微软公司于 2019-09-11 日发布相关通告称微软计划于 2020 年 1 月发布安全更新。为了提升域控制器的安全性,该安全更新将强制开启所有域控制器上 LDAP channel binding 与 LDAP signing 功能。微软官方提示此举有可能造成大量兼容性问题。
背景
LDAP channel binding 与 LDAP signing
2018 年与 2019 年曾有安全研究人员发布严重影响 Windows 域环境安全的多种攻击手法与多个漏洞(包括奇安信 A-TEAM 于今年 2 月向微软提交的 CVE-2019-1040)。此类攻击手法的攻击目标是域内的 LDAP 服务器(一般是域控制器),成功利用此类攻击手法、漏洞的攻击者将获得 Windows 域环境的最高控制权。
凭据重放(Credential Replay)是一种极为高级的活动目录APT攻击手法,是目前所面对的两种活动目录的主要正面攻击手法之一,并在大量的活动目录APT攻击中使用。
为了抑制凭据重放(Credential Replay)攻击,微软多年以来发布了数个安全更新和建议(CVE-2017-8563/CVE-2018-8581/CVE-2019-1019/CVE-2019-1040),并建议客户启用LDAP签名和LDAP通道绑定安全特性。
但是很遗憾,由于考虑到企业内部应用的兼容性问题,LDAP签名和LDAP通道绑定安全特性均需要手动启用,而在实际的企业环境中,我们很多客户并未启用这两个安全特性,导致容易遭受凭据重放(Credential Replay)攻击的影响,并造成了严重的安全风险。
计划
为了提高企业客户活动目录环境的整体安全性,微软计划于2020年1月对目前支持的所有Windows操作系统发布安全更新,强制启用活动目录的 LDAP 签名和通道绑定安全特性。
所带来的影响
大型企业的网络环境中很有可能部署了一个或多个需要与 LDAP 服务器进行联动的第三方应用(比如各类 OA、CRM 等业务系统)。在 LDAP channel binding 与 LDAP signing 功能被强制开启后,若与 LDAP 进行联动的第三方应用不支持 LDAP channel binding 或 LDAP signing 功能,将会造成严重的兼容性问题,可能导致第三方应用无法正常工作。
Aruba ClearPass应对之策
在活动目录启用LDAP 签名和通道绑定安全特性以后,Clearpass认证源里面点击“Search Base Dn” 会出现下图中告警,无法连接服务器。
在“Connection Security”中启用“AD over SSL”,并且选中Verify Server Certificate: Enable to verify Server Certificate for secure connection
会提示“For successful authentications, make sure you have the CA cert of the AD/LDAP added to Certificate Trust List”,需要在Clearpass上导入和AD/LDAP证书有信任关系的CA根证书。
配置好Connection Security:和Port:636以后,点击“Search Base Dn”成功。
测试无线802.1x认证的时候,客户端无法连接,检查Clearpass Access Tracker,
在Alert里面提示如下信息:
原因是因为启用LDAPS以后,并且选中了需要验证服务器证书,这时候连接LDAPS服务器需要使用完整的域名,不能直接使用IP地址,
更改Hostname为完整的域名。
再次测试802.1x认证,连接成功。
总结:
在强制启用活动目录的 LDAP 签名和通道绑定安全特性以后,并且选中“Verify Server Certificate”后,Clearpass需要如下操作:
- 导入和AD/LDAP证书有信任关系的CA根证书。
- 指向LDAPS服务器需要使用完整的域名,不能使用IP地址,DNS解析正常。
- Clearpass配置认证源的时候,选择Connection Security:“AD over SSL” ,Port端口号636。
TIPS:
如果在认证源中不选中“Verify Server Certificate”,可以不导入CA根证书,指向LDAPS服务器可以使用IP地址。