 LDAP 通道绑定和 LDAP 签名。 这会打开 Active Directory 域控制器,提升特权漏洞。

此漏洞可能导致中间人攻击者成功将身份验证请求转发到尚未配置为需要通道绑定、签名或接收传入连接的 Microsoft 域服务器。

Microsoft 建议管理员进行 ADV190023 中所述的强化更改

我们于 2020 年 3 月 10 日解决了此漏洞,为此管理员提供了以下选项,用于强化 Active Directory 域控制器上的 LDAP 通道绑定配置:

  • 域控制器:LDAP 服务器通道绑定令牌要求 组策略。

  • 在目录服务事件日志中,通道绑定令牌 (CBT) 签名事件 3039、3040 和 3041,事件发送方 Microsoft-Windows-Active Directory_DomainService

重要提示:2020 年 3 月 10 日更新和可预见的将来更新不会更改 LDAP 签名或 LDAP 通道绑定默认策略,也不会更改新域控制器或现有 Active Directory 域控制器上的注册表等效项。

LDAP 签名域控制器:LDAP 服务器签名要求策略已存在于所有受支持的版本Windows。

为何需要此更改

将服务器配置为拒绝不请求签名 (完整性验证) 的简单身份验证和安全层 (SASL) LDAP 绑定,或者拒绝对纯文本 (非 SSL/TLS 加密的) 连接执行的 LDAP 简单绑定,可以显著提高 Active Directory 域控制器的安全性。 SASL 可以包括协商、Kerberos、NTLM 和摘要协议等协议。

无符号网络流量很容易受到重播攻击,入侵者会截获身份验证尝试和票证颁发。 入侵者可以重复使用票证来模拟合法用户。 此外,无符号网络流量容易受到中间人 (MiTM) 攻击,入侵者在攻击中捕获客户端和服务器之间的数据包、更改数据包,然后将数据包转发到服务器。 如果 Active Directory 域控制器上发生此情况,攻击者可能导致服务器根据 LDAP 客户端的伪造请求做出决策。 LDAPS 使用其自己的不同网络端口来连接客户端和服务器。 LDAP 的默认端口是端口 389,但 LDAPS 使用端口 636,在连接到客户端时建立 SSL/TLS。

通道绑定令牌有助于使基于 SSL/TLS 的 LDAP 身份验证更安全,免受中间人攻击。

2020 年 3 月 10 日更新

重要事项 2020 年 3 月 10 日更新不会更改新的或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其注册表等效项。

Windows 2020 年 3 月 10 日发布的更新添加以下功能:

  • 新事件记录在与 LDAP 通道绑定相关的事件查看器中。 有关 这些事件的详细信息 ,请参阅 1 和表 2。

  • 新的 域控制器:LDAP 服务器通道绑定令牌要求 组策略在受支持的设备上配置 LDAP 通道绑定。

LDAP 签名策略设置与注册表设置之间的映射包括如下:

  • 策略设置:"域控制器:LDAP 服务器签名要求"

  • 注册表设置: LDAPServerIntegrity

  • 数据类型: DWORD

  • 注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

组策略设置

注册表设置

1

要求签名

2

LDAP 通道绑定策略设置和注册表设置之间的映射包括如下:

  • 策略设置:"域控制器:LDAP 服务器通道绑定令牌要求"

  • 注册表设置: LdapEnforceChannelBinding

  • 数据类型: DWORD

  • 注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters  

组策略设置

注册表设置

从不

0

受支持时

1

始终

2


表 1:LDAP 签名事件

描述

触发器

2886

通过配置服务器来强制验证 LDAP 签名,可以显著提高这些域控制器的安全性。

如果组策略设置为"无",则每 24 小时在启动时或服务启动时 触发一次。 最小日志记录级别:0 或更高

2887

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。

当组策略设置为"无"且至少完成了一个未受保护的绑定时,每 24 小时触发一次。 最小日志记录级别:0 或更高

2888

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。

当组策略设置为"需要签名"且至少一个未受保护的绑定被拒绝时,每 24 小时触发一次。 最小日志记录级别:0 或更高

2889

可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。

当客户端不使用对端口 389 上的会话上的绑定进行签名时触发。 最小日志记录级别:2 或更高

表 2:CBT 事件

事件

描述

触发器

3039

以下客户端通过 SSL/TLS 执行了 LDAP 绑定,但 LDAP 通道绑定令牌验证失败。

在下列任何情况下触发:

