微软公司于 2019-09-11 日发布相关通告称微软计划于 2020 年 1 月发布安全更新。为了提升域控制器的安全性,该安全更新将强制开启所有域控制器上 LDAP channel binding 与 LDAP signing 功能。微软官方提示此举有可能造成大量兼容性问题。
LDAP channel binding 与 LDAP signing
2018 年与 2019 年曾有安全研究人员发布严重影响 Windows 域环境安全的多种攻击手法与多个漏洞(包括奇安信 A-TEAM 于今年 2 月向微软提交的 CVE-2019-1040)。此类攻击手法的攻击目标是域内的 LDAP 服务器(一般是域控制器),成功利用此类攻击手法、漏洞的攻击者将获得 Windows 域环境的最高控制权。
LDAP channel binding 与 LDAP signing 是微软所推出的缓解这一类攻击手法的有效措施。但是,在以往的 Windows 操作系统中,这两项保护措施并不是默认启用的状态。微软计划通过将于 2020 年 1 月发布的安全更新强制开启这两项保护措施。
所带来的影响
大型企业的网络环境中很有可能部署了一个或多个需要与 LDAP 服务器进行联动的第三方应用(比如各类 OA、CRM 等业务系统)。在 LDAP channel binding 与 LDAP signing 功能被强制开启后,若与 LDAP 进行联动的第三方应用不支持 LDAP channel binding 或 LDAP signing 功能,将会造成严重的兼容性问题,可能导致第三方应用无法正常工作。
行动建议
建议各企业 IT 相关负责人于 2020 年 1 月前对企业内需要与 LDAP 服务器进行联动的第三方应用进行排查,提前确定可能出现兼容性问题的应用,并联系相关软件厂商进行更新。
排查方式见参考资料。
