Windows 的 2020 LDAP 通道繫結和 LDAP 簽名要求

適用於: Windows 10, version 1909, all editionsWindows 10, version 1903, all editionsWindows 10, version 1809, all editions

摘要


LDAP 通道繫結 LDAP 簽署提供了提高 Active Directory Domain Services (AD DS) 或 Active Directory 輕量型目錄服務(AD LDS) 及其用戶端之間的網路通信安全性的方法。 輕量型目錄存取通訊協定(LDAP) 通道繫結和 LDAP 簽署的預設設定中具有漏洞,並且可能曝露 Active Directory 網域控制站以提升權限漏洞。  Microsoft 安全通報 ADV190023 通過建議管理員 在 Active Directory 網域控制站上啟用 LDAP 通道繫結和 LDAP 簽署來解決此問題。  發佈安全更新前必須手動執行此強化,預設情況下啟用這些設定。 

Microsoft 想要在 Windows Update 發佈安全性更新,以啟用 LDAP 通道繫結LDAP 簽署強化變更。預計將在 2020 年 3 月發佈此更新。

為什麼需要此變更


Microsoft 建議管理員進行 ADV190023 中描述的強化更改, 因為使用預設設置時,Microsoft Windows 中存在權限提高漏洞,該漏洞可能允許中間人攻擊者將身份驗證請求成功轉發到 Windows LDAP 伺服器,例如運行 AD DS 或 AD LDS 的系統,該伺服器未配置為要求對傳入連接進行簽名或密封。  透過將伺服器設定為拒絕不要求簽署(完整性驗證)的簡單驗證及安全性階層(SASL)LDAP 繫結,或拒絕在明文(非 SSL/TLS 加密)連線中執行的 LDAP 簡單繫結,可大幅提高目錄伺服器的安全性。 SASL 可以包括協商協定、Kerberos 協定、NTLM 協定和摘要協定。 未簽名的網路流量容易受到重播攻擊,其中入侵者會攔截身份驗證嘗試和票證發行。 入侵者可以重用票證以喬裝合法使用者。 此外,未簽名的網路流量容易受到中間人攻擊,其中入侵者在用戶端和伺服器之間捕獲資料包,更改資料包,然後將資料包轉發到伺服器。 如果這種情況發生在 LDAP 伺服器上,攻擊者可能導致伺服器根據來自 LDAP 用戶端的偽造請求做出決策。

建議動作


我們強烈建議管理員即日起到 2020 年 3 月期間,啟用 LDAP 通道繫結和 LDAP 簽署,以尋找和修正其環境中的任何作業系統、應用程式或中繼裝置相容性問題。  如果發現任何相容性問題,管理員需要聯繫該特定作業系統、應用程式或設備的製造商以獲取支援。

重要提示 任何作業系統版本、應用程式和中繼裝置執行 LDAP 流量的中間人檢查都最有可能受到此強化更改的影響。

安全性更新排程


Microsoft 的目標是按照以下排程啟用 LDAP 通道繫結和 LDAP 簽署支援。 請注意,下面的時間表可能會變更。 程序開始後,我們將根據需要更新此頁面。

目標日期

事件

適用於

2019 年 8 月 13 日

採取行動: 發佈 Microsoft 安全通報 ADV190023 以引入 LDAP 通道繫結和 LDAP 簽署支援。 管理員需要在其伺服器上手動調整這些設定後,在其環境中進行測試。

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1、 
Windows Server 2012、

Windows 8.1、
Windows Server 2012 R2,
Windows 10 1507、
Windows Server 2016、
Windows 10 1607、
Windows 10 1703、
Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019、

Windows 10 1903、
Windows 10 1909

2020 年 3 月

必要項目: 安全更新預設情況下所有受支援的 Windows 平臺在 Windows 更新上提供安全更新,這些平臺將在活動目錄伺服器上啟用 LDAP 通道繫結和 LDAP 簽署。

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1、
Windows Server 2012、

Windows 8.1、
Windows Server 2012 R2,
Windows 10 1507、
Windows Server 2016、
Windows 10 1607、
Windows 10 1703、
Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019、

Windows 10 1903、
Windows 10 1909