Event 2887, Event 2889 und LDAP Signing

Kaum hat man Windows 2008 R2 installiert, finden sich auf vielen DCs neue Einträge mit dem Eventlog 2887. Das Problem dabei ist, dass Windows zwar sagt, dass es Clients gibt, die LDAP nicht signieren, aber leider nicht verrät, welche IP-Adresse solche Anfragen stellt. Selbst die seit standardmäßig aktivierte Anmeldeprotokollierung, die ansonsten im Security Eventlog schön alle Anmeldevorgänge protokolliert, hilft hier nicht weiter. Es handelt sich ja um eine Besonderheit des LDAP-Zugriffs.

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2887
Task Category: LDAP Interface
Level: Warning
Keywords: Classic
user: ANONYMOUS LOGON
Computer: W2K8R2E2010.E2010.local
Description:

During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. für more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting für the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: 1
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 2
...

Am Ende des Events kommt noch eine ganze Menge Fließtext, warum das unsicher ist und dass Sie solche Verbindungen per Gruppenrichtlinie ablehnen können. Aber ehe Sie das tun, sollten Sie prüfen, wer denn der fragliche Client ist. Das steht nämlich erst einmal nicht im Eventlog drin.

LDAP Diagnose einschalten

Natürlich könnten Sie per Gruppenrichtlinie solche Zugriffe einfach unterbinden und dann einfach schauen, was alles nicht mehr geht. Aber dies ist natürlich ein etwas rabiater Ansatz. Netter wäre doch, die fraglichen Clients ausfindig zu machen und entsprechend umzustellen. Dazu müssen Sie aber erst die LDAP-Überwachung aktivieren.

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Alternativ können Sie auch folgenden Textabschnitt als REG-Datei speichern und importieren.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics]
"16 LDAP Interface Events"=dword:00000002

Eventlog 2889 suchen

Nach der Aktivierung müssen sie nun nur noch nach Events mit der Nummer "2889" suchen. Sie können den Eventlogeintrag auch einfach mit LDP provozieren, indem Sie sich mit dem DC verbinden und einen "SimpleBind" ausführen

Jeder Versuch einer LDAP-Anmeldung ohne Signatur wird im Eventlog nun wie folgt protokolliert:

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2889
Task Category: LDAP Interface
Level: Information
Keywords: Classic
user: ANONYMOUS LOGON
Computer: W2K8R2E2010.E2010.local
Description:
The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a cleartext (non-SSL/TLS-encrypted) LDAP connection.

Client IP address:
[::1]:25251
Identity the client attempted to authenticate as:
E2010\Administrator

Sie können also sehr gut erkennen, welche IP-Adresse versucht hat, den Server hier anzusprechen. Im Beispiel ist eine IPV6-Adresse [::1] vom Sourceport 25251 protokolliert worden. Sie können nun an das fragliche System gehen und die LDAP-Anmeldung entsprechend umstellen.

Sollte die Anwendung nicht umstellbar sein, dann werden Sie mit den Event 2887 wohl oder übel leben müssen. Eine Option, diese Meldung abzuschalten, die alle 24h kommt, kenne ich nicht. Wohl dem, der eine zentrale Eventlogüberwachung einsetzt und diesen Event dann auf "AutoSolve" setzen kann.

LDAP Diagnose ausschalten

Vergessen Sie nicht danach die Diagnosefunktion wieder abzuschalten, damit das Eventlog als auch der Server nicht unnötig belastet werden.

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 0

Alternativ können Sie auch folgenden Textabschnitt als REG-Datei speichern und importieren.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics]
"16 LDAP Interface Events"=dword:00000000

Weitere Links