Windows (KB4520412) 的 2020、2023 和 2024 LDAP 通道系結和 LDAP 簽署要求

簡介

LDAP 通道系結和LDAP簽署提供提高LDAP用戶端與Active Directory域控制器之間通訊安全性的方式。 Active Directory 域控制器上存在一組不安全的LDAP通道系結和LDAP簽署預設設定，可讓LDAP用戶端在不強制執行LDAP通道系結和LDAP簽署的情況下與他們通訊。這可能會將 Active Directory 域控制器開啟到許可權弱點的提升。

此弱點可能會讓中間人攻擊者成功將驗證要求轉寄至尚未設定為需要通道系結、簽署或封存內送連線的 Microsoft 網域伺服器。

Microsoft 建議系統管理員進行ADV190023中所述的硬化變更。

我們已在 2020 年 3 月 10 日提供下列選項，讓系統管理員針對 Active Directory 域控制器的 LDAP 通道系結設定進行硬化，藉此解決此弱點：

域控制器：LDAP 伺服器通道系結令牌需求 群組原則。
通道系結令牌 (CBT) 在目錄服務事件記錄檔中與事件發件者 Microsoft-Windows-Active Directory_DomainService簽署事件 3039、3040 和 3041。

重要：2020 年 3 月 10 日的更新，以及可預期的未來更新，不會變更新版或現有 Active Directory 域控制器上的 LDAP 簽署或 LDAP 通道系結默認原則或其登錄等值。

LDAP 簽署域控制器：LDAP 伺服器簽署需求原則已存在於所有支援的 Windows 版本中。從 Windows Server 2022、23H2 Edition 開始，所有新版 Windows 都會包含本文中的所有變更。

為什麼需要此變更

將伺服器設為拒絕簡單驗證和安全性層 (SASL) 未要求 (完整性驗證) 的 LDAP 系結，或拒絕在清除文字 (非 SSL/TLS 加密) 連線上執行的 LDAP 簡易系結，可大幅改善 Active Directory 域控制器的安全性。 SASL 可以包括協商協定、Kerberos 協定、NTLM 協定和摘要協定。

未簽名的網路流量容易受到重播攻擊，其中入侵者會攔截身份驗證嘗試和票證發行。入侵者可以重用票證以喬裝合法使用者。此外，未簽署的網路流量容易受到中間人 (MiTM) 攻擊，其中入侵者擷取客戶端和伺服器之間的封包、變更封包，然後轉寄至伺服器。如果在 Active Directory 網域控制器上發生此問題，攻擊者可能會導致伺服器根據來自LDAP客戶端的偽造要求來做出決策。 LDAPS 使用其專屬的網路埠來連接客戶端和伺服器。 LDAP 的預設埠為埠 389，但 LDAPS 使用埠 636，並且在與用戶端連線時建立 SSL/TLS。

通道系結令牌可協助讓 SSL/TLS 上的 LDAP 驗證更加安全，避免中間人攻擊。

2020 年 3 月 10 日更新

重要： 2020 年 3 月 10 日的更新不會變更新版或現有 Active Directory 域控制器上的 LDAP 簽署或 LDAP 通道系結預設原則或其對應登錄。

將於 2020 年 3 月 10 日發行的 Windows 更新新增下列功能：

新事件會記錄在與LDAP通道系結相關的事件檢視器中。如需這些事件的詳細數據，請參閱數據表 1 和表格 2 。
新的域控制器：LDAP 伺服器通道系結令牌需求 群組原則在支援的裝置上設定LDAP通道系結。

LDAP 簽署原則設定和登錄設定之間的對應如下所示：

原則設定：「域控制器：LDAP 伺服器簽署要求」
登入設定： LDAPServerIntegrity
DataType： DWORD
登入路徑： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

