Event 2887, Event 2889 und LDAP Signing
Achtung: Diese Seite hat aufgrund von LDAP Security: LdapEnforceChannelBinding im Jahr 2020 neue Aktualität erlangt. Windows wird "unsichere" Anmeldungen verhindern.
Kaum hat man Windows 2008 R2 installiert, finden sich auf vielen DCs neue Einträge mit dem Eventlog 2887. Das Problem dabei ist, dass Windows zwar sagt, dass es Clients gibt, die LDAP nicht signieren, aber leider nicht verrät, welche IP-Adresse solche Anfragen stellt. Selbst die seit standardmäßig aktivierte Anmeldeprotokollierung, die ansonsten im Security Eventlog schön alle Anmeldevorgänge protokolliert, hilft hier nicht weiter. Es handelt sich ja um eine Besonderheit des LDAP-Zugriffs.
Log Name: Directory Service Source: Microsoft-Windows-ActiveDirectory_DomainService Event ID: 2887 Task Category: LDAP Interface Level: Warning Keywords: Classic User: ANONYMOUS LOGON Computer: W2K8R2E2010.E2010.local Description: During the previous 24 hour period, some clients attempted to perform LDAP binds that were either: (1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or (2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. für more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923. Summary information on the number of these binds received within the past 24 hours is below. You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting für the "LDAP Interface Events" event logging category to level 2 or higher. Number of simple binds performed without SSL/TLS: 1 Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 2 ...
Am Ende des Events kommt noch eine ganze Menge Fließtext, warum das unsicher ist und dass Sie solche Verbindungen per Gruppenrichtlinie ablehnen können. Aber ehe Sie das tun, sollten Sie prüfen, wer denn der fragliche Client ist. Das steht nämlich erst einmal nicht im Eventlog drin.
LDAP Diagnose einschalten
Natürlich könnten Sie per Gruppenrichtlinie solche Zugriffe einfach unterbinden und dann einfach schauen, was alles nicht mehr geht. Aber dies ist natürlich ein etwas rabiater Ansatz. Netter wäre doch, die fraglichen Clients ausfindig zu machen und entsprechend umzustellen. Dazu müssen Sie aber erst die LDAP-Überwachung aktivieren.
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Alternativ können Sie auch folgenden Textabschnitt als REG-Datei speichern und importieren.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics] "16 LDAP Interface Events"=dword:00000002
Eventlog 2889 suchen
Nach der Aktivierung müssen sie nun nur noch nach Events mit der Nummer "2889" suchen. Sie können den Eventlogeintrag auch einfach mit LDP provozieren, indem Sie sich mit dem DC verbinden und einen "SimpleBind" ausführen
Jeder Versuch einer LDAP-Anmeldung ohne Signatur wird im Eventlog nun wie folgt protokolliert:
Log Name: Directory Service Source: Microsoft-Windows-ActiveDirectory_DomainService Event ID: 2889 Task Category: LDAP Interface Level: Information Keywords: Classic User: ANONYMOUS LOGON Computer: W2K8R2E2010.E2010.local Description: The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a cleartext (non-SSL/TLS-encrypted) LDAP connection. Client IP address: [::1]:25251 Identity the client attempted to authenticate as: E2010\Administrator
Sie können also sehr gut erkennen, welche IP-Adresse versucht hat, den Server hier anzusprechen. Im Beispiel ist eine IPV6-Adresse [::1] vom Sourceport 25251 protokolliert worden. Sie können nun an das fragliche System gehen und die LDAP-Anmeldung entsprechend umstellen.
Sollte die Anwendung nicht umstellbar sein, dann werden Sie mit den Event 2887 wohl oder übel leben müssen. Eine Option, diese Meldung abzuschalten, die alle 24h kommt, kenne ich nicht. Wohl dem, der eine zentrale Eventlogüberwachung einsetzt und diesen Event dann auf "AutoSolve" setzen kann.
LDAP Diagnose ausschalten
Vergessen Sie nicht danach die Diagnosefunktion wieder abzuschalten, damit das Eventlog als auch der Server nicht unnötig belastet werden.
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 0
Alternativ können Sie auch folgenden Textabschnitt als REG-Datei speichern und importieren.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics] "16 LDAP Interface Events"=dword:00000000
Weitere Links
- LDAP Security: LdapEnforceChannelBinding
- LDAP Tracing
-
LDAP Security
Bewerten sie die Risiken eines LDAP-Servers und nutzen sie z.B. TLS - PowerShell Beispiele : Eventlog
-
Checkliste Active Directory Absicherung
Keine Liste ist komplett aber fangen Sie heute an und hören sie nie auf - 823659 Client, service, and program incompatibilities that may occur when you modify security settings and User rights assignments
- 314980 How to configure Active Directory diagnostic event logging in Windows Server 2003 and in Windows 2000 Server
- Event ID 2889 — LDAP signing
http://msdn.microsoft.com/en-us/library/ee410989(v=ws.10).aspx
http://technet.microsoft.com/en-us/library/dd941849(WS.10).aspx - Event ID 2887 — LDAP signing
http://technet.microsoft.com/en-us/library/dd941856%28WS.10%29.aspx