ADAudit Plus e a vulnerabilidade no LDAP

Aprender a gerenciar o Active Directory requer tempo e paciência. Embora o administrador do sistema tenha experiência, ele não é capaz de conhecer todas as vulnerabilidades que podem existir no ambiente ou causar danos. O ADAudit Plus que graças aos seus relatórios integrados, pode detectar um possível erro ou vulnerabilidade no ambiente do domínio, pode ajudar nisso.

O que é LDAP?

LDAP é um protocolo leve de acesso a diretórios. É usado para acessar dados armazenados pelos servidores. Clientes e aplicativos são autenticados com o Windows Active Directory (AD) usando operações de ligação LDAP.

Existem vários tipos de operações de ligação LDAP, incluindo:

  • Ligação LDAP simples, na qual as credenciais são enviadas pela rede em texto sem formatação e não garantidas.
  • Uma ligação LDAP com autenticação não assinada e camada de segurança (SASL) que não requer assinatura e não é segura.
  • Associação LDAP SASL assinada que requer assinatura e é segura.
  • LDAP sobre SSL / TSL, também conhecido como ligação LDAPS, que é criptografada e segura.

O que pode estar em risco?

Os controladores de domínio (DCs) estão em risco porque permitem que os clientes LDAP se comuniquem com eles usando ligações LDAP simples e ligações LDAP SASL que não requerem assinatura. Por outro lado, ligações simples LDAP permitem que credenciais para contas privilegiadas, como administradores de domínio, passem pela rede em texto não criptografado. 

As ligações LDAP SASL não assinadas permitem que qualquer pessoa com intenção maliciosa intercepte pacotes entre o cliente e o controlador de domínio, altere pacotes e encaminhe-os. Ambos os cenários podem ter consequências catastróficas. Há uma boa chance de os controladores de domínio em seu ambiente permitirem conexões LDAP não seguras.

Como você detecta ligações LDAP não seguras?

A primeira etapa para mitigar essa vulnerabilidade é determinar se o domínio está vulnerável. O que você pode fazer nessa situação? Ver o ID do evento 2887.

O evento 2887 é registrado por padrão no controlador de domínio a cada 24 horas e mostra o número de associações de texto não assinado e limpo com o controlador de domínio. Qualquer número maior que zero significa que o controlador de domínio permite ligações LDAP não seguras.

Em seguida, descubra todos os dispositivos e aplicativos que estão usando associações não seguras, visualizando o evento número 2889.

O evento 2889 é registrado no controlador de domínio sempre que o computador cliente tenta estabelecer uma ligação LDAP não assinada. Exibe o endereço IP e o nome da conta do computador que tentou se autenticar com uma ligação LDAP não assinada.

Nota: Este evento não é registrado por padrão e requer que você ative as políticas de domínio apropriadas.

Como o ADAudit Plus ajuda a detectar esses eventos?

O uso de scripts do PowerShell para analisar e extrair dados relevantes dos eventos 2887 e 2889 registrados requer conhecimento e tempo. O ADAudit Plus coleta esses eventos de todos os controladores no domínio e fornece relatórios que indicam dispositivos e aplicativos usando ligações LDAP não seguras. Os detalhes nos relatórios incluem endereços IP, portas, nomes de usuário e tipo de ligação. Além disso, o ADAudit Plus pode ser configurado para notificá-lo por e-mail e SMS sobre tentativas de autenticação usando uma associação não segura.

Identificar se os controladores de domínio permitem associações inseguras e a detecção de dispositivos e aplicativos vulneráveis ​​estão a apenas alguns cliques.

Nota : Após detectar todos os dispositivos e aplicativos que usam ligações LDAP não seguras com o ADAudit Plus, é necessário corrigi-las forçando a assinatura LDAP e a ligação de canais LDAP (para tornar a conexão LDAPS mais segura).

Alterações no LDAP introduzidas desde março de 2020

Alterações no Windows foram introduzidas em março. Inicialmente, as configurações de atribuição e associação do canal LDAP não receberam alterações. Como você pode ler no site da Microsoft:

A atualização do Windows em março de 2020 adiciona novos eventos de auditoria, logon e remapeamento às políticas de grupo que permitirão restringir as atribuições de canal LDAP e a assinatura LDAP. A atualização de março de 2020 não altera a política ou o registro LDAP em controladores de domínio novos ou existentes.

A próxima atualização, prevista para ser introduzida no segundo semestre de 2020, alterará os valores das configurações padrão para reforçados, onde a assinatura LDAP e a ligação de canal já serão necessárias.

Os administradores podem impedir essas alterações atualizando o recurso. Ao alterá-los agora para corresponder às futuras configurações “padrão”, eles não precisarão se preocupar com alterações futuras.

Como devo me preparar antes de alterar a segurança do LDAP?

As alterações descritas acima foram introduzidas inicialmente em janeiro de 2020. A Microsoft disse, no entanto, que daria às organizações mais tempo para se prepararem. Somente em meados de 2010 serão feitas alterações na assinatura LDAP e nas atribuições de canal em controladores de domínio que atualmente possuem configurações padrão.

As próximas alterações podem causar um problema com o funcionamento e a compatibilidade de muitos aplicativos. Para identificá-los de maneira rápida e fácil, você deve usar a função interna do ADAudit Plus, que fornecerá um relatório completo sobre um determinado aplicativo em seu ambiente de domínio.

O que mais o ADAudit Plus pode fazer?

Além dos relatórios de domínio, o ADAudit Plus também permite:
• Auditar servidores de arquivos,
• Análises comportamentais,
• Alertas baseados em relatórios,
• Notificações por e-mail ou sms no caso de um alerta crítico e muito mais …

O trabalho do administrador não é fácil e, em grande parte, a falta de informações relevantes pode causar muitos danos. Para evitar problemas de compatibilidade, dois eventos devem ser identificados: 2887 e 2889, e seus resultados adequadamente abordados. Em breve, a segurança do LDAP mudará e é melhor se interessar pelo assunto antes que a atualização ocorra e os aplicativos parem de funcionar.

Autor do artigo: Jakub Hotloś- Engenheiro de Produto da ME.

Quer acompanhar de perto a segurança e auditoria do LDAP? Comece com uma avaliação gratuita de 30 dias do ADAudit Plus. Contando sempre com o apoio da equipe ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

Deixe um comentário