الملخص
يقدم CVE-2017-8563 إعداد سجل يمكن للمسؤولين استخدامه للمساعدة في جعل مصادقة LDAP عبر SSL/TLS أكثر أمانا.
مزيد من المعلومات
هام يحتوي هذا القسم أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بنسخ السجل احتياطيا قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
322756 كيفية نسخ السجل احتياطيا واستعادته في Windows
للمساعدة في جعل مصادقة LDAP عبر SSL\TLS أكثر أمانا، يمكن للمسؤولين تكوين إعدادات التسجيل التالية:
-
مسار وحدات التحكم بالمجال خدمات مجال Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
مسار خوادم Active Directory Lightweight Directory Services (AD LDS): اسم مثيل HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS>\Parameters
-
Dword: LdapEnforceChannelBinding
-
تشير قيمة DWORD:0 إلى معطل. لم يتم إجراء التحقق من صحة ربط القناة. هذا هو سلوك جميع الخوادم التي لم يتم تحديثها.
-
تشير قيمة DWORD:1 إلى التمكين، عند دعمها. يجب على جميع العملاء الذين يعملون على إصدار من Windows تم تحديثه لدعم الرموز المميزة لربط القناة (CBT) توفير معلومات ربط القناة إلى الخادم. لا يتعين على العملاء الذين يقومون بتشغيل إصدار من Windows لم يتم تحديثه لدعم CBT القيام بذلك. هذا خيار وسيط يسمح بتوافق التطبيق.
-
تشير قيمة DWORD:2 إلى تمكين، دائما. يجب على جميع العملاء توفير معلومات ربط القناة. يرفض الخادم طلبات المصادقة من العملاء الذين لا يفعلون ذلك.
الملاحظات
-
قبل تمكين هذا الإعداد على وحدة تحكم المجال، يجب على العملاء تثبيت تحديث الأمان الموضح في CVE-2017-8563. وإلا، قد تنشأ مشكلات في التوافق، وقد لا تعمل طلبات مصادقة LDAP عبر SSL/TLS التي عملت مسبقا. بشكل افتراضي، يتم تعطيل هذا الإعداد.
-
يجب إنشاء إدخال سجل LdapEnforceChannelBindings بشكل صريح.
-
يستجيب خادم LDAP ديناميكيا للتغييرات التي تطرأ على إدخال السجل هذا. لذلك، ليس عليك إعادة تشغيل الكمبيوتر بعد تطبيق تغيير السجل.
لزيادة التوافق مع إصدارات نظام التشغيل الأقدم (Windows Server 2008 والإصدارات السابقة)، نوصي بتمكين هذا الإعداد بقيمة 1.لتعطيل الإعداد بشكل صريح، قم بتعيين إدخال LdapEnforceChannelBinding إلى 0 (صفر).
يتطلب Windows Server 2008 والأنظمة القديمة تثبيت 973811 الاستشارات الأمنية من Microsoft، المتوفرة في "KB5021989 Extended Protection for Authentication"، قبل تثبيت CVE-2017-8563. إذا قمت بتثبيت CVE-2017-8563 بدون KB5021989 على وحدة تحكم مجال أو مثيل AD LDS، فستفشل جميع اتصالات LDAPS مع ظهور الخطأ LDAP 81 - LDAP_SERVER_DOWN.
المعلومات ذات الصلة
لمزيد من المعلومات، راجع KB4520412.
