ldap服务器签名要求修改,2020 针对 Windows 的 LDAP 通道绑定和 LDAP 签名要求

最新推荐文章于 2022-05-04 23:44:21 发布

Hey'u

最新推荐文章于 2022-05-04 23:44:21 发布

阅读量439

点赞数

文章标签： ldap服务器签名要求修改

摘要

LDAP 通道绑定和 LDAP 签名提供了提高 Active Directory 域服务 (AD DS) 或 Active Directory 轻型目录服务 (AD LDS) 与其客户端之间的网络通信安全性的方法。轻型目录访问协议 (LDAP) 通道绑定和 LDAP 签名的默认配置中存在漏洞，并且可能使 Active Directory 域控制器暴露于特权提升漏洞中。 Microsoft 安全通报 ADV190023 通过建议管理员在 Active Directory 域控制器上启用 LDAP 通道绑定和 LDAP 签名来解决此问题。在安全更新(默认情况下启用这些设置)发布之前，必须手动执行此强化。

Microsoft 打算在 Windows 更新上发布一个安全更新，以启用 LDAP 通道绑定和 LDAP 签名强化更改，预计此更新将在 2020 年 3 月推出。为什么需要此更改

Microsoft 建议管理员进行 ADV190023 中描述的强化更改，因为使用默认设置时，Microsoft Windows 中存在特权提升漏洞，该漏洞可能允许中间人攻击者将身份验证请求成功转发到 Windows LDAP 服务器(例如运行 AD DS 或 AD LDS 的系统)，而该服务器未配置为要求对传入连接进行签名或密封。通过配置服务器以拒绝不请求签名(完整性验证)的简单身份验证和安全层 (SASL) LDAP 绑定，或拒绝在明文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定，可以显著提高目录服务器的安全性。 SASL 可能包括 Negotiate、Kerberos、NTLM 和 Digest 等协议。未签名的网络流量容易受到重放攻击，在这种重放攻击中，入侵者可拦截身份验证尝试和票证的颁发。入侵者可以重用票证以模拟合法用户。此外，未签名的网络流量容易受到中间人攻击，在这种攻击中，入侵者可以捕获客户端和服务器之间的数据包，更改数据包，然后将其转发给服务器。如果这种情况发生在 LDAP 服务器上，则攻击者可能会导致服务器根据 LDAP 客户端的伪造请求做出决策。建议的操作

我们强烈建议管理员从现在到 2020 年 3 月之间启用 LDAP 通道绑定和 LDAP 签名，以查找并修复其环境中的任何操作系统、应用程序或中间设备兼容性问题。如果发现任何兼容性问题，管理员需要联系该特定操作系统、应用程序或设备的制造商以获取支持。

重要说明执行 LDAP 流量的中间人检查的任何操作系统版本、应用程序和中间设备都最有可能受到此强化更改的影响。安全更新计划

Microsoft 制定了以下计划，以启用 LDAP 通道绑定和 LDAP 签名支持。请注意，下面的时间线可能会更改。进程开始时我们将根据需要更新此页面。

目标日期

事件

适用范围

2019 年 8 月 13 日，星期二

采取措施： Microsoft 安全通报

ADV190023 已发布，以引入 LDAP 通道绑定和 LDAP 签名支持。管理员在服务器上手动调整设置后，需要在其环境中测试这些设置。

Windows Server 2008 SP2、

Windows 7 SP1，

Windows Server 2008 R2 SP1、

Windows Server 2012、

Windows 8.1,

Windows Server 2012 R2、

Windows 10 1507、

Windows Server 2016、

Windows 10 1607、

Windows 10 1703、

Windows 10 1709、

Windows 10 1803、

Windows 10 1809、

Windows Server 2019、

Windows 10 1903、

Windows 10 1909

2020 年 3 月

是否必需：默认情况下，所有受支持的 Windows 平台的 Windows 更新上都提供了安全更新，这些平台将在 Active Directory 服务器上启用 LDAP 通道绑定和 LDAP 签名。