• 「小邓观点」你应该知道的 Windows LDAP 绑定安全漏洞


     ADAudit Plus

    活动目录客户端使用轻量级目录访问协议 (LDAP) 来访问目录服务器保存的数据。客户端和应用程序使用 LDAP 绑定方式向Windows Active Directory (AD) 进行身份验证。

    一、几种不同种类的LDAP绑定方式,包括:

    通过明文凭据的LDAP绑定方式目前已经是不安全的了,未签名的简单身份验证和安全层 (SASL) LDAP绑定,不需要签名且不安全。签名的SASL LDAP绑定,它需要签名并且是安全的。

    LDAP over Secure Sockets Layer/Transport Layer Security,也称为LDAPS 绑定,已加密且安全。域控制器 (DC) 易受攻击,因为它们允许LDAP客户端通过简单的LDAP绑定和不需要签名的 SASL LDAP绑定与其通信。虽然简单的LDAP绑定允许特权帐户(例如域管理员)的凭据以明文形式遍历网络,但未签名的SASL LDAP绑定允许任何人包括恶意攻击者在客户端和DC 之间捕获数据包,更改数据包,然后转发他们。这两种情况都可能造成灾难性的后果。此时您的环境中的DC很有可能允许不安全的LDAP绑定。

    二、如何检测不安全的LDAP绑定

    缓解此漏洞的第一步是确定您是否受到影响,您可以通过查看事件 ID 2887 来做到这一点。

    默认情况下,事件2887每 24 小时在 DC 中记录一次,它显示绑定到DC的未签名和明文的数量。任何大于零的数字都表示您的DC允许不安全的 LDAP 绑定。

    接下来,您需要通过查看事件ID 2889来检测所有使用不安全绑定的设备和应用程序。

    每次客户端计算机尝试未签名的LDAP绑定时,都会在 DC 中记录事件 2889。它显示试图通过未签名的 LDAP 绑定进行身份验证的计算机的IP地址和帐户名称。

    注意:默认情况下不会记录此事件,需要启用适当的诊断。

    三、ADAudit Plus 如何提升LDAP绑定监测效率

    使用 PowerShell 脚本从记录的 2887 和 2889 事件中解析和提取相关数据需要专业知识和时间。ADAudit Plus从您域中的所有DC收集这些事件,并提供不安全LDAP绑定的设备和应用程序报表。报表中的详细信息包括IP地址、端口、用户名和绑定类型。此外,您还可以将 ADAudit Plus及时监测环境中的非法LDAP绑定,锁定其位置,并通过邮件向您发布通知。

    只需单击几下即可确定您的DC是否允许不安全的绑定,并检测易受攻击的设备和应用程序。

     LDAP绑定

    ADAudit Plus是一个实时 Active Directory、文件服务器、Windows 服务器和工作站安全与合规解决方案。希望他能为您公司的IT安全提供更全面的帮助!

  • 相关阅读:
    docker搭建个人网盘和私有仓库Harbor
    Mathematica (31)---学会用Mathematica与PPT联合绘制SCI论文图形
    《Java极简设计模式》第08章:外观模式(Facade)
    RT-Thread 中断管理学习(二)
    【Java 进阶篇】JavaScript变量详解
    2Pai荣湃 π161E61 Pai161E61 5.0kVrms 200Mbps 六通道数字隔离器代替Si8661ED-B-IS
    一文详解多模态认知智能
    赋能智能安防,数字化采购协同管理平台助力企业采购精细化管理
    贪心算法之活动安排
    C++笔记之遍历vector的所有方式
  • 原文地址:https://blog.csdn.net/weixin_42493507/article/details/127843175