סיכום
CVE-2017-8563 מציג הגדרת רישום שמנהלי מערכת יכולים להשתמש בה כדי לסייע בהפיכת אימות LDAP באמצעות SSL/TLS לאבטח יותר.
מידע נוסף
חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
כדי לסייע בהפיכת אימות LDAP באמצעות SSL\TLS לאבטח יותר, מנהלי מערכת יכולים לקבוע את תצורת הגדרות הרישום הבאות:
-
נתיב עבור בקרי Active Directory Domain Services תחום (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
נתיב עבור שרתי Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<מופע LDS>\Parameters
-
Dword: LdapEnforceChannelBinding
-
ערך DWORD: 0 מציין לא זמין. לא בוצע אימות איגוד ערוץ. זהו אופן הפעולה של כל השרתים שלא עודכנו.
-
ערך DWORD: 1 מציין זמין, כאשר הוא נתמך. כל הלקוחות הפועלים בגירסה של Windows עודכנה לתמיכה באסימוני איגוד ערוץ (CBT) חייבים לספק לשרת מידע איגוד ערוץ. לקוחות שבהם פועלת גירסה של Windows שלא עודכנה כדי לתמוך ב- CBT אינם חייבים לעשות זאת. זוהי אפשרות ביניים המאפשרת תאימות אפליקציה.
-
ערך DWORD: 2 מציין זמין, תמיד. כל הלקוחות חייבים לספק מידע איגוד ערוץ. השרת דוחה בקשות אימות מהלקוחות שאינם עושים זאת.
הערות
-
לפני הפיכת הגדרה זו לזמינה בבקר תחום, הלקוחות חייבים להתקין את עדכון האבטחה המתואר ב- CVE-2017-8563. אחרת, בעיות תאימות עלולות להתעורר, וייתכן שבקשות אימות LDAP באמצעות SSL/TLS שפעליו בעבר לא יפעלו עוד. כברירת מחדל, הגדרה זו אינה זמינה.
-
יש ליצור את ערך הרישום LdapEnforceChannelBindings במפורש.
-
שרת LDAP מגיב באופן דינאמי לשינויים בערך רישום זה. לכן, אין צורך להפעיל מחדש את המחשב לאחר החלת שינוי הרישום.
כדי להגדיל את התאימות לגירסאות קודמות של מערכת ההפעלה (Windows Server 2008 וגירסאות קודמות), מומלץ להפוך הגדרה זו לזמינה עם ערך של 1. כדי להפוך את ההגדרה ללא זמינה באופן מפורש, הגדר את הערך LdapEnforceChannelBinding ל - 0 (אפס).
מערכות Windows Server 2008 ומערכות ישנות יותר דורשות התקנה של Microsoft Security Advisory 973811, הזמין ב- "KB5021989 Extended Protection for Authentication", לפני התקנת CVE-2017-8563. אם תתקין את CVE-2017-8563 ללא KB5021989 בבקר תחום או במופע AD LDS, כל חיבורי LDAPS ייכשלו עם שגיאת LDAP 81 - LDAP_SERVER_DOWN.
מידע קשור
לקבלת מידע נוסף, ראה KB4520412.