Sammendrag
CVE-2017-8563 introducerer en indstilling i registreringsdatabasen, som administratorer kan bruge til at gøre LDAP-godkendelse via SSL/TLS mere sikker.
Flere oplysninger
Vigtigt! Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Du kan derefter gendanne registreringsdatabasen, hvis der opstår et problem. Flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Administratorer kan konfigurere følgende indstillinger i registreringsdatabasen for at gøre LDAP-godkendelse via SSL\TLS mere sikker:
-
Sti til ad DS-domænecontrollere (Active Directory-domæneservices): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Sti til AD LDS-servere (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-forekomstnavn>\Parametre
-
DWORD: LdapEnforceChannelBinding
-
DWORD-værdi: 0 angiver deaktiveret. Der udføres ingen kanalbindingsvalidering. Dette er funktionsmåden for alle servere, der ikke er blevet opdateret.
-
DWORD-værdi: 1 angiver aktiveret, når det understøttes. Alle klienter, der kører på en version af Windows, der er blevet opdateret til at understøtte kanalbindingstokens (CBT), skal angive oplysninger om kanalbinding til serveren. Klienter, der kører en version af Windows, der ikke er blevet opdateret til at understøtte CBT, behøver ikke at gøre det. Dette er en mellemliggende indstilling, der giver mulighed for programkompatibilitet.
-
DWORD-værdi: 2 angiver altid aktiveret. Alle klienter skal angive kanalbindingsoplysninger. Serveren afviser godkendelsesanmodninger fra klienter, der ikke gør det.
Noter
-
Før du aktiverer denne indstilling på en domænecontroller, skal klienter installere den sikkerhedsopdatering, der er beskrevet i CVE-2017-8563. Ellers kan der opstå kompatibilitetsproblemer, og LDAP-godkendelsesanmodninger via SSL/TLS, der tidligere fungerede, fungerer muligvis ikke længere. Denne indstilling er som standard deaktiveret.
-
Registreringsdatabaseposten LdapEnforceChannelBindings skal oprettes eksplicit.
-
LDAP-serveren reagerer dynamisk på ændringer af denne post i registreringsdatabasen. Du behøver derfor ikke at genstarte computeren, når du har anvendt ændringen i registreringsdatabasen.
Hvis du vil maksimere kompatibiliteten med ældre versioner af operativsystemet (Windows Server 2008 og tidligere versioner), anbefaler vi, at du aktiverer denne indstilling med værdien 1. Hvis du eksplicit vil deaktivere indstillingen, skal du angive LdapEnforceChannelBinding-posten til 0 (nul).
Windows Server 2008 og ældre systemer kræver, at Microsoft Security Advisory 973811, der er tilgængelig i "KB5021989 Extended Protection for Authentication", installeres, før du installerer CVE-2017-8563. Hvis du installerer CVE-2017-8563 uden KB5021989 på en domænecontroller eller AD LDS-forekomst, mislykkes alle LDAPS-forbindelser med LDAP-fejl 81 – LDAP_SERVER_DOWN.
Relaterede oplysninger
Du kan få flere oplysninger i KB4520412.