Резюме
CVE-2017-8563 въвежда настройка на системния регистър, която администраторите могат да използват, за да направят LDAP удостоверяването по SSL/TLS по-защитено.
Още информация
Важно Тази секция, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:
322756 Как се архивира и възстановява системният регистър в Windows
За да направят LDAP удостоверяването чрез SSL\TLS по-защитено, администраторите могат да конфигурират следните настройки на системния регистър:
-
Път за домейнови контролери на домейнови услуги на Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Път за сървърите на Lightweight Directory Services (AD LDS) на Active Directory: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<име на екземпляр на LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD стойност: 0 показва дезактивирано. Не се извършва проверка на обвързването на канал. Това е поведението на всички сървъри, които не са актуализирани.
-
DWORD стойност: 1 показва разрешено, когато се поддържа. Всички клиенти, които се изпълняват на версия на Windows, която е актуализирана да поддържа маркери за обвързване на канал (CBT), трябва да предоставят информация за обвързване на канал към сървъра. Клиенти, които използват версия на Windows, която не е актуализирана да поддържа CBT, не е необходимо да правят това. Това е междинна опция, която позволява съвместимост на приложението.
-
DWORD стойност: 2 показва разрешено, винаги. Всички клиенти трябва да предоставят информация за обвързване на канали. Сървърът отхвърля искания за удостоверяване от клиенти, които не го правят.
Бележки
-
Преди да разрешите тази настройка на домейнов контролер, клиентите трябва да инсталират актуализацията на защитата, описана в CVE-2017-8563. В противен случай може да възникнат проблеми със съвместимостта и исканията за LDAP удостоверяване през SSL/TLS, които преди това са работили, може вече да не работят. По подразбиране тази настройка е забранена.
-
Записът в системния регистър LdapEnforceChannelBindings трябва да бъде изрично създаден.
-
LDAP сървърът отговаря динамично на промените в този запис в системния регистър. Затова не трябва да рестартирате компютъра, след като приложите промяна в системния регистър.
За да увеличите съвместимостта с по-стари версии на операционната система (Windows Server 2008 и по-стари версии), ви препоръчваме да разрешите тази настройка със стойност 1. За да забраните изрично настройката, задайте запис LdapEnforceChannelBinding на 0 (нула).
Windows Server 2008 и по-старите системи изискват инсталирането на microsoft Security Advisory 973811, наличен в "KB5021989 Разширена защита за удостоверяване", преди да инсталирате CVE-2017-8563. Ако инсталирате CVE-2017-8563 без KB5021989 на домейнов контролер или екземпляр на AD LDS, всички LDAPS връзки ще са неуспешни с LDAP грешка 81 – LDAP_SERVER_DOWN.
Свързана информация
За повече информация вж. KB4520412.