群組原則設定]	登錄設定
無	1
需要登入	2

LDAP 通道系結原則設定和登錄設定之間的對應如下所示：

原則設定：「域控制器：LDAP 伺服器通道系結令牌需求」
登入設定： LdapEnforceChannelBinding
DataType： DWORD
登入路徑： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

群組原則設定]	登錄設定
[永不]	0
支援時	1
永遠	2

數據表 1：LDAP 簽署事件

	描述	觸發
2886	將伺服器設定為強制驗證 LDAP 簽章，可大幅改善這些域控制器的安全性。	如果群組原則設為 [無]，則每 24 小時在啟動或開始服務時觸發一次。最低記錄層級：0 或更高版本
2887	您可以藉由設定這些域控制器拒絕簡單的LDAP系結要求及其他不含LDAP簽入的系結要求，來改善這些域控制器的安全性。	當群組原則設定為 [無]，且至少完成一個未受保護的系結時，每 24 小時觸發一次。最低記錄層級：0 或更高版本
2888	您可以藉由設定這些域控制器拒絕簡單的LDAP系結要求及其他不含LDAP簽入的系結要求，來改善這些域控制器的安全性。	當群組原則設定為 [需要簽署] 且至少一個未受保護的系結遭到拒絕時，每 24 小時觸發一次。最低記錄層級：0 或更高版本
2889	您可以藉由設定這些域控制器拒絕簡單的LDAP系結要求及其他不含LDAP簽入的系結要求，來改善這些域控制器的安全性。	當用戶端不在埠 389 的會話上使用 binds 登入時觸發。最低記錄層級：2 或更高版本

數據表 2：CBT 事件

事件	描述	觸發
3039	下列客戶端執行的LDAP系結通過SSL/TLS，但LDAP通道系結令牌驗證失敗。	在下列任一情況下觸發：如果 CBT 群組原則設為 [受支援時] 或 [一律]，當用戶端嘗試使用格式不正確的通道系結令牌 (CBT) 。如果 CBT 群組原則設為 [支援時]，則具有通道系結能力的客戶端無法傳送 CBT。如果在操作系統中安裝或提供，且未透過登錄設定 SuppressExtendedProtection 停用，用戶端便能系結通道。若要深入瞭解，請參閱KB5021989。如果 CBT 群組原則設為 [永遠]，當客戶端無法傳送 CBT 時。最低記錄層級：2
3040	在前 24 小時期間，已執行 # 的未受保護 LDAP 系結。	當 CBT 群組原則設為 [永不] 且至少已完成一個未受保護的系結時，每 24 小時觸發一次。最低記錄層級： 0
3041	設定伺服器強制驗證 LDAP 通道系結令牌，可大幅改善此目錄伺服器的安全性。	如果 CBT 群組原則設為 [永不]，則每 24 小時在啟動或開始服務時觸發一次。最低記錄層級： 0

若要在登入設定紀錄層級，請使用類似下列的命令：

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP 介面事件” /t REG_DWORD /d 2

如需如何設定 Active Directory 診斷事件記錄的詳細資訊，請參閱如何設定 Active Directory 和 LDS 診斷事件記錄。

2023 年 8 月 8 日更新

某些用戶端計算機無法使用LDAP通道系結令牌系結至Active Directory域控制器， (DCS) 。 Microsoft 將於 2023 年 8 月 8 日發行安全性更新。對於 Windows Server 2022，此更新新增了系統管理員稽核這些客戶端的選項。您可以在目錄服務事件記錄檔中，使用事件來源 **Microsoft-Windows-ActiveDirectory_DomainService** 啟用 CBT 事件 3074 和 3075。

重要： 2023 年 8 月 8 日更新不會變更 LDAP 簽署、LDAP 通道系結默認原則，或是新版或現有 Active Directory DCS 上的登錄等值。

2020 年 3 月更新一節中的所有指引也適用於此處。新的稽核事件將需要上述指引中所述的原則和登錄設定。另外還有一個啟用步驟，可查看新的稽核事件。新的實作詳細數據位於下方的 [建議動作] 區段中。

表格 3：CBT 事件

事件

描述

觸發

3074

下列用戶端執行的LDAP系結通過SSL/TLS，如果目錄伺服器設定為強制驗證通道系結令牌，則會失敗通道系結令牌驗證。

在下列任一情況下觸發：

當客戶端嘗試使用格式不正確的通道系結令牌 (CBT)

最低記錄層級： 2

3075

下列用戶端執行 SSL/TLS 的 LDAP 系結，且未提供通道系結資訊。當此目錄伺服器設定為強制驗證通道系結令牌時，此系結作業將會遭到拒絕。

在下列任一情況下觸發：

當具有通道系結能力的客戶端無法傳送 CBT 時
如果在操作系統中安裝或提供，且未透過登錄設定 SuppressExtendedProtection 停用，用戶端便能系結通道。若要深入瞭解，請參閱KB5021989。

最低記錄層級： 2

注意當您將記錄層級設定為至少 2 時，會記錄事件識別碼 3074。系統管理員可以使用此功能，針對不使用通道系結令牌的客戶，稽核其環境。事件會包含下列診斷資訊，以識別用戶端：

Client IP address: 192.168.10.5：62709
將客戶嘗試驗證的身分識別為：
CONTOSO\Administrator
用戶端支援通道系結：FALSE
用戶端在支援模式下允許：TRUE
稽核結果標幟：0x42

2023 年 10 月 10 日更新

Windows Server 2019 現已推出 2023 年 8 月新增的稽核變更。針對該操作系統，此更新會為系統管理員新增稽核這些客戶端的選項。您可以啟用 CBT 事件 3074 和 3075。在目錄服務事件記錄檔中使用事件來源 **Microsoft-Windows-ActiveDirectory_DomainService**。

重要： 2023 年 10 月 10 日的更新不會變更 LDAP 簽署、LDAP 通道系結預設原則，或在新或現有 Active Directory DCS 上對應的登錄。

2020 年 3 月更新一節中的所有指引也適用於此處。新的稽核事件將需要上述指引中所述的原則和登錄設定。另外還有一個啟用步驟，可查看新的稽核事件。新的實作詳細數據位於下方的 [建議動作] 區段中。

2023 年 11 月 14 日更新

Windows Server 2022 現在提供 2023 年 8 月新增的稽核變更。您不需要安裝 MSI 或建立建議動作步驟 3 中所述的原則。

2024 年 1 月 9 日更新

2023 年 10 月新增的稽核變更現已可在 Windows Server 2019 上使用。您不需要安裝 MSI 或建立建議動作步驟 3 中所述的原則。

建議動作

我們強烈建議客戶儘早採取下列步驟：

確定 2020 年 3 月 10 日或更新版本的 Windows 更新已安裝在域控制器 (DC) 角色電腦上。如果您想要啟用LDAP通道系結稽核事件，請確定Windows Server 2022 或 Server 2019 DCS 上已安裝 2023 年 8 月 8 日或更新版本的更新。
啟用LDAP事件診斷記錄到 2 或更高版本。
使用群組原則啟用 2023 年 8 月或 2023 年 10 月稽核事件更新。如果您已在 Windows Server 2022 上安裝 2023 年 11 月或更新版本更新，您可以略過此步驟。如果您已在 Windows Server 2019 上安裝 2024 年 1 月或更新版本更新，您也可以略過此步驟。
- 從 Microsoft 下載中心下載每個作業系統版本的兩個啟用 MSI：
- 展開 MSI 以安裝包含原則定義的新 ADMX 檔案。如果您使用中央市集進行群組原則，請將ADMX檔案複製到中央商店。
- 將對應的原則套用至您的域控制器 OU 或伺服器 2022 或 Server 2019 DCS 的子集合。
- 重新啟動DC，變更才會生效。
監控所有針對下列項目篩選的DC角色電腦上的目錄服務事件記錄檔：
- 數據表 1 中的 LDAP 簽署失敗事件 2889。
- 數據表 2 中的 LDAP 通道系結失敗事件 3039。
- 數據表 3 中的 LDAP 通道系結稽核事件 3074 和 3075。
  
  注意事件 3039、3074 和 3075 只能在通道系結設定為 [ 受支援時 ] 或 [ 一律] 時產生。
針對引用的每個IP位址識別裝置的製造商、型號和類型：
- 進行未簽署LDAP通話的事件 2889
- 未使用LDAP通道系結的事件 3039
- 事件 3074 或 3075 無法使用 LDAP 通道系結

裝置類型

將裝置類型分成 3 個類別中的 1 種：

裝置或路由器 -
- 請連絡裝置提供者。
無法在 Windows 作業系統上執行的裝置 -
- 確認操作系統和應用程式都支援LDAP通道系結和LDAP簽署。請與作業系統和應用程式提供者合作來執行此動作。
可在 Windows 作業系統上執行的裝置 -
- 所有支援的 Windows 版本上的所有應用程式都可以使用 LDAP 簽署。確認您的應用程式或服務正在使用LDAP簽署。
- LDAP 通道系結需要所有 Windows 裝置都已安裝 CVE-2017-8563 。確認您的應用程式或服務使用LDAP通道系結。

使用本機、遠端、一般或裝置特定的追蹤工具。其中包括網路擷取、處理管理員或偵錯追蹤。判斷核心操作系統、服務或應用程式是否正在執行未簽署的LDAP系結，還是未使用CBT。

使用 Windows 工作管理員或等同的程式識別碼對應至處理、服務和應用程式名稱。

安全性更新排程

2020 年 3 月 10 日的更新為系統管理員新增了控件，以增強 LDAP 通道系結和 Active Directory 域控制器上 LDAP 登入的設定。 2023 年 8 月 8 日和 10 月 10 日更新新增選項，讓系統管理員可以稽核無法使用 LDAP 通道系結令牌的用戶端電腦。我們強烈建議客戶儘早採取本文建議採取的動作。

目標日期	事件	適用於
2020 年 3 月 10 日	必要：可在所有支援的 Windows 平臺 Windows Update 上使用安全性更新。注意對於已終止標準支援的 Windows 平臺，此安全性更新僅可透過適用的外延支援程式取得。 Windows Server 2008 和更新版本上的 CVE-2017-8563 已新增 LDAP 通道系結支援。 Windows 10 版本 1709 和更新版本支援通道系結令牌。 Windows XP 不支援 LDAP 通道系結，且使用 Always 值設定 LDAP 通道系結時會失敗，但會與設定為使用較寬鬆 LDAP 通道系結設定的 DCS 進行互操作，並在支援時使用更輕鬆的 LDAP 通道裝訂設定。	Windows Server 2022 Windows 10 版本 20H2 Windows 10 版本 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (ESU (延伸安全性更新) )
2023 年 8 月 8 日	新增 LDAP 通道系結令牌稽核事件 (3074 & 3075) 。 Windows Server 2022 預設會停用這些功能。	Windows Server 2022
2023 年 10 月 10 日	新增 LDAP 通道系結令牌稽核事件 (3074 & 3075) 。 Windows Server 2019 預設會停用這些功能。	Windows Server 2019
2023年11月14日	LDAP 通道系結令牌稽核事件不需安裝啟用 MSI (即可在 Windows Server 2022 上使用，如建議動作) 步驟 3 中所述。	Windows Server 2022
2024 年 1 月 9 日	LDAP 通道系結令牌稽核事件不需安裝啟用 MSI (即可在 Windows Server 2019 上使用，如建議動作) 步驟 3 中所述。	Windows Server 2019

常見問題集

如需有關 Active Directory 域控制器上 LDAP 通道系結和 LDAP 登入的常見問題解答，請參閱：