兼容性预警：微软将通过安全更新强制开启LDAP防御措施

微软公司于 2019-09-11 日发布相关通告称微软计划于 2020 年 1 月发布安全更新。为了提升域控制器的安全性，该安全更新将强制开启所有域控制器上 LDAP channel binding 与 LDAP signing 功能。微软官方提示此举有可能造成大量兼容性问题。

LDAP channel binding 与 LDAP signing

2018 年与 2019 年曾有安全研究人员发布严重影响 Windows 域环境安全的多种攻击手法与多个漏洞（包括奇安信 A-TEAM 于今年 2 月向微软提交的 CVE-2019-1040）。此类攻击手法的攻击目标是域内的 LDAP 服务器（一般是域控制器），成功利用此类攻击手法、漏洞的攻击者将获得 Windows 域环境的最高控制权。LDAP channel binding 与 LDAP signing 是微软所推出的缓解这一类攻击手法的有效措施。但是，在以往的 Windows 操作系统中，这两项保护措施并不是默认启用的状态。微软计划通过将于 2020 年 1 月发布的安全更新强制开启这两项保护措施。

所带来的影响

大型企业的网络环境中很有可能部署了一个或多个需要与 LDAP 服务器进行联动的第三方应用（比如各类 OA、CRM 等业务系统）。在 LDAP channel binding 与 LDAP signing 功能被强制开启后，若与 LDAP 进行联动的第三方应用不支持 LDAP channel binding 或 LDAP signing 功能，将会造成严重的兼容性问题，可能导致第三方应用无法正常工作。

行动建议

建议各企业 IT 相关负责人于 2020 年 1 月前对企业内需要与 LDAP 服务器进行联动的第三方应用进行排查，提前确定可能出现兼容性问题的应用，并联系相关软件厂商进行更新。

排查方式见参考资料。

参考资料

[1].https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

[2].https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。