Yhteenveto
CVE-2017-8563 sisältää rekisteriasetuksen, jonka avulla järjestelmänvalvojat voivat parantaa LDAP-todennusta SSL/TLS:n kautta.
Lisätietoja
Tärkeää Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa
Järjestelmänvalvojat voivat parantaa LDAP-todennuksen suojausta SSL\TLS:n kautta määrittämällä seuraavat rekisteriasetukset:
-
toimialueen ohjauskoneiden Active Directory -toimialueen palvelut (AD DS) polku: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory Lightweight Directory Services (AD LDS) -palvelinten polku: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-esiintymän nimi>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-arvo: 0 ilmaisee , että se on poistettu käytöstä. Kanavasidontatarkistusta ei suoriteta. Tämä koskee kaikkia palvelimia, joita ei ole päivitetty.
-
DWORD-arvo: 1 osoittaa käytössä, kun sitä tuetaan. Kaikkien asiakkaiden, jotka käyttävät Windows-versiota, joka on päivitetty tukemaan kanavan sidontatunnuksia (CBT), on annettava kanavan sidontatiedot palvelimeen. Asiakkaiden, joilla on Windows-versio, jota ei ole päivitetty tukemaan CBT:tä, ei tarvitse tehdä niin. Tämä on väliasetus, joka mahdollistaa sovellusten yhteensopivuuden.
-
DWORD-arvo: 2 osoittaa aina käytössä olevan arvon. Kaikkien asiakkaiden on annettava kanavan sidontatiedot. Palvelin hylkää todennuspyynnöt asiakkailta, jotka eivät tee niin.
Huomautukset
-
Ennen kuin otat tämän asetuksen käyttöön toimialueen ohjauskoneessa, asiakkaiden on asennettava suojauspäivitys, joka on kuvattu päivityksessä CVE-2017-8563. Muussa tapauksessa yhteensopivuusongelmia voi ilmetä ja aiemmin toimineet LDAP-todennuspyynnöt SSL/TLS:n kautta eivät ehkä enää toimi. Tämä asetus on oletusarvoisesti poissa käytöstä.
-
LdapEnforceChannelBindings-rekisterimerkintä on luotava erikseen.
-
LDAP-palvelin vastaa dynaamisesti tämän rekisterimerkinnän muutoksiin. Siksi tietokonetta ei tarvitse käynnistää uudelleen rekisterimuutoksen jälkeen.
Jotta yhteensopivuus vanhojen käyttöjärjestelmäversioiden (Windows Server 2008 ja aiemmat versiot) kanssa olisi mahdollisimman suuri, suosittelemme, että otat tämän asetuksen käyttöön arvolla 1.Jos haluat poistaa asetuksen erikseen käytöstä, määritä LdapEnforceChannelBinding-merkinnän arvoksi 0 (nolla).
Windows Server 2008 ja vanhemmat järjestelmät edellyttävät, että Microsoft Security Advisory 973811, joka on saatavilla kohdassa "KB5021989 Extended Protection for Authentication", asennetaan ennen CVE-2017-8563:n asentamista. Jos asennat CVE-2017-8563:n ilman KB5021989 :ää toimialueen ohjauskoneeseen tai AD LDS -esiintymään, kaikki LDAPS-yhteydet epäonnistuvat LDAP-virheellä 81 - LDAP_SERVER_DOWN.
Aiheeseen liittyvät tiedot
Lisätietoja on artikkelissa KB4520412.