  • 当客户端尝试使用格式不当的通道绑定令牌 (CBT) CBT 组策略设置为"支持时"或"始终"。

  • 如果 CBT 组策略设置为"受支持",则支持通道绑定的客户端不发送 CBT如果 OS 中已安装或提供"市/服务"功能,并且未通过注册表设置 SuppressExtendedProtection 禁用,则 Aclient  支持通道绑定。

  • 当客户端未发送 CBT 时,如果 CBT 组策略设置为 Always

最小日志记录级别:2

3040

在过去 24 小时内,执行了未受保护的 LDAP 绑定数。

当 CBT 组策略设置为"从不"且至少完成了一个未受保护的绑定时,每隔 24 小时触发一次。 最小日志记录级别: 0

3041

可以通过将服务器配置为强制验证 LDAP 通道绑定令牌来大幅提升此目录服务器的安全性。

如果 CBT 组策略设置为"从不",则每 24 小时在启动时或服务启动时 触发一次。 最小日志记录级别: 0


若要在注册表中设置日志记录级别,请使用类似于下面的命令:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

若要详细了解如何配置 Active Directory 诊断事件日志记录,请参阅 Microsoft 知识库中的以下文章:

314980 如何配置 Active Directory 和 LDS 诊断事件日志记录

建议的操作

我们强烈建议客户尽早采取以下步骤:

  1. 发布更新时,在域控制器Windows DC (2020) 2020 年 3 月 10 日更新。

  2. 启用 LDAP 事件诊断日志记录到 2 或 更高版本。

  3. 在所有已筛选的 DC 角色计算机上监视目录服务事件日志:

    • 1 中列出的 LDAP 签名失败事件 2889。

    • 2 中的 LDAP 通道绑定失败事件 3039。

      注意只有当频道绑定设置为"受支持"或"始终"时,才能生成事件 3039

  4. 标识事件 2889 引用的每个 IP 地址的制造、型号和设备类型,作为进行无符号 LDAP 调用或 3039 事件(表示未使用 LDAP 通道绑定)。

将设备类型分组为 3 个类别中的 1 个:

  1. 设备或路由器

    • 请联系设备提供商。

  2. 未在操作系统上Windows的设备

    • 通过使用操作系统和应用程序提供程序,验证操作系统以及应用程序是否同时支持 LDAP 通道绑定和 LDAP 签名。

  3. 在操作系统上Windows的设备

    • LDAP 签名可供所有受支持的版本上的所有应用程序使用Windows。 验证应用程序或服务是否正在使用 LDAP 签名。

    • LDAP 通道绑定要求Windows安装 CVE-2017-8563。 验证应用程序或服务是否正在使用 LDAP 通道绑定。

使用本地、远程、通用或特定于设备的跟踪工具(包括网络捕获、进程管理器或调试跟踪)来确定核心操作系统、服务或应用程序正在执行未签名的 LDAP 绑定还是不使用 CBT。

使用Windows或等效项将进程 ID 映射到进程、服务和应用程序名称。

安全更新计划

2020 年 3 月 10 日更新将为管理员提供控制,以强化 Active Directory 域控制器上 LDAP 通道绑定和 LDAP 签名的配置。 我们强烈建议客户尽早采取本文中建议的操作。

目标日期

事件

适用于

2020 年 3 月 10 日

必需:适用于所有受支持的 Windows 平台的 Windows 更新。

注意 对于Windows非标准支持的平台,此安全更新仅通过适用的扩展支持计划提供。

WINDOWS Server 2008 及更高版本上的 CVE-2017-8563 添加了 LDAP 通道绑定支持。 版本 1709 Windows 10版本支持通道绑定令牌。

Windows XP 不支持 LDAP 通道绑定,并且使用 Always 值配置 LDAP 通道绑定时会失败,但会与配置为使用更宽松的 LDAP 通道绑定设置的"受支持时"的 DC 互操作。

Windows 10,版本 1909 (19H2)

Windows Server 2019 (1809 \ RS5)

Windows Server 2016 (1607 \ RS1)

Windows Server 2012 R2



Windows Server 2012 Windows Server 2008 R2 SP1 (ESU)

Windows Server 2008 SP2 (扩展安全更新 (ESU) )

常见问题

有关 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名的常见问题解答,请参阅有关轻型目录访问协议更改的常见问题解答。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×