轻型目录访问协议(LDAP),供目录客户端访问目录服务器中的数据。各类客户端与应用程序均通过 LDAP 绑定操作,向 Windows 活动目录(AD)完成身份认证。
常见的 LDAP 绑定操作主要分为以下四类:
简易 LDAP 绑定:账号凭证以明文形式在网络中传输,存在严重安全隐患。
无签名 SASL LDAP 绑定:无需进行消息签名,属于不安全的绑定方式。
带签名 SASL LDAP 绑定:强制要求消息签名,安全性有保障。
LDAP over SSL/TLS(LDAPS 绑定):全程加密传输,安全可靠。
域控制器(DC)普遍存在安全风险,原因在于其默认允许客户端通过简易 LDAP 绑定和无签名 SASL LDAP 绑定进行通信。
简易 LDAP 绑定会让域管理员等高权限账号凭证以明文在网络传输;而无签名 SASL LDAP 绑定,极易被恶意人员抓包、篡改数据包并转发利用。
两种漏洞场景都可能引发灾难性安全事故,绝大多数企业的域控制器,当下很可能正放任不安全 LDAP 绑定通行。
如何检测不安全 LDAP 绑定行为
修复该漏洞的首要步骤,是排查自身业务环境是否受影响,可通过事件 ID 2887进行核查。
域控制器默认每 24 小时自动记录 2887 事件,会统计服务器上无签名、明文 LDAP 绑定的访问次数。只要统计数值大于 0,即代表域控制器已放行不安全 LDAP 绑定请求。
随后可通过事件 ID 2889,精准定位所有采用不安全绑定的终端设备与业务系统。
每当客户端发起无签名 LDAP 绑定请求时,域控制器会生成 2889 事件日志,清晰记录访问终端的 IP 地址、认证账号等关键信息。
注意:该事件默认不会自动生成,需手动开启对应诊断日志功能。
ADAudit Plus 如何快速实现漏洞检测
借助 PowerShell 脚本解析、提取 2887 和 2889 事件日志数据,不仅需要专业技术能力,还耗费大量人力时间。
ManageEngine ADAudit Plus 可自动汇聚全网所有域控制器的相关日志,生成精准报表,一键定位存在不安全 LDAP 绑定的终端与应用。报表可清晰展示 IP 地址、端口、账号名称、绑定类型等全量信息。
同时支持自定义告警策略,一旦监测到不安全 LDAP 绑定认证行为,可即时通过邮件、短信推送告警通知。
只需简单几步操作,即可快速核查域控制器绑定状态、定位存在漏洞风险的终端与应用。
温馨提示:通过 ADAudit Plus 排查出所有使用不安全 LDAP 绑定的设备和应用后,建议尽快启用LDAP 签名与LDAP 通道绑定策略,强化 LDAPS 传输安全,完成漏洞整改加固。
关于 ManageEngine ADAudit Plus
ADAudit Plus 是一款实时监控活动目录、文件服务器、Windows 服务器及终端工作站的安全审计与等保合规解决方案。