2020, 2023 i 2024 LDAP povezivanje kanala i zahtevi za LDAP potpisivanje za Windows (KB4520412)

Uvod

Povezivanje LDAP kanala i LDAP potpisivanje pružaju načine za povećanje bezbednosti za komunikaciju između LDAP klijenata i Active Directory kontrolera domena. Skup nebezbednih podrazumevanih konfiguracija za povezivanje LDAP kanala i LDAP potpisivanje postoji na Active Directory kontrolerima domena koji omogućavaju LDAP klijentima da komuniciraju sa njima bez nametanja povezivanja LDAP kanala i LDAP potpisivanja. To može da otvori Active Directory kontrolere domena radi podizanje ranjivosti privilegija.

Ova ranjivost može da omogući čoveku koji je u sredini napadač da uspešno prosledi zahtev za potvrdu identiteta serveru Microsoft domena koji nije konfigurisan tako da zahteva povezivanje kanala, potpisivanje ili zaduživanje na dolaznim vezama.

Microsoft preporučuje administratorima da unoše otežene promene opisane u ADV190023.

10. marta 2020. rešavamo ovu ranjivost tako što administratorima pružamo sledeće opcije da očvrsnu konfiguracije za povezivanje LDAP kanala na Active Directory kontrolere domena:

Kontroler domena: zahtevi tokena za povezivanje kanala LDAP servera Smernice grupe.
Događaji potpisivanja tokena za povezivanje kanala (CBT) 3039, 3040 i 3041 sa pošiljaocem događaja Microsoft-Windows-Active Directory_DomainService u evidenciji događaja usluge direktorijuma.

Važno: Ispravke od 10. marta 2020. i ispravke u predviрejoj buduжnosti neće promeniti LDAP potpisivanje ili podrazumevane smernice za povezivanje LDAP kanala ili njihovu jednaku vrednost registratora na novim ili postojećim Active Directory kontrolerima domena.

LDAP kontroler potpisa domena: Smernice za zahteve za potpisivanje LDAP servera već postoje u svim podržanim verzijama operativnog sistema Windows. Počevši od sistema Windows Server 2022, 23H2 Edition, sve nove verzije operativnog sistema Windows sadržaće sve promene u ovom članku.

Zašto je potrebna ova promena

Bezbednost Active Directory kontrolera domena može se znatno poboljšati konfigurisanjem servera da odbaci LDAP povezivanja simple authentication and Security Layer (SASL) koja ne zahtevaju potpisivanje (verifikaciju integriteta) ili odbacivanje LDAP jednostavnih povezivanja koja se izvršavaju na čistom tekstu (koja nije SSL/TLS šifrovana) veza. SASL-ovi mogu da uključuju protokole kao što su "Pregovori", "Kerberos", "NTLM" i "Digest".

Nepotpisani mrežni saobraćaj podložan je ponovnom reprodukociji napada u kojima uljez presretne pokušaj potvrde identiteta i izdavanje tiketa. Uljez može ponovo da koristi tiket da imitira valjanog korisnika. Pored toga, nepotpisani mrežni saobraćaj je podložan napadima ljudi u sredini (MiTM) u kojima uljez hvata pakete između klijenta i servera, menja pakete, a zatim ih prosleđuje na server. Ako se to desi na kontroloru domena aktivnog direktorijuma, napadač može da izazove da server donosi odluke zasnovane na isklesanim zahtevima LDAP klijenta. LDAPS koristi sopstveni poseban mrežni port za povezivanje klijenata i servera. Podrazumevani port za LDAP je port 389, ali LDAPS koristi port 636 i uspostavlja SSL/TLS nakon povezivanja sa klijentom.

Tokeni povezivanja kanala pomažu da LDAP potvrda identiteta preko SSL/TLS-a bude bezbednija od napada ljudi u sredini.

Ispravke za 10. mart 2020.

Vaћno Ispravke od 10. marta 2020. ne menjaju LDAP potpisivanje ili podrazumevane smernice za povezivanje LDAP kanala ili njihovog jednakog registratora na novim ili postojećim Active Directory kontrolerima domena.

Ispravke za Windows koje će biti objavljene 10. marta 2020. dodaju sledeće funkcije:

Novi događaji se evidentiraju u Prikazivač događaja povezivanja LDAP kanala. Detalje o ovim događajima potražite u člancima Tabela 1 i Tabela 2.
Novi kontroler domena: zahtevi za povezivanje tokena kanala LDAP servera Smernice grupe da konfiguriše povezivanje LDAP kanala na podržanim uređajima.

Mapiranje između postavki LDAP smernica za potpisivanje i postavki registratora uključeno je na sledeći način:

Postavka smernica: "Kontroler domena: zahtevi za potpisivanje LDAP servera"
Postavka registratora: LDAPServerIntegrity
Tippodataka: DWORD
Putanja registratora: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Smernice grupe postavki	Postavka registratora
Niko	1
Zahtevaj potpisivanje	2

Mapiranje između postavki smernica za povezivanje LDAP kanala i postavki registratora uključeno je na sledeći način:

Postavka smernica: "Kontroler domena: zahtevi tokena za povezivanje kanala LDAP servera"
Postavka registratora: LdapEnforceChannelBinding
Tippodataka: DWORD
Putanja registratora: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Smernice grupe postavki	Postavka registratora
Nikad	0
Kada je podržano	1
Uvek	2

Tabela 1: događaji LDAP potpisivanja

	Opis	Okidaи
2886	Bezbednost ovih kontrolera domena može se znatno poboljšati konfigurisanje servera da nametne proveru valjanosti LDAP potpisivanja.	Pokreće se svaka 24 časa, pri pokretanju ili pokretanju usluge ako je Smernice grupe podešen na Nijedno. Minimalni nivo vođenja evidencije: 0 ili više
2887	Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.	Pokreće se svaka 24 časa kada Smernice grupe postavljena na Nijedno i dovršeno je bar jedno nezaštićeno povezivanje. Minimalni nivo vođenja evidencije: 0 ili više
2888	Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.	Pokreće se svaka 24 časa kada Smernice grupe postavku "Zahtevaj potpisivanje" i bar jedno nezaštićeno povezivanje je odbijeno. Minimalni nivo vođenja evidencije: 0 ili više
2889	Bezbednost ovih kontrolera domena se može poboljšati tako što ćete ih konfiguriše da odbace jednostavne zahteve za LDAP povezivanje i druge zahteve za povezivanje koji ne uključuju LDAP potpisivanje.	Aktivira se kada klijent ne koristi potpisivanje za povezivanja na sesijama na portu 389. Minimalni nivo vođenja evidencije: 2 ili više

Tabela 2: CBT događaji

Događaja	Opis	Okidaи
3039	Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i nije uspeo validaciju tokena povezivanja LDAP kanala.	Pokrenuto u bilo kom od sledećih okolnosti: Kada klijent pokuša da se poveže sa neisklađenim tokenom povezivanja kanala (CBT) ako je CBT Smernice grupe podešen na opciju Kada je podržana ili Uvek. Kada klijent koji može da poveže kanal ne pošalje CBT ako je CBT Smernice grupe podešen na Kada je podržano. Klijent može da poveže kanal ako je EPA funkcija instalirana ili dostupna u operativnom sistemu i nije onemogućena putem postavke registratora SuppressExtendedProtection. Da biste saznali više, pogledajte KB5021989. Kada klijent ne pošalje CBT ako je CBT Smernice grupe podešen na Uvek. Minimalni nivo vođenja evidencije: 2
3040	Tokom prethodnog 24-časovnog perioda izvršeno je # nezaštićenih LDAP povezivanja.	Pokreće se svaka 24 časa kada je CBT Smernice grupe podešen na "Nikada" i dovršeno je bar jedno nezaštićeno povezivanje. Minimalni nivo vođenja evidencije: 0
3041	Bezbednost ovog servera direktorijuma može se znatno poboljšati konfigurisanje servera da nametne proveru valjanosti tokena povezivanja LDAP kanala.	Pokreće se svaka 24 časa, pri pokretanju ili pokretanju usluge ako je CBT Smernice grupe podešen na Nikada. Minimalni nivo vođenja evidencije: 0

