Покайтесь, ибо грядет LDAP Channel Binding & Signing

в 2:24, , рубрики: ldaps, VMware, windows, информационная безопасность

В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.

Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
Покайтесь, ибо грядет LDAP Channel Binding & Signing - 1


2020 LDAP channel binding and LDAP signing requirement for Windows
Применимо, согласно статье 4520412, к
Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2

Кого это затронет:
— Всех, использующих Windows в целом
— Всех, использующих LDAP/LDAPS для Vmware
— Всех, использующих LDAP/LDAPS для прочих сервисов — IPMI всех видов
— Интересно, как это отразится на Active directory as service

Что делать — написано в блоге Alan La Pietra по ссылке, для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):

В тестовом сегменте, до установки обновлений
— Установите все требуемые обновления
— На всех DC добавьте
Reg Add HKLMSYSTEMCurrentControlSetServicesNTDSDiagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2
— на всех DC отслеживайте события 2887 и 2889
— на всех DC настройте LDAP Channel Binding = 1 (До обновлений данный параметр = 0)

Групповые политики уровня домена:
Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)

Групповые политики контроллеров домена:
– Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None

После установки обновлений
Групповые политики контроллеров:
– Domain controller: LDAP server signing requirements: Require (from Update)

Контроллеры домена:
– All DCs: LDAP Channel Binding = 1 (from Update)
— на всех DC отслеживайте события 2888

В случае проблем
Смените настройки:
– Domain controller: LDAP server signing requirements: None
— на всех DC отслеживайте события 2887 и 2889

Тестирование лучше начать уже сейчас.

За наведение проблему и решение спасибо одному малоизвестному бложику, одному из немногочисленных оставшихся русскоязычных технических блогов.

Для VMware аналогичная ситуация описана по данной ссылке на русском, здесь (VMware vSphere & Microsoft LDAP Channel Binding & Signing (ADV190023)) на английском

Прочие ссылки
support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs

kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls

Всем спасибо за внимание.

Автор: Иван Хрюнович Моржов

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js