2020 LDAP channel binding and LDAP signing requirements for Windows

Active Directory malum merkezi kimlik doğrulama başta olmak üzere pek çok şirket için kritik öneme sahip merkezi bir altyapıdır. Tabi bu kadar merkezi yani pek çok uygulamanın kullandığı bir sistem olunca güvenliğinin de üst düzeyde olması gerekir. Bu nedenle müşterilerimizde en temel sıkılaştırma çalışmalarına ilk olarak Active Directory üzerinden başlıyoruz.

Burada temelde iki tür güvenlik önlemi alabiliriz. Birisi LDAP channel binding diğeri ise LDAP Signing. Aslında bunlar LDAP ile iletişim kurmak için kullandığım yöntemler olup bunların daha güvenli hale getirilmesini esas almaktadır.

Ne yazık ki her iki başlık için varsayılan GPO ayarları yeterli değildir, bu nedenle daha güvenli bir istemci – sunucu iletişim mimarisi istiyorsak bu noktalarda iyileştirme yapmamız şart.

Bu noktada Microsoft 10 Mart 2020 güncellemesi ile aşağıdaki gibi yeni bir ayar sunmaktadır.

Normalde bu güncelleme öncesinde hali hazırda aşağıdaki yolu izleyerek LDAP Signing açılabiliyordu.

Default Domain Controller Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies> Security Options altında

Domain controller: LDAP server signing requirements

Ayarı bulunmaktadır. Bu yeni bir ayar değildir, uzun yıllardır bildiğimiz bir ayar aslında, ancak ne yazık ki LDAP sorgusu yapan 3 parti programları etkileme riski olduğu için Türkiye de şirketlerin büyük çoğunluğunu bu özelliği aktif kullanmamaktadır.

Önerilen ayar aşağıdaki gibidir;

Tabiki bu özelliğin açılması için istemcilerinde benzer şekilde yapılandırılması gereklidir. Bunun için ise yine GPO ile istemci sunucu ve bilgisayarlarda aşağıdaki GPO aktif edilebilir

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies> Security Options altında

Network security: LDAP client signing requirements

Bu ayar ile artık güvenli olmayan SASL LDAP bağlantı istekleri veya LDAP simple binds over a non-SSL/TLS bağlantılarını kabul etmezsiniz. Yani özetle güvensiz bağlantı istekleri artık kabul edilmez. Windows sunucu ve istemcileri ayarladınız ancak bir veya bir den çok farklı cihazda sorun olduğunu nasıl anlarız. Olay günlüklerine bakarsanız eğer Event ID 2887 size yardımcı olacaktır.

Aşağıdaki tablo bu konuda size yardımcı olacaktır.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941829(v=ws.10)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941856(v=ws.10)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941863(v=ws.10)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd941849(v=ws.10)

Peki ikinci ayar nedir?

10 Mart güncellemeleri ile gelen ikinci ayar ise aşağıdaki GPO’ dur.

Domain controller: LDAP server channel binding token requirements

Bu ayar ise temel olarak LDAP authentication over SSL\TLS yani LDAP kimlik doğrulama işlemlerinin SSL/TLS gibi şifreli bir trafik üzerinden gerçekleşmesini sağlar.

Bunu kayıt defteri ile de yapabilirsiniz.

Active Directory Domain Services (AD DS) için domain controller makine üzerinde

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Active Directory Lightweight Directory Services (AD LDS) için sunucu üzerinde; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters

Altına yeni bir DWORD oluşturuyoruz, ismi aşağıdaki gibidir;

DWORD: LdapEnforceChannelBinding

Değerin sıfır olması bu özelliğin aktif olmadığını gösterir. Ancak herhangi bir şekilde istemcileri zorlamaz. Yani eğer istemciler güncel yamaları almış ve channel binding tokens (CBT)  desteği var ise güvenli iletişim kurarlar.

Eğer değeri 2 yaparsak artık güvenli iletişim bir gereksinim olur. Ancak bu değeri 2 yapmadan önce mutlaka tüm istemcilerde aşağıdaki yamanın yüklü olması gerekli;

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8563

Aksi halde iletişim sorunları yaşamanız muhtemel.

Benim önerim önce bu değeri 1 yaparak ilerleyelim.

Peki bunu nasıl takip edeceğiz? Yine benzer şekilde olay günlüklerinden takip edebiliriz.

Logların tamamının görünmesi için mutlaka yetkili bir hesap ile aşağıdaki komutu çalıştırın;

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2

Peki gelelim bu geçişi nasıl yapacağımıza? Aslında çok basit öncelikle kademeli olarak ayarları açıp loğlardan sorunlu cihazları veya uygulamaları bulup üreticileri ile kontak kuracağız. Destekleyen ürünleri güncelleyeceğiz, desteklemeyen ürünler kritik değil ise değiştireceğiz, eğer kritik ise ne yazık ki en zayıf halka mantığı ile bu özelliklerden mahrum kalacağız.

Exit mobile version