LDAP Channel Binding and LDAP Signing Requirements 2020


Все бегают и дергаются в припадках, завидев ссылку

https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

и никто в общем-то не понимает что делать. (Обновление кстати уже перенесли с января на март, чтобы ну уж точно никто не бугуртил).

Что делать давным-давно написал Алан в официальном блоге, так что подписываемся на рсс, дабы сохранить спокойствие и душевное равновесие.

https://techcommunity.microsoft.com/t5/Core-Infrastructure-and-Security/LDAP-Channel-Binding-and-LDAP-Signing-Requirements-Update-now/ba-p/921536

Алгоритм простой.

Before January 2020 Update:
– Install all required Updates
– All DCs: Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2
– All DCs: Monitor 2887 and 2889 Events
– All DCs: LDAP Channel Binding = 1 (Before Jan 2020 updates this setting is 0)
– Group Policy (Domain Level): Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)
– Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None

After January 2020 Update:
– Domain controller: LDAP server signing requirements: Require (from Update)
– All DCs: LDAP Channel Binding = 1 (from Update)
– All DCs: Monitor 2888 Events

If Problems:
– Domain controller: LDAP server signing requirements: None
– All DCs: Monitor 2887 and 2889 Events

 

Протестировать и включить новое поведение можно уже сейчас, не дожидаясь обновления. Что я настоятельно советую сделать, благо будет запас времени чтобы разобраться с любыми проблемами, которые могут появиться и отказываться уходить добровольно.

Полезное чтение

https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs

https://kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls/

3 Replies to “LDAP Channel Binding and LDAP Signing Requirements 2020”

  1. Читателям Дмитрия.
    Вот здесь есть xml файл для Custom Event View, хотя что может быть проще: https://docs.microsoft.com/en-us/archive/blogs/russellt/identifying-clear-text-ldap-binds-to-your-dcs

    Но как понять, что вы правильно настроили логгинг, и если что-то прибиндится не по канону, это точно в лог попадет?

    Запускаем ldp.exe, Подключение, Привязка,
    Простая привязка.
    Вбиваем:
    Пользователь: domain\username
    Пароль: ваш_пароль

    Наслаждаемся записаным Event 2889 с ip-адресом вашей машины и логином.
    Если Event нет – плохо вы настроили логирование.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.