Da biste postavili nivo vođenja evidencije u registratoru, koristite komandu koja izgleda ovako:

Dodajte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 događaja LDAP interfejsa" /t REG_DWORD /d 2

Dodatne informacije o konfigurisanju vođenja evidencije o dijagnostičkim događajima u aktivnom direktorijumu potražite u članku Konfigurisanje evidentiranja Active Directory i LDS vođenja evidencije o dijagnostičkim događajima.

Ispravke za 8. avgust 2023.

Neki klijentski računari ne mogu da koriste tokene povezivanja LDAP kanala za povezivanje sa Active Directory kontrolorima domena (DCs). Microsoft će izdati bezbednosnu ispravku 8. avgusta 2023. Za Windows Server 2022 ova ispravka dodaje opcije administratorima za nadzor ovih klijenata. CBT događaje 3074 i 3075 možete da omogućite pomoću izvora događaja **Microsoft-Windows-ActiveDirectory_DomainService** u evidenciji događaja usluge direktorijuma.

Vaћno Ispravka od 8. avgusta 2023. ne menja LDAP potpisivanje, podrazumevane smernice za povezivanje LDAP kanala ili njihovog jednakog registratora na novim ili postojećim Active Directory DC-ovima.

Ovde se primenjuju i sva uputstva u odeljku ispravki iz marta 2020. Novi događaji nadzora zahtevaju smernice i postavke registratora navedene u gorenavedenom uputstvu. Postoji i korak omogućavanja da vidite nove događaje nadzora. Novi detalji o primeni nalaze se u dolenavedenom odeljku Preporučene radnje.

Tabela 3: CBT događaji

Događaja

Opis

Okidaи

3074

Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i ne bi uspeo validaciju tokena povezivanja kanala ako je server direktorijuma konfigurisan da nameće proveru valjanosti tokena povezivanja kanala.

Pokrenuto u bilo kom od sledećih okolnosti:

Kada klijent pokuša da se poveže sa neisklađenim tokenom povezivanja kanala (CBT)

Minimalni nivo vođenja evidencije: 2

3075

Sledeći klijent je izvršio LDAP povezivanje preko SSL/TLS-a i nije obezbedio informacije o povezivanja kanala. Kada je ovaj server direktorijuma konfigurisan da nameće proveru valjanosti tokena povezivanja kanala, ova operacija povezivanja će biti odbijena.

Pokrenuto u bilo kom od sledećih okolnosti:

Kada klijent koji je sposoban za povezivanje kanala ne šalje CBT
Klijent može da poveže kanal ako je EPA funkcija instalirana ili dostupna u operativnom sistemu i nije onemogućena putem postavke registratora SuppressExtendedProtection. Da biste saznali više, pogledajte KB5021989.

Minimalni nivo vođenja evidencije: 2

Napomena Kada podesite nivo vođenja evidencije na najmanje 2, evidentira se ID događaja 3074. Administratori ovo mogu da koriste da bi nadgledali okruženje za klijente koji ne rade sa tokenima povezivanja kanala. Događaji će sadržati sledeće dijagnostičke informacije za identifikovanje klijenata:

Client IP address: 192.168.10.5:62709
Identitet klijenta koji je pokušao da potvrdi identitet kao:
CONTOSO\Administrator
Klijent podržava povezivanje kanala:FALSE
Klijent je dozvoljen u podržanom režimu:TRUE
Zastavice rezultata nadzora:0x42

Ispravke za 10. oktobar 2023.

Promene nadzora dodate u avgustu 2023. sada su dostupne u sistemu Windows Server 2019. Za taj operativni sistemu, ova ispravka dodaje opcije administratorima za nadzor ovih klijenata. Možete da omogućite CBT događaje 3074 i 3075. Koristite izvor događaja **Microsoft-Windows-ActiveDirectory_DomainService** u evidenciji događaja usluge direktorijuma.

Vaћno Ispravka od 10. oktobra 2023. ne menja LDAP potpisivanje, podrazumevane smernice za povezivanje LDAP kanala ili njihovog jednakog registratora na novim ili postojećim Active Directory DC-ovima.

Ovde se primenjuju i sva uputstva u odeljku ispravki iz marta 2020. Novi događaji nadzora zahtevaju smernice i postavke registratora navedene u gorenavedenom uputstvu. Postoji i korak omogućavanja da vidite nove događaje nadzora. Novi detalji o primeni nalaze se u dolenavedenom odeljku Preporučene radnje.

Ispravke za 14. novembar 2023.

Promene nadzora dodate u avgustu 2023. sada su dostupne u sistemu Windows Server 2022. Ne morate da instalirate MSI-ove niti da kreirate smernice kao što je pomenuto u 3. koraku preporučenih radnji.

Ispravke za 9. januar 2024.

Promene nadzora dodate u oktobru 2023. sada su dostupne u sistemu Windows Server 2019. Ne morate da instalirate MSI-ove niti da kreirate smernice kao što je pomenuto u 3. koraku preporučenih radnji.

Preporučene radnje

Preporučujemo klijentima da preuzmu sledeće korake u najranijoj prilici:

Uverite se da su ispravke za Windows od 10. marta 2020. ili novije instalirane na računarima uloga kontrolera domena (DC). Ako želite da omogućite događaje nadzora povezivanja LDAP kanala, uverite se da su ispravke za windows Server 2022 ili Server 2019 instalirane 8. avgusta 2023. ili novije.
Omogućite vođenje evidencije dijagnostičkih LDAP događaja na 2 ili novije verzije.
Omogućite ispravke događaja nadzora iz avgusta 2023. ili oktobra 2023. koristeći Smernice grupe. Ovaj korak možete da preskočite ako ste instalirali ispravke za novembar 2023. ili novije verzije za Windows Server 2022. Ako ste instalirali ispravke iz januara 2024. ili novije verzije u sistemu Windows Server 2019, takođe možete da preskočite ovaj korak.
- Preuzmite dva MSI-ja za omogućavanje po OS verziji sa lokacije Microsoft Download Center:
- Razvijte MSI-e da biste instalirali nove ADMX datoteke koje sadrže definicije smernica. Ako koristite centralnu prodavnicu za Smernice grupe, kopirajte ADMX datoteke u centralnu prodavnicu.
- Primenite odgovarajuće smernice na OU kontrolera domena ili na podskup servera 2022 ili Server 2019 DCs.
- Ponovo pokrenite DC da bi promene slegle na snagu.
Nadgledajte evidenciju događaja usluga direktorijuma na svim računarima DC uloga filtriranim za:
- Događaj neuspeha LDAP potpisivanja 2889 u tabeli 1.
- Događaj neuspeha povezivanja LDAP kanala 3039 u tabeli 2.
- Događaji nadzora povezivanja LDAP kanala 3074 i 3075 u tabeli 3.
  
  Napomena Događaji 3039, 3074 i 3075 mogu se generisati samo kada je povezivanje kanala podešeno na opciju Kada je podržano ili Uvek.
Identifikujte model, model i tip uređaja za svaku IP adresu koju citira:
- Događaj 2889 za upućivanje nepotpisanih LDAP poziva
- Događaj 3039 za ne koristi povezivanje LDAP kanala
- Događaj 3074 ili 3075 jer ne može da poveže LDAP kanale

Tipovi uređaja

Grupišite tipove uređaja u 1 od 3 kategorije:

Uređaj ili ruter -
- Obratite se dobavljaču uređaja.
Uređaj koji se ne pokreće na operativnom sistemu Windows -
- Proverite da li su povezivanje LDAP kanala i LDAP potpisivanje podržani u operativnom sistemu i aplikaciji. Uradite to tako što ćete raditi sa operativnim sistemom i dobavljačem aplikacije.
Uređaj koji radi na operativnom sistemu Windows -
- LDAP potpisivanje je dostupno za korišćenje od strane svih aplikacija na svim podržanim verzijama operativnog sistema Windows. Proverite da li aplikacija ili usluga koriste LDAP potpisivanje.
- Povezivanje LDAP kanala zahteva da svi Windows uređaji imaju instaliran CVE-2017-8563 . Proverite da li aplikacija ili usluga koriste povezivanje LDAP kanala.

Koristite lokalne, udaljene, generičke alatke ili alatke za praćenje specifične za uređaj. To obuhvata mrežne snimke, upravljač procesima ili praćenja grešaka. Utvrdite da li operativni sistem, usluga ili aplikacija izvršava nepotpisane LDAP veze ili ne koristi CBT.

Koristite Windows upravljač zadacima ili jednako da biste mapirali ID procesa za obradu, uslugu i imena aplikacija.

Raspored bezbednosnih ispravki

Ispravka od 10. marta 2020. dodata je za administratore da očvrsnu konfiguracije za povezivanje LDAP kanala i LDAP potpisivanje na Active Directory kontrolerima domena. Ispravke od 8. avgusta i 10. oktobra 2023. dodaju opcije za administratore za nadgledanje mašina klijenta koje ne mogu da koriste tokene povezivanja LDAP kanala. Preporučujemo klijentima da u najranijoj prilici preuzmu korake preporučene u ovom članku.

Ciljni datum	Događaja	Odnosi se na
10. mart 2020.	Obavezno: Bezbednosna ispravka je dostupna Windows Update za sve podržane Windows platforme. Napomena Za Windows platforme koje su van standardne podrške, ova bezbednosna ispravka će biti dostupna samo putem primenljivih programa proširene podrške. Podršku za povezivanje LDAP kanala dodao je CVE-2017-8563 u operativnom sistemu Windows Server 2008 i novijim verzijama. Tokeni povezivanja kanala podržani su u verzijama Windows 10 verzija 1709 i novijim verzijama. Windows XP ne podržava povezivanje LDAP kanala i ne bi uspelo kada se povezivanje LDAP kanala konfiguriše pomoću vrednosti "Uvek", ali bi se međusobno podudarao sa DC-ovima konfigurisanim tako da koriste opuštenije postavke povezivanja LDAP kanala u opciji Kada je podržano.	Windows Server 2022 Windows 10, verzija 20H2 Windows 10, verzija 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (proširena bezbednosna ispravka (ESU))
8. avgust 2023.	Dodaje događaje nadzora tokena za povezivanje LDAP kanala (3074 & 3075). One su podrazumevano onemogućene u sistemu Windows Server 2022.	Windows Server 2022
10. oktobar 2023.	Dodaje događaje nadzora tokena za povezivanje LDAP kanala (3074 & 3075). One su podrazumevano onemogućene u sistemu Windows Server 2019.	Windows Server 2019
14. novembar 2023.	Događaji nadzora tokena za povezivanje LDAP kanala dostupni su u sistemu Windows Server 2022 bez instaliranja MSI omogućenog (kao što je opisano u 3. koraku preporučenih radnji).	Windows Server 2022
9. januar 2024.	Događaji nadzora tokena za povezivanje LDAP kanala dostupni su u sistemu Windows Server 2019 bez instaliranja MSI omogućenog (kao što je opisano u 3. koraku preporučenih radnji).	Windows Server 2019

Najčešća pitanja

Odgovore na najčešća pitanja o povezivanja LDAP kanala i LDAP potpisivanju na Active Directory kontrolerima domena potražite u članku: