简介
LDAP 通道绑定 和 LDAP 签名提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。 Active Directory 域控制器上存在一组用于 LDAP 通道绑定和 LDAP 签名的不安全默认配置,这些配置允许 LDAP 客户端与它们通信,而无需强制实施 LDAP 通道绑定和 LDAP 签名。 这会打开 Active Directory 域控制器,提升特权漏洞。
此漏洞可能导致中间人攻击者成功将身份验证请求转发到尚未配置为需要通道绑定、签名或接收传入连接的 Microsoft 域服务器。
Microsoft 建议管理员进行 ADV190023 中所述的强化更改。
我们于 2020 年 3 月 10 日解决了此漏洞,为此管理员提供了以下选项,用于强化 Active Directory 域控制器上的 LDAP 通道绑定配置:
-
域控制器:LDAP 服务器通道绑定令牌要求 组策略。
-
在目录服务事件日志中,通道绑定令牌 (CBT) 签名事件 3039、3040 和 3041,事件发送方 Microsoft-Windows-Active Directory_DomainService。
重要提示:2020 年 3 月 10 日更新和可预见的将来更新不会更改 LDAP 签名或 LDAP 通道绑定默认策略,也不会更改新域控制器或现有 Active Directory 域控制器上的注册表等效项。
LDAP 签名域控制器:LDAP 服务器签名要求策略已存在于所有受支持的版本Windows。
为何需要此更改
将服务器配置为拒绝不请求签名 (完整性验证) 的简单身份验证和安全层 (SASL) LDAP 绑定,或者拒绝对纯文本 (非 SSL/TLS 加密的) 连接执行的 LDAP 简单绑定,可以显著提高 Active Directory 域控制器的安全性。 SASL 可以包括协商、Kerberos、NTLM 和摘要协议等协议。
无符号网络流量很容易受到重播攻击,入侵者会截获身份验证尝试和票证颁发。 入侵者可以重复使用票证来模拟合法用户。 此外,无符号网络流量容易受到中间人 (MiTM) 攻击,入侵者在攻击中捕获客户端和服务器之间的数据包、更改数据包,然后将数据包转发到服务器。 如果 Active Directory 域控制器上发生此情况,攻击者可能导致服务器根据 LDAP 客户端的伪造请求做出决策。 LDAPS 使用其自己的不同网络端口来连接客户端和服务器。 LDAP 的默认端口是端口 389,但 LDAPS 使用端口 636,在连接到客户端时建立 SSL/TLS。
通道绑定令牌有助于使基于 SSL/TLS 的 LDAP 身份验证更安全,免受中间人攻击。
2020 年 3 月 10 日更新
重要事项 2020 年 3 月 10 日更新不会更改新的或现有 Active Directory 域控制器上的 LDAP 签名或 LDAP 通道绑定默认策略或其注册表等效项。
Windows 2020 年 3 月 10 日发布的更新添加以下功能:
-
新的 域控制器:LDAP 服务器通道绑定令牌要求 组策略在受支持的设备上配置 LDAP 通道绑定。
LDAP 签名策略设置与注册表设置之间的映射包括如下:
-
策略设置:"域控制器:LDAP 服务器签名要求"
-
注册表设置: LDAPServerIntegrity
-
数据类型: DWORD
-
注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
组策略设置 |
注册表设置 |
|
无 |
1 |
|
要求签名 |
2 |
LDAP 通道绑定策略设置和注册表设置之间的映射包括如下:
-
策略设置:"域控制器:LDAP 服务器通道绑定令牌要求"
-
注册表设置: LdapEnforceChannelBinding
-
数据类型: DWORD
-
注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
组策略设置 |
注册表设置 |
|
从不 |
0 |
|
受支持时 |
1 |
|
始终 |
2 |
表 1:LDAP 签名事件
|
描述 |
触发器 |
|
|
通过配置服务器来强制验证 LDAP 签名,可以显著提高这些域控制器的安全性。 |
如果组策略设置为"无",则每 24 小时在启动时或服务启动时 触发一次。 最小日志记录级别:0 或更高 |
|
|
可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。 |
当组策略设置为"无"且至少完成了一个未受保护的绑定时,每 24 小时触发一次。 最小日志记录级别:0 或更高 |
|
|
可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。 |
当组策略设置为"需要签名"且至少一个未受保护的绑定被拒绝时,每 24 小时触发一次。 最小日志记录级别:0 或更高 |
|
|
可以通过将域控制器配置为拒绝简单的 LDAP 绑定请求和不包含 LDAP 签名的其他绑定请求来提高这些域控制器的安全性。 |
当客户端不使用对端口 389 上的会话上的绑定进行签名时触发。 最小日志记录级别:2 或更高 |
表 2:CBT 事件
|
事件 |
描述 |
触发器 |
|
3039 |
以下客户端通过 SSL/TLS 执行了 LDAP 绑定,但 LDAP 通道绑定令牌验证失败。 |
在下列任何情况下触发:
最小日志记录级别:2 |
|
3040 |
在过去 24 小时内,执行了未受保护的 LDAP 绑定数。 |
当 CBT 组策略设置为"从不"且至少完成了一个未受保护的绑定时,每隔 24 小时触发一次。 最小日志记录级别: 0 |
|
3041 |
可以通过将服务器配置为强制验证 LDAP 通道绑定令牌来大幅提升此目录服务器的安全性。 |
如果 CBT 组策略设置为"从不",则每 24 小时在启动时或服务启动时 触发一次。 最小日志记录级别: 0 |
若要在注册表中设置日志记录级别,请使用类似于下面的命令:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
若要详细了解如何配置 Active Directory 诊断事件日志记录,请参阅 Microsoft 知识库中的以下文章:
314980 如何配置 Active Directory 和 LDS 诊断事件日志记录
建议的操作
我们强烈建议客户尽早采取以下步骤:
-
发布更新时,在域控制器Windows DC (2020) 2020 年 3 月 10 日更新。
-
启用 LDAP 事件诊断日志记录到 2 或 更高版本。
-
在所有已筛选的 DC 角色计算机上监视目录服务事件日志:
-
标识事件 2889 引用的每个 IP 地址的制造、型号和设备类型,作为进行无符号 LDAP 调用或 3039 事件(表示未使用 LDAP 通道绑定)。
将设备类型分组为 3 个类别中的 1 个:
-
设备或路由器
-
请联系设备提供商。
-
-
未在操作系统上Windows的设备
-
通过使用操作系统和应用程序提供程序,验证操作系统以及应用程序是否同时支持 LDAP 通道绑定和 LDAP 签名。
-
-
在操作系统上Windows的设备
-
LDAP 签名可供所有受支持的版本上的所有应用程序使用Windows。 验证应用程序或服务是否正在使用 LDAP 签名。
-
LDAP 通道绑定要求Windows安装 CVE-2017-8563。 验证应用程序或服务是否正在使用 LDAP 通道绑定。
-
使用本地、远程、通用或特定于设备的跟踪工具(包括网络捕获、进程管理器或调试跟踪)来确定核心操作系统、服务或应用程序正在执行未签名的 LDAP 绑定还是不使用 CBT。
使用Windows或等效项将进程 ID 映射到进程、服务和应用程序名称。
安全更新计划
2020 年 3 月 10 日更新将为管理员提供控制,以强化 Active Directory 域控制器上 LDAP 通道绑定和 LDAP 签名的配置。 我们强烈建议客户尽早采取本文中建议的操作。
|
目标日期 |
事件 |
适用于 |
|
2020 年 3 月 10 日 |
必需:适用于所有受支持的 Windows 平台的 Windows 更新。 注意 对于Windows非标准支持的平台,此安全更新仅通过适用的扩展支持计划提供。 WINDOWS Server 2008 及更高版本上的 CVE-2017-8563 添加了 LDAP 通道绑定支持。 版本 1709 Windows 10版本支持通道绑定令牌。 Windows XP 不支持 LDAP 通道绑定,并且使用 Always 值配置 LDAP 通道绑定时会失败,但会与配置为使用更宽松的 LDAP 通道绑定设置的"受支持时"的 DC 互操作。 |
Windows 10,版本 1909 (19H2) |
常见问题
有关 Active Directory 域控制器上的 LDAP 通道绑定和 LDAP 签名的常见问题解答,请参阅有关轻型目录访问协议更改的常见问题解答。