更新於2025年1月3日
移除了手動啟用步驟的參考。 此步驟在 2023 年 11 月 14 日之前(Windows Server 2022)及 2024 年 1 月 9 日(Windows Server 2019)之前就已要求完成。
簡介
LDAP 通道綁定與 LDAP 簽約提供了提升 LDAP 用戶端與 Active Directory 網域控制器間通訊安全性的方法。 Active Directory 網域控制器上存在一組不安全的預設設定,允許 LDAP 用戶端與 LDAP 使用者通訊,而不會強制執行 LDAP 通道綁定與 LDAP 簽章。 這可能讓 Active Directory 網域控制站面臨權限提升的漏洞。
此漏洞可能允許中間人攻擊者成功將驗證請求轉發至未設定需通道綁定、簽署或封存的 Microsoft 網域伺服器。
Microsoft建議管理員採取ADV190023中所述的強化變更。
2020 年 3 月 10 日,我們針對此漏洞,提供以下選項,讓管理員能強化 Active Directory 網域控制器上的 LDAP 通道綁定設定:
-
域控制器:LDAP 伺服器通道綁定令牌需求 群組原則。
-
頻道綁定令牌 (CBT) 在目錄服務事件日誌中簽署事件 3039、3040 和 3041,事件發送者為 Microsoft-Windows-Active Directory_DomainService。
重要提示:2020 年 3 月 10 日的更新及未來可預見的更新,不會改變 LDAP 簽署或 LDAP 通道綁定的預設政策,或其登錄檔等效於新舊 Active Directory 網域控制器的做法。
LDAP 簽署網域控制器:LDAP 伺服器簽署需求政策已存在於所有支援的 Windows 版本中。 從 Windows Server 2022 23H2 版本開始,所有新版本的 Windows 都將包含本文中的所有變更。
為何需要這項改變
透過設定伺服器拒絕不請求簽署 (完整性驗證) 的 LDAP 綁定, (SASL) LDAP 綁定,或拒絕在明文且非 SSL/TLS 加密的) 連線上執行的 LDAP 簡單綁定,可以大幅提升 Active Directory 網域控制 (安全性。 SASL 可以包括協商協定、Kerberos 協定、NTLM 協定和摘要協定。
未簽名的網路流量容易受到重播攻擊,其中入侵者會攔截身份驗證嘗試和票證發行。 入侵者可以重用票證以喬裝合法使用者。 此外,未簽名網路流量容易受到中間人 (中間人) 攻擊,入侵者在用戶端與伺服器間擷取封包,修改封包,然後轉發給伺服器。 若發生在 Active Directory 網域控制器上,攻擊者可能使伺服器根據 LDAP 用戶端偽造的請求做出決策。 LDAPS 使用其獨立的網路埠連接用戶端與伺服器。 LDAP 的預設埠口是 389,但 LDAPS 使用 636 埠,並在連接用戶端時建立 SSL/TLS。
通道綁定令牌有助於提升 SSL/TLS 上的 LDAP 認證,對中間人攻擊更具安全性。
2020年3月10日更新
重要 2020 年 3 月 10 日的更新並未改變新舊 Active Directory 網域控制器上的 LDAP 簽署或 LDAP 通道綁定預設政策,或其登錄檔等效機制。
2020 年 3 月 10 日發布的 Windows 更新新增了以下功能:
LDAP 簽署政策設定與登錄檔設定之間的對應如下:
-
政策設定:「網域控制器:LDAP 伺服器簽約需求」
-
登記處設置: LDAPServerIntegrity
-
資料型態: DWORD
-
登記路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
群組原則設定 |
登錄檔設定 |
|
無 |
1 |
|
要求簽署 |
2 |
LDAP 通道綁定政策設定與登錄檔設定之間的映射如下:
-
政策設定:「網域控制器:LDAP 伺服器通道綁定令牌需求」
-
登記處設置: LdapEnforceChannelBinding
-
資料型態: DWORD
-
登記路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
|
群組原則設定 |
登錄檔設定 |
|
[永不] |
0 |
|
支持時 |
1 |
|
永遠 |
2 |
表1:LDAP簽署活動
|
描述 |
觸發程序 |
|
|
透過設定伺服器強制驗證 LDAP 簽章,這些網域控制器的安全性可大幅提升。 |
每 24 小時觸發一次,若群組原則設為 None,則在啟動或服務開始時觸發。 最低記錄等級:0 或以上 |
|
|
這些網域控制器的安全性可以透過設定為拒絕簡單的 LDAP 綁定請求及其他不含 LDAP 簽章的綁定請求來提升。 |
當群組原則設為 None 且至少完成一個未受保護綁定時,每 24 小時觸發一次。 最低記錄等級:0 或以上 |
|
|
這些網域控制器的安全性可以透過設定為拒絕簡單的 LDAP 綁定請求及其他不含 LDAP 簽章的綁定請求來提升。 |
當群組原則設定為「需要簽署」且至少有一個未受保護的綁定被拒絕時,每 24 小時觸發一次。 最低記錄等級:0 或以上 |
|
|
這些網域控制器的安全性可以透過設定為拒絕簡單的 LDAP 綁定請求及其他不含 LDAP 簽章的綁定請求來提升。 |
當用戶端在 389 埠的會話中未使用綁定簽名時觸發。 最低伐木等級:2 或以上 |
表二:認知行為療法(CBT)活動
|
事件 |
描述 |
觸發程序 |
|
3039 |
以下用戶端透過 SSL/TLS 執行 LDAP 綁定,但未能通過 LDAP 通道綁定令牌驗證。 |
在以下任一情況下觸發:
最低伐木等級:2 |
|
3040 |
在過去的 24 小時內,執行了 # 的未保護 LDAPs 綁定。 |
當 CBT 群組原則設為永不,且至少完成一次未受保護綁定時,每 24 小時觸發一次。 最低伐木等級: 0 |
|
3041 |
透過設定伺服器強制驗證 LDAP 通道綁定令牌,可大幅提升該目錄伺服器的安全性。 |
每 24 小時觸發一次,若 CBT 群組原則設為「永不」,則在啟動或服務開始時觸發。 最低伐木等級: 0 |
要設定登錄檔中的日誌等級,請使用類似以下指令的指令:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v 「16 LDAP 介面事件」 /t REG_DWORD /d 2
欲了解更多如何設定 Active Directory 診斷事件記錄的資訊,請參閱 如何設定 Active Directory 與 LDS 診斷事件記錄。
2023年8月8日更新
部分用戶端機器無法使用 LDAP 通道綁定權杖來綁定 Active Directory 網域控制器 (DC) 。 Microsoft 於 2023 年 8 月 8 日發布了安全更新。 針對 Windows Server 2022,此更新新增管理員審核這些用戶端的選項。 你可以在目錄服務事件日誌中啟用事件來源 **Microsoft-Windows-ActiveDirectory_DomainService** 啟用 CBT 事件 3074 和 3075。
重要 2023 年 8 月 8 日的更新並未更改 LDAP 簽署、LDAP 通道綁定預設政策,或其在新舊 Active Directory DC 上的登錄對應機制。
2020年3月更新章節中的所有指引同樣適用於此處。 新的稽核事件將需要上述指引中所述的政策與登錄設定。 同時也有一個啟用步驟,可以看到新的審計事件。 但 2023 年 11 月 14 日的更新移除了該啟用步驟。 新的實施細節詳見下方的建議行動區塊。
表3:CBT事件
|
事件 |
描述 |
觸發程序 |
|
3074 |
以下用戶端透過 SSL/TLS 執行 LDAP 綁定,若目錄伺服器設定強制驗證通道綁定令牌,該裝置將失敗。 |
在以下任一情況下觸發:
最低伐木等級: 2 |
|
3075 |
以下用戶端透過 SSL/TLS 執行 LDAP 綁定,且未提供通道綁定資訊。 當此目錄伺服器設定為強制驗證通道綁定標記時,此綁定操作將被拒絕。 |
在以下任一情況下觸發:
最低伐木等級: 2 |
附註 當你將日誌等級設定為至少 2 時,事件 ID 3074 就會被記錄。 管理員可利用此方法審核不使用通道綁定令牌的客戶端。 活動將包含以下診斷資訊以識別個案:
Client IP address: 192.168.10.5:62709 用戶端嘗試驗證的身份為: CONTOSO\管理員 用戶端支援通道綁定:FALSE 支援模式下允許用戶端:TRUE。 審計結果標記:0x42
|
旗幟名稱 |
旗幟價值 |
Comment |
|
SEC_CHANNEL_BINDINGS_RESULT_CLIENT_SUPPORT |
0x01 |
驗證套件表示客戶端版本應該支援綁定 |
|
SEC_CHANNEL_BINDINGS_RESULT_ABSENT |
0x02 |
綁定被省略或全部為零 |
|
SEC_CHANNEL_BINDINGS_RESULT_NOTVALID_MISMATCH |
0x04 |
通道綁定雜湊值不正確 |
|
SEC_CHANNEL_BINDINGS_RESULT_NOTVALID_MISSING |
0x08 |
此用戶端不允許缺少通道綁定 |
|
SEC_CHANNEL_BINDINGS_RESULT_VALID_MATCHED |
0x10 |
客戶端與伺服器綁定相符 |
|
SEC_CHANNEL_BINDINGS_RESULT_VALID_PROXY |
0x20 |
ASC_REQ_PROXY_BINDINGS要求客戶提供約束 |
|
SEC_CHANNEL_BINDINGS_RESULT_VALID_MISSING |
0x40 |
客戶已獲ASC_REQ_ALLOW_MISSING_BINDINGS許可 |
包含位元數的旗標值0x30是有效的CBT欄位,旗標值包含位元0x0C表示錯誤的CBT。
2023年10月10日更新
2023 年 8 月新增的稽核變更現已可在 Windows Server 2019 上使用。 針對該作業系統,更新新增了管理員審核這些客戶端的選項。 你可以啟用CBT事件3074和3075。 請在目錄服務事件日誌中使用事件來源 **Microsoft-Windows-ActiveDirectory_DomainService**。
重要 2023 年 10 月 10 日的更新並未更改 LDAP 簽署、LDAP 通道綁定預設政策,或新舊 Active Directory DC 上的登錄對應機制。
2020年3月更新章節中的所有指引同樣適用於此處。 新的稽核事件將需要上述指引中所述的政策與登錄設定。 同時也有一個啟用步驟,可以看到新的審計事件。 但 2024 年 1 月 9 日的更新移除了這個啟用步驟。 新的實施細節詳見下方的建議行動區塊。
2023年11月14日更新
2023 年 8 月新增的稽核變更現已可在 Windows Server 2022 上使用,無需手動啟用步驟。 請依照建議步驟操作。
2024年1月9日更新
2023 年 10 月新增的稽核變更現已可在 Windows Server 2019 上使用,無需手動啟用步驟。 請依照建議步驟操作。
建議動作
我們強烈建議客戶盡早採取以下步驟:
-
確保 2020 年 3 月 10 日或之後的 Windows 更新已安裝在網域控制器 (DC) 角色電腦上。 如果您想啟用 LDAP 通道綁定稽核事件,請確保 2023 年 11 月 14 日或之後的更新已安裝在 Windows Server 2022 或 Server 2019 的 DC 上。
-
啟用 LDAP 事件診斷記錄至 2 或更高。
-
監控所有篩選過以下 DC 角色電腦的目錄服務事件日誌:
-
請根據以下方式標明每個 IP 位址的品牌、型號及裝置類型:
-
用於發送未簽名 LDAP 呼叫的事件 2889
-
未使用 LDAP 通道綁定的事件 3039
-
事件 3074 或 3075 因無法進行 LDAP 通道綁定而引起
-
裝置類型
將裝置類型分為三大類之一:
-
家電還是路由器 -
-
聯絡裝置供應商。
-
-
無法在 Windows 作業系統上執行的裝置——
-
確認作業系統與應用程式都支援 LDAP 通道綁定與 LDAP 簽約。 透過與作業系統及應用程式提供者合作來達成此目標。
-
-
能在 Windows 作業系統上運行的裝置——
-
LDAP 簽約功能可供所有支援版本的 Windows 應用程式使用。 確認你的應用程式或服務是否使用 LDAP 簽約。
-
LDAP 通道綁定要求所有 Windows 裝置都安裝 CVE-2017-8563 。 確認你的應用程式或服務是否使用 LDAP 通道綁定。
-
使用本地、遠端、通用或特定裝置的追蹤工具。 這些包括網路擷取、程序管理器或除錯追蹤。 判斷核心作業系統、服務或應用程式是否執行未簽署的 LDAP 綁定,或未使用 CBT。
使用 Windows 工作管理員或類似軟體,將程序 ID 對應到程序、服務及應用程式名稱。
安全性更新排程
2020 年 3 月 10 日的更新新增了管理員在 Active Directory 網域控制器上加強 LDAP 通道綁定與 LDAP 簽約設定的控制。 2023 年 8 月 8 日與 10 月 10 日的更新新增了管理員審核無法使用 LDAP 通道綁定令牌的用戶端機器的選項。 我們強烈建議客戶盡早採取本文建議的行動。
|
目標日期 |
事件 |
適用於 |
|
2020 年 3 月 10 日 |
必需:所有支援的 Windows 平台,Windows Update 上皆可取得安全更新。 附註 對於超出標準支援的 Windows 平台,此安全更新僅能透過適用的延伸支援計畫提供。 LDAP 通道綁定支援由 CVE-2017-8563 在 Windows Server 2008 及後續版本中新增。 通道綁定令牌支援於 Windows 10、版本 1709 及之後版本。 Windows XP 不支援 LDAP 通道綁定,當以 Always 值設定 LDAP 通道綁定時會失敗,但可與設定為較寬鬆 LDAP 通道綁定設定的 DC 互通,該設定為 When Supports。 |
Windows Server 2022 Windows 10,版本 20H2 Windows 10,1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (擴展安全更新 (ESU) ) |
|
2023 年 8 月 8 日 |
新增 LDAP 通道綁定令牌稽核事件 (3074 & 3075) 。 在 Windows Server 2022 中,這些功能預設是被停用的。 |
Windows Server 2022 |
|
2023 年 10 月 10 日 |
新增 LDAP 通道綁定令牌稽核事件 (3074 & 3075) 。 在 Windows Server 2019 中,這些系統預設是被停用的。 |
Windows Server 2019 |
|
2023年11月14日 |
LDAP 通道綁定令牌稽核事件可在 Windows Server 2022 上使用,無需手動啟用步驟。 |
Windows Server 2022 |
|
2024 年 1 月 9 日 |
LDAP 通道綁定令牌審核事件可在 Windows Server 2019 上使用,無需手動啟用步驟。 |
Windows Server 2019 |
常見問題集
關於 Active Directory 網域控制器上的 LDAP 通道綁定與 LDAP 簽約常見問題解答,請參見:
