Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Sicherheitseinstellungen und Anforderungen für LDAP-Sitzungen erläutert, nachdem die Sicherheitsempfehlung ADV190023 installiert wurde.
Ursprüngliche KB-Nummer: 4563239
Übersicht
In diesem Artikel werden die funktionalen Änderungen vorgestellt, die von der Sicherheitsempfehlung ADV190023 bereitgestellt werden. Darüber hinaus werden in diesem Artikel die Sicherheitseinstellungen für jede Art von LDAP-Sitzung (Lightweight Directory Access Protocol) beschrieben, und was erforderlich ist, um die LDAP-Sitzungen auf sichere Weise zu betreiben.
ADV190023 erläutert Einstellungen sowohl für die LDAP-Sitzungssignierung als auch für die überprüfung des zusätzlichen Clientsicherheitskontexts (Kanalbindungstoken, CBT). In der Implementierung gibt es zwei separate Elemente:
- LDAPServerIntegrity und Ereignisse, die auf Domänencontrollern angemeldet sind
- LdapEnforceChannelBinding und Ereignisse, die auf Domänencontrollern angemeldet sind.
Wenn Sie den besten Weg zur Verbesserung der Sicherheit gemäß ADV190023 bestimmen, können Aktionen von Anwendungsbesitzern in beiden Bereichen benötigt werden. Die Einstellungen und Anforderungen, die sie erfüllen sollen, sind jedoch unterschiedlich. Es ist auch durchaus möglich, dass eine Lösung für beide Themen in einer einzigen Änderung besteht. Wenn Sie z. B. von einer einfachen Bindung zu SASL mit Kerberos oder TLS mit einfacher Bindung wechseln.
Die neue Option für Kanalbindungstoken (CHANNEL Binding Token, CBT) ist die LDAP-TLS-Implementierung des IN RFC 5056 beschriebenen Schemas "Extended Protection for Authentication (EPA)".
Notiz
"EPA" und "CBT" können in diesem Zusammenhang austauschbar verwendet werden.
Weitere Informationen
Die Methode, mit der DIE LDAP-Sitzungssicherheit behandelt wird, hängt davon ab, welche Protokoll- und Authentifizierungsoptionen ausgewählt werden. Es gibt mehrere mögliche Sitzungsoptionen:
- Sitzungen auf Ports 389 oder 3268 oder auf benutzerdefinierten LDS-Ports, die TLS/SSL nicht für eine einfache Bindung verwenden: Es gibt keine Sicherheit für diese Sitzungen. Dies liegt daran, dass Anmeldeinformationen im Klartext übertragen werden. Daher gibt es kein sicheres Schlüsselmaterial, um Schutz zu bieten. Diese Sitzungen sollten durch Festlegen von LDAPServerIntegrity auf "Erforderlich" deaktiviert werden.
- Sitzungen an Ports 389 oder 3268 oder auf benutzerdefinierten LDS-Ports, die TLS/SSL nicht für eine SASL-Bindung (Simple Authentication and Security Layer) verwenden.
- Sitzungen, die TLS/SSL mit einem vordefinierten Port (636, 3269 oder einem benutzerdefinierten LDS-Port) oder Standardports (389, 3268 oder einem benutzerdefinierten LDS-Port) verwenden, der den erweiterten STARTTLS-Vorgang verwendet.
LDAP-Sitzungen, die nicht TLS/SSL verwenden, binden mithilfe von SASL
Wenn LDAP-Sitzungen mit einer SASL-Anmeldung signiert oder verschlüsselt werden, sind die Sitzungen vor Man-In-the-Middle -Angriffen (MITM) sicher. Dies liegt daran, dass Sie die Signaturschlüssel nur abrufen können, wenn Sie das Benutzerkennwort kennen. Sie müssen keinen erweiterten Schutz für Authentifizierungsinformationen (EPA) haben.
Die gewählte SASL-Methode kann über eigene Angriffsvektoren wie NTLMv1 verfügen. Die LDAP-Sitzung selbst ist jedoch sicher. Wenn Sie kerberos AES 256-Bit-Verschlüsselung verwenden, ist dies so gut wie im Jahr 2020. Es gelten die folgenden Richtlinienrichtlinien:
- Die LDAPServerIntegrity=2-Einstellung ist für diese Sitzungsoption wichtig, da sie die Verwendung der Signierung durch den Client erzwingt. Wenn Sie die Sitzungen verschlüsseln, wird diese Anforderung ebenfalls erfüllt.
- Die Einstellung LdapEnforceChannelBinding hat keine Auswirkungen auf diese Sitzungsoption.
LDAP-Sitzungen mit TLS/SSL und einfacher Bindung für die Benutzerauthentifizierung
Für diese Sitzungen wurden keine CBT-Informationen hinzugefügt. Die Qualität der TLS-Clientimplementierung bestimmt, ob der Client einen MITM-Angriff erkennen kann (über die Überprüfung des Serverzertifikats, die Überprüfung der CRL usw.).
Es gelten die folgenden Richtlinienrichtlinien:
- Die Anforderung für LDAPServerIntegrity ist erfüllt, da der TLS-Kanal die Signatur bereitstellt. Die Sicherheitsstufe, die der TLS-Kanal bereitstellt, hängt von der TLS-Clientimplementierung ab.
- Die Einstellung LdapEnforceChannelBinding hat keine Auswirkungen auf diese Sitzungsoption.
LDAP-Sitzungen mit TLS/SSL, Bindung mithilfe des Zertifikats für die Benutzerauthentifizierung
Derzeit werden keine CBT-Informationen für diese Sitzungen hinzugefügt. Die Qualität der TLS-Clientimplementierung bestimmt, ob der Client einen MITM-Angriff erkennen kann (über die Überprüfung des Serverzertifikats, die Überprüfung der CRL usw.). Die Clientzertifikatauthentifizierung reicht aus, um MITM-Angriffe zu blockieren, verhindert jedoch nicht andere Angriffskategorien, die nur durch die entsprechende clientseitige Überprüfung des vom Server angezeigten TLS-Zertifikats abgemildert werden können.
Es gelten die folgenden Richtlinienrichtlinien:
- Die Anforderung für LDAPServerIntegrity ist erfüllt, da der TLS-Kanal die Signatur bereitstellt. Die Sicherheitsstufe, die der TLS-Kanal bereitstellt, hängt von der TLS-Clientimplementierung ab.
- Die Einstellung LdapEnforceChannelBinding hat keine Auswirkungen auf diese Sitzungsoption.
LDAP-Sitzungen mit TLS/SSL, Bindung mit SASL für die Benutzerauthentifizierung
In diesem Szenario stellt TLS die Sitzungssicherheit für die Verschlüsselung bereit, und die Verschlüsselungsschlüssel basieren auf dem Serverzertifikat. Speziell für die SASL-Authentifizierung, die NTLM verwendet, wurden die NTLM-Authentifizierungsdaten möglicherweise von der Sitzung weitergeleitet, die vom MITM-Angreifer gehalten wurde. Bei einem solchen Angriff gibt es keinen Nachweis, dass der Client über einen gültigen Kennworthash verfügt. Die CBT-Informationen sind vor Manipulationen durch Signieren oder Verschlüsselung (abhängig vom Authentifizierungsprotokoll) durch Verwendung eines Sitzungsschlüssels geschützt, der nur durch Kenntnis der Anmeldeinformationen des Benutzers oder Servers abgerufen werden kann. Der MITM-Angreifer hat diesen Kennworthash nicht, wenn er eine NTLM-Authentifizierung abgefangen hat.
Es gelten die folgenden Richtlinienrichtlinien:
- Die Einstellung LdapEnforceChannelBinding wird für diese Sitzungsoption verwendet. Wenn Sie diesen Wert auf 2 festlegen, benötigt der LDAP-Server CBT-Informationen (entspricht EPA), und es ist erforderlich, die Überprüfung zu bestehen.
- Die Anforderung für LDAPServerIntegrity ist erfüllt, da der TLS-Kanal die Signatur bereitstellt. Die Sicherheitsstufe, die sie bereitstellt, hängt von der TLS-Clientimplementierung und davon ab, ob CBT erforderlich ist.
References
Weitere Informationen finden Sie in den folgenden Artikeln: