Привязка канала LDAP и требование подписи LDAP для Windows

În martie 2020, Microsoft va lansa o actualizare de securitate pentru Windows, care va solicita ca toate cererile LDAP (Lightweight Directory Access Protocol) să fie semnate, ceea ce înseamnă că toate solicitările LDAP nesemnate să fie respinse de serverele Windows Active Directory (AD DS sau AD LDS). Semnarea LDAP nu trebuie confundată cu LDAPS, care este capacitatea de a transfera codul LDAP într-o sesiune TLS. Semnarea LDAP este abilitatea de a semna pachetele LDAP, dar nu sunt cifrate. LDAPS necesită un certificat în timp ce semnarea LDAP nu.
Orice sistem care se conectează la Active Directory prin LDAP fără a avea semnarea LDAP activată va fi afectată de această modificare.

Următoarele servicii sunt afectate:
•    AD DS (Active Directory Domain Services)
•    AD LDS (Active Directory-Directory Lightweight Services Directory)

Există o vulnerabilitate în configurația implicită pentru legarea canalului Lightweight Directory Access Protocol (LDAP) și semnarea LDAP și poate expune controloarele de domeniu Active Directory la vulnearbiltăţile de ridicare a privilegiilor. Microsoft intenționează să impună utilizarea semnăturii LDAPS în mod implicit pe Controlerele de domeniu. Calculatoarele client trebuie configurate în consecință, ceea ce va fi realizat prin actualizările din martie pentru sistemul de operare Windows.

Sistemele Microsoft potențial afectate:
•    Windows 7 SP1
•    Windows 8.1
•    Windows 10
•    Windows Server 2008 SP2, 2008 R2 SP1
•    Windows Server 2012, 2012 R2
•    Windows Server 2016
•    Windows Server 2019

Orange Moldova CERT recomandă să vă asigurați că mediul Windows este pregătit și configurat pentru a permite legarea canalelor LDAP și semnarea LDAP.