关于活动目录即将强制启用LDAP signing/channel binding功能

微软公司于 2019-09-11 日发布相关通告称微软计划于 2020 年 1 月发布安全更新。为了提升域控制器的安全性,该安全更新将强制开启所有域控制器上 LDAP channel binding 与 LDAP signing 功能。微软官方提示此举有可能造成大量兼容性问题。

背景

LDAP channel binding 与 LDAP signing

2018 年与 2019 年曾有安全研究人员发布严重影响 Windows 域环境安全的多种攻击手法与多个漏洞(包括奇安信 A-TEAM 于今年 2 月向微软提交的 CVE-2019-1040)。此类攻击手法的攻击目标是域内的 LDAP 服务器(一般是域控制器),成功利用此类攻击手法、漏洞的攻击者将获得 Windows 域环境的最高控制权。

凭据重放(Credential Replay)是一种极为高级的活动目录APT攻击手法,是目前所面对的两种活动目录的主要正面攻击手法之一,并在大量的活动目录APT攻击中使用。

为了抑制凭据重放(Credential Replay)攻击,微软多年以来发布了数个安全更新和建议(CVE-2017-8563/CVE-2018-8581/CVE-2019-1019/CVE-2019-1040),并建议客户启用LDAP签名和LDAP通道绑定安全特性。

但是很遗憾,由于考虑到企业内部应用的兼容性问题,LDAP签名和LDAP通道绑定安全特性均需要手动启用,而在实际的企业环境中,我们很多客户并未启用这两个安全特性,导致容易遭受凭据重放(Credential Replay)攻击的影响,并造成了严重的安全风险。

计划

为了提高企业客户活动目录环境的整体安全性,微软计划于2020年1月对目前支持的所有Windows操作系统发布安全更新,强制启用活动目录的 LDAP 签名和通道绑定安全特性。

所带来的影响

大型企业的网络环境中很有可能部署了一个或多个需要与 LDAP 服务器进行联动的第三方应用(比如各类 OA、CRM 等业务系统)。在 LDAP channel binding 与 LDAP signing 功能被强制开启后,若与 LDAP 进行联动的第三方应用不支持 LDAP channel binding 或 LDAP signing 功能,将会造成严重的兼容性问题,可能导致第三方应用无法正常工作。

Aruba ClearPass应对之策

在活动目录启用LDAP 签名和通道绑定安全特性以后,Clearpass认证源里面点击“Search Base Dn” 会出现下图中告警,无法连接服务器。

在“Connection Security”中启用“AD over SSL”,并且选中Verify Server Certificate: Enable to verify Server Certificate for secure connection

会提示“For successful authentications, make sure you have the CA cert of the AD/LDAP added to Certificate Trust List”,需要在Clearpass上导入和AD/LDAP证书有信任关系的CA根证书。

配置好Connection Security:和Port:636以后,点击“Search Base Dn”成功。

测试无线802.1x认证的时候,客户端无法连接,检查Clearpass Access Tracker,

在Alert里面提示如下信息:

原因是因为启用LDAPS以后,并且选中了需要验证服务器证书,这时候连接LDAPS服务器需要使用完整的域名,不能直接使用IP地址,

更改Hostname为完整的域名。

再次测试802.1x认证,连接成功。

总结:

在强制启用活动目录的 LDAP 签名和通道绑定安全特性以后,并且选中“Verify Server Certificate”后,Clearpass需要如下操作:

  1. 导入和AD/LDAP证书有信任关系的CA根证书。
  2. 指向LDAPS服务器需要使用完整的域名,不能使用IP地址,DNS解析正常。
  3. Clearpass配置认证源的时候,选择Connection Security:“AD over SSL” ,Port端口号636。

TIPS:

如果在认证源中不选中“Verify Server Certificate”,可以不导入CA根证书,指向LDAPS服务器可以使用IP地址。

发表评论

电子邮件地址不会被公开。 必填项已用*标注