LDAP Signing & Channel Binding Verharding

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Hoekom dit saak maak

LDAP relay/MITM laat aanvallers toe om binds na Domain Controllers deur te stuur om geverifieerde kontekste te bekom. Twee bedienerkant-beheermaatreëls beperk hierdie paaie:

  • LDAP Channel Binding (CBT) ties an LDAPS bind to the specific TLS tunnel, breaking relays/replays across different channels.
  • LDAP Signing dwing integriteitsbeskermde LDAP-boodskappe af, wat manipulasie en die meeste ongetekende relays voorkom.

Vinnige offensiewe kontrole: gereedskap soos netexec ldap <dc> -u user -p pass druk die serverhouding uit. As jy (signing:None) en (channel binding:Never) sien, Kerberos/NTLM relays to LDAP is uitvoerbaar (bv. met KrbRelayUp om msDS-AllowedToActOnBehalfOfOtherIdentity te skryf vir RBCD en administrateurs na te boots).

Server 2025 DCs stel ’n nuwe GPO bekend (LDAP server signing requirements Enforcement) wat standaard op Require Signing staan wanneer dit op Not Configured gelaat word. Om afdwinging te vermy moet jy daardie beleid uitdruklik op Disabled stel.

LDAP Channel Binding (LDAPS only)

  • Vereistes:
  • CVE-2017-8563 patch (2017) voeg Extended Protection for Authentication-ondersteuning by.
  • KB4520412 (Server 2019/2022) voeg LDAPS CBT “what-if” telemetry by.
  • GPO (DCs): Domain controller: LDAP server channel binding token requirements
  • Never (standaard, geen CBT)
  • When Supported (audit: stuur mislukkings uit, blokkeer nie)
  • Always (afdwing: verwerp LDAPS binds sonder geldige CBT)
  • Audit: stel When Supported om na vore te bring:
  • 3074 – LDAPS bind sou CBT-validasie misluk het as dit afgedwing is.
  • 3075 – LDAPS bind het CBT-data weggelaat en sou verwerp word as dit afgedwing is.
  • (Event 3039 teken nog steeds CBT-foute aan op ouer builds.)
  • Enforcement: stel Always sodra LDAPS kliënte CBTs stuur; slegs effektief op LDAPS (nie rou 389 nie).

LDAP Signing

  • Client GPO: Network security: LDAP client signing requirements = Require signing (vs Negotiate signing default on modern Windows).
  • DC GPO:
  • Legacy: Domain controller: LDAP server signing requirements = Require signing (default is None).
  • Server 2025: laat die legacy-beleid op None en stel LDAP server signing requirements Enforcement = Enabled (Not Configured = enforced by default; stel Disabled om dit te vermy).
  • Compatibility: slegs Windows XP SP3+ ondersteun LDAP signing; ouer stelsels sal breek wanneer afdwinging aangeskakel is.

Oudit-eerste uitrol (aanbeveel ~30 dae)

  1. Skakel LDAP-interface-diagnostiek op elke DC aan om ongetekende binds te log (Event 2889):
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
  1. Stel DC GPO LDAP server channel binding token requirements = When Supported om CBT-telemetrie te begin.
  2. Moniteer Directory Service-gebeurtenisse:
  • 2889 – unsigned/unsigned-allow binds (signing noncompliant).
  • 3074/3075 – LDAPS binds that would fail or omit CBT (requires KB4520412 on 2019/2022 and step 2 above).
  1. Dwing dit in afsonderlike veranderinge af:
  • LDAP server channel binding token requirements = Always (DCs).
  • LDAP client signing requirements = Require signing (clients).
  • LDAP server signing requirements = Require signing (DCs) or (Server 2025) LDAP server signing requirements Enforcement = Enabled.

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks