Σύνοψη
Το CVE-2017-8563 εισάγει μια ρύθμιση μητρώου που οι διαχειριστές μπορούν να χρησιμοποιήσουν για να κάνουν τον έλεγχο ταυτότητας LDAP μέσω SSL/TLS πιο ασφαλή.
Περισσότερες πληροφορίες
Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στον τρόπο τροποποίησης του μητρώου. Ωστόσο, εάν τροποποιήσετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Για να κάνουν πιο ασφαλή τον έλεγχο ταυτότητας LDAP μέσω SSL\TLS, οι διαχειριστές μπορούν να ρυθμίσουν τις παραμέτρους των ακόλουθων ρυθμίσεων μητρώου:
-
Διαδρομή για ελεγκτές τομέα υπηρεσίες τομέα Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Διαδρομή για τους διακομιστές υπηρεσιών καταλόγου Active Directory Lightweight (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<όνομα παρουσίας LDS>\Parameters
-
ΤΙΜΉ DWORD: LdapEnforceChannelBinding
-
Η τιμή DWORD:0 υποδεικνύει απενεργοποιημένη. Δεν εκτελείται επικύρωση σύνδεσης καναλιού. Αυτή είναι η συμπεριφορά όλων των διακομιστών που δεν έχουν ενημερωθεί.
-
Η τιμή DWORD:1 υποδεικνύει ενεργοποιημένη, όταν υποστηρίζεται. Όλα τα προγράμματα-πελάτες που εκτελούνται σε μια έκδοση των Windows η οποία έχει ενημερωθεί ώστε να υποστηρίζει διακριτικά σύνδεσης καναλιού (CBT) πρέπει να παρέχουν πληροφορίες σύνδεσης καναλιού στο διακομιστή. Τα προγράμματα-πελάτες που εκτελούν μια έκδοση των Windows που δεν έχει ενημερωθεί για υποστήριξη CBT δεν χρειάζεται να το κάνουν. Αυτή είναι μια ενδιάμεση επιλογή που επιτρέπει τη συμβατότητα εφαρμογών.
-
Η τιμή DWORD:2 υποδεικνύει ενεργοποιημένη, πάντα. Όλοι οι πελάτες πρέπει να παρέχουν πληροφορίες σύνδεσης καναλιού. Ο διακομιστής απορρίπτει αιτήσεις ελέγχου ταυτότητας από υπολογιστές-πελάτες που δεν το κάνουν.
Σημειώσεις
-
Πριν από την ενεργοποίηση αυτής της ρύθμισης σε έναν ελεγκτή τομέα, οι υπολογιστές-πελάτες πρέπει να εγκαταστήσουν την ενημέρωση ασφαλείας που περιγράφεται στο CVE-2017-8563. Διαφορετικά, ενδέχεται να προκύψουν ζητήματα συμβατότητας και οι αιτήσεις ελέγχου ταυτότητας LDAP μέσω SSL/TLS που λειτουργούσαν προηγουμένως ενδέχεται να μην λειτουργούν πλέον. Από προεπιλογή, αυτή η ρύθμιση είναι απενεργοποιημένη.
-
Η καταχώρηση μητρώου LdapEnforceChannelBindings πρέπει να δημιουργηθεί ρητά.
-
Ο διακομιστής LDAP αποκρίνεται δυναμικά στις αλλαγές σε αυτήν την καταχώρηση μητρώου. Επομένως, δεν χρειάζεται να επανεκκινήσετε τον υπολογιστή μετά την εφαρμογή της αλλαγής μητρώου.
Για να μεγιστοποιήσετε τη συμβατότητα με παλαιότερες εκδόσεις λειτουργικού συστήματος (Windows Server 2008 και παλαιότερες εκδόσεις), συνιστάται να ενεργοποιήσετε αυτήν τη ρύθμιση με τιμή 1.Για να απενεργοποιήσετε ρητά τη ρύθμιση, ορίστε την καταχώρηση LdapEnforceChannelBinding σε 0 (μηδέν).
Ο Windows Server 2008 και παλαιότερα συστήματα απαιτούν την εγκατάσταση του Συμβουλευτικού 973811 Ασφαλείας της Microsoft, το οποίο είναι διαθέσιμο στην "Εκτεταμένη προστασία KB5021989 για έλεγχο ταυτότητας", πριν από την εγκατάσταση του CVE-2017-8563. Εάν εγκαταστήσετε το CVE-2017-8563 χωρίς KB5021989 σε ελεγκτή τομέα ή παρουσία AD LDS, όλες οι συνδέσεις LDAPS θα αποτύχουν με σφάλμα LDAP 81 - LDAP_SERVER_DOWN.
Σχετικές πληροφορίες
Για περισσότερες πληροφορίες, ανατρέξτε στο KB4520412.
