2020 LDAP通道绑定和LDAP签名要求
针对微软安全顾问ADV190023。
微软官方来源,安全咨询,需求,常见问题解答和其他有用的来源包括在本页底部微软安全顾问.
微软已经发现,在使用无SSL和无签名的身份验证时,默认的域控制器配置容易受到“中间人攻击”。
微软正在发布更新,将自动加强默认配置,以确保“中间人攻击”不再可能,但这些更改可能会破坏连接到域控制器的服务或系统,如果它们不能或不支持签名或加密。
如果客户端现在通过LDAP连接到域控制器并登录,他们可以在其授权范围内通过LDAP更改设置。如果此通信没有加密或签名,“恶意行为者”可以将自己置于此交换的中间,并通过实例重写任何查询/命令中间人攻击.
例子
- 管理员或特权用户连接到域控制器,并使用LDAP将用户添加到组中。
- 攻击者重写命令,以便将其用户连同此更改一起包含在域管理员组中。
- 攻击者现在已经控制了域控制器。
防止这种情况的最好方法是通过始终加密和通过SSL上的LDAP进行签名连接.虽然这是最安全的配置,但您可以使用没有SSL的未加密连接,只要你使用“签名”.所有Windows客户端都这样做,但不是所有LDAP客户端都这样做。
Interact支持即将到来的更改,但您可能需要调整您的配置,请继续阅读以了解更多信息。
对内网的潜在影响
如果您被要求更新域控制器,但尚未更新交互配置,则由于安全性错误配置,交互控制器与域控制器之间的连接可能会失败。
可能发生以下情况:
- 配置文件到内部活动目录或LDAP源的源连接可能停止工作。
- 这可能会导致用户配置文件同步失败- joiners, move和leavers进程停止工作。
- 基于LDAP的身份验证可能停止工作。
- 用户可能不再能够登录到内部网,因为系统可能不再能够连接到您的预置AD以检查用户的凭据。
Interact对通道绑定和LDAP签名的支持
Interact本机支持签名和加密的LDAP连接,因此您可以提前更新计划并调整配置,以确保它更安全。
由于LDAP签名和LDAP通道绑定的更改会特别影响所支持的身份验证选项未加密的简单认证和未加密的未签名SASL认证,因此您可能需要调整您的交互设置以与即将到来的强化配置兼容。
Interact目前提供三种身份验证类型:
- 匿名
- 简单的
- 谈判
交互LDAP概要文件源配置所需的更改
根据所使用的身份验证类型,您可能会以不同的方式受到影响。请根据您当前的概要文件源配置参见下面。
注意:如果您已经使用加密(SSL/TLS)或签名连接到域控制器,则不需要进行任何更改。
简单认证类型
由于简单绑定的性质,它是非常不安全的,不能被签名,因此,除非它通过加密媒介(SSL/TLS)发送,它将被具有新的加固设置的活动域控制器拒绝,现在将需要签名绑定。
任何使用端口389(非ssl)上的简单绑定的人也需要升级到SSL/TLS简单绑定或使用协商认证类型(SASL)(只要启用了LDAP签名,使用SSL和不使用SSL都可以。)
协商认证类型
SASL绑定支持签名和加密,因此当通过未加密介质(非ssl /TLS)发送时,它们比简单绑定更安全,这意味着一旦需要的签名应用于域控制器,SASL仍然可以通过端口389与受支持的应用程序一起使用。
雷竞技rat使用协商身份验证类型的客户将不受影响,因为交互支持有签名和无签名变体,这意味着它将随着您的活动目录控制器配置的更改而调整它将协商更安全的协议。
将概要文件源升级到SSL
将概要文件源连接性升级到SSL应该可以解决由加固设置引起的任何连接性问题。
注意事项
- 使用“完全限定域名”域控制器(而不是IP地址)升级到SSL时-证书需要对该域名有效。
- 从公共证书颁发机构颁发SSL证书而且在域控制器上安装它
- 常见问题:https://support.microsoft.com/en-gb/help/938703/how-to-troubleshoot-ldap-over-ssl-connection-problems
- 如。域控制器的Active Directory完全限定域名出现在以下位置之一:
- Subject字段中的通用名称(CN)
DNS条目中的主题备选名称(SAN)扩展名
- Subject字段中的通用名称(CN)
- 自签名证书要求“覆盖SSL证书验证”设置为在概要文件源上启用。
- 在防火墙中打开636允许新的安全流量- Interact的出站IP地址将保持不变。
加固前/加固后支持
淬火前:没有LDAP通道绑定和LDAP签名
硬化后:LDAP通道绑定和LDAP签名
| 身份验证类型 | 港口 | 在硬化 | 硬化后 |
|---|---|---|---|
| 简单的 | 389 | 是的 | 没有 |
| 636(SSL / TLS) | 是的 | 是的 | |
| 谈判(SASL) | 389 | 是的 | 是的 |
| 636(SSL / TLS) | 是的 | 是的 |
微软安全顾问
2019年8月13日,微软发布了ADV190023安全咨询指出,当使用默认Active Directory配置时,Microsoft Windows中存在一个特权提升漏洞,可以允许中间人攻击者成功地将身份验证请求转发到Windows LDAP服务器,例如运行AD DS的系统,该系统未配置为需要通道绑定,并对传入连接进行签名或密封。
在撰写本文时,还没有关于利用此漏洞的报告。
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563
微软提出的解决方案需要设置如下。
| 组策略 | 价值 |
|---|---|
| 域控制器:LDAP服务器通道绑定令牌需求 | 总是 |
| 域控制器:LDAP服务器签名需求 | 需要签字 |
| 网络安全:LDAP客户端签名要求 | 需要签字 |
重要的是:2020年3月10日和在可预见的未来的更新将不会对新的或现有域控制器上的LDAP签名或LDAP通道绑定策略或其注册中心等效策略进行更改。
准备
所有客户雷竞技rat都应该尽快评估并准备加强他们的配置。
微软正计划在2020年秋季自动应用加固后的LDAP设置,所以你需要确保你已经准备好了,否则你可能会因为你的系统、网络和第三方提供商之间的不兼容而遇到大范围的停机。
我们整理了一份相关页面和指南列表,以帮助您完成这一过程。
有关ADV190023更改的常见问题解答
https://support.microsoft.com/en-us/help/4546509/frequently-asked-questions-about-changes-to-ldap
通道绑定和LDAP签名要求
识别受影响的明文LDAP绑定到域控制器
如何启用LDAP通道绑定
如何启用LDAP签名功能
https://support.microsoft.com/en-gb/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
域控制器:LDAP服务器签名需求
此策略设置确定轻量级目录访问协议(LDAP)服务器是否要求LDAP客户机协商数据签名。
- 此设置对通过SSL (LDAP TCP/636)进行的LDAP简单绑定没有任何影响。
- 如果需要签名,则拒绝不使用SSL的LDAP简单绑定(LDAP TCP/389)。
注意:如果设置服务端为“需要签名”,则必须同时设置客户端设备。不设置客户端设备将导致与服务器失去连接。”
网络安全:LDAP客户端签名要求
此策略设置决定了代表发出LDAP BIND请求的客户端设备请求的数据签名级别。数据签名的级别如下所示:
- 一个也没有。使用调用者指定的选项发出LDAP BIND请求。
- 协商签署。如果尚未启动传输层安全性/安全套接字层(TLS/SSL),则除了调用者指定的选项外,还将使用LDAP数据签名选项集启动LDAP BIND请求。如果TLS/SSL已经启动,则使用调用者指定的选项启动LDAP BIND请求。
- 需要签署。该级别与协商签名相同。但是,如果LDAP服务器的中间saslBindInProgress响应没有指示需要LDAP流量签名,则调用方将返回LDAP BIND命令请求失败的消息。
滥用此策略设置是一种常见错误,可能导致数据丢失或数据访问或安全问题。”
相关视窗更新
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563
更新 大约3年前