Sažetak
CVE-2017-8563 uvodi postavku registra koju administratori mogu koristiti da bi LDAP provjera autentičnosti putem SSL/TLS-a bili sigurniji.
Dodatne informacije
Važno Ovaj odjeljak, metoda ili zadatak sadrži korake koji vas obavještavaju o tome kako izmijeniti registar. No ako nepravilno izmijenite registar, može doći do ozbiljnih problema. Stoga pazite da pažljivo slijedite ove korake. Radi dodatne zaštite sigurnosno kopirajte registar prije izmjene. Zatim možete vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u sljedećem članku iz Microsoftove baze znanja:
322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Da bi LDAP provjera autentičnosti putem SSL\TLS-a bilo sigurnija, administratori mogu konfigurirati sljedeće postavke registra:
-
Put za Active Directory Domain Services (AD DS) domenski kontroleri: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Put za poslužitelje servisa Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<instance LDS-a>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD vrijednost: 0 označava onemogućeno. Ne provodi se provjera valjanosti povezivanja kanala. To je ponašanje svih poslužitelja koji nisu ažurirani.
-
DWