Kokkuvõte
CVE-2017-8563 tutvustab registrisätet, mille abil administraatorid saavad muuta LDAP-autentimise SSL-i/TLS-i kaudu turvalisemaks.
Lisateave
Tähtis See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis oleva artikli kuvamiseks järgmist artiklinumbrit.
322756 Registri varundamine ja taastamine Windowsis
Selleks et muuta LDAP-autentimine SSL\TLS-i kaudu turvalisemaks, saavad administraatorid konfigureerida järgmised registrisätted.
-
Active Directory domeeniteenused (AD DS) domeenikontrollerite tee: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Teenuse Active Directory Lightweight Directory Services (AD LDS) serverite tee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-i eksemplari nime>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-i väärtus: 0 tähistab keelatud. Kanali sidumise valideerimist ei tehta. See on kõigi värskendamata serverite käitumine.
-
DWORD-väärtus: 1 tähistab lubatud, kui seda toetatakse. Kõik kliendid, kes töötavad Windowsi versioonis, mis on värskendatud kanali sidumislubade (CBT) toetamiseks, peavad edastama serverile kanali sidumise teabe. Kliendid, kus töötab Windowsi versioon, mida pole CBT toetamiseks värskendatud, ei pea seda tegema. See on vahesuvand, mis võimaldab rakenduste ühilduvust.
-
DWORD-i väärtus: 2 näitab , et see on lubatud, alati. Kõik kliendid peavad esitama kanali sidumise teabe. Server hülgab nende klientide autentimistaotlused, kes seda ei tee.
Märkused.
-
Enne selle sätte lubamist domeenikontrolleris peavad kliendid installima CVE-2017-8563 kirjeldatud turbevärskenduse. Muidu võivad ilmneda ühilduvusprobleemid ja varem toiminud SSL-i/TLS-i kaudu esitatud LDAP-autentimistaotlused ei pruugi enam töötada. Vaikimisi on see säte keelatud.
-
Registrikirje LdapEnforceChannelBindings tuleb selgelt luua.
-
LDAP-server reageerib dünaamiliselt selle registrikirje muudatustele. Seetõttu ei pea te pärast registrimuudatuse rakendamist arvutit taaskäivitama.
Vanemate operatsioonisüsteemiversioonidega (Windows Server 2008 ja varasemad versioonid) ühilduvuse suurendamiseks soovitame selle sätte lubada väärtusega 1. Sätte selgesõnaliselt keelamiseks määrake kirje LdapEnforceChannelBinding väärtuseks 0 (null).
Windows Server 2008 ja vanemad süsteemid nõuavad, et Enne CVE-2017-8563 installimist installitaks Microsofti turbenõuandla 973811, mis on saadaval versioonis "KB5021989 laiendatud autentimiskaitse". Kui installite CVE-2017-8563 ilma KB5021989-ta domeenikontrollerisse või AD LDS-i eksemplari, nurjuvad kõik LDAPS-ühendused LDAP-i tõrkega 81 - LDAP_SERVER_DOWN.
Seotud teave
Lisateavet leiate teemast KB4520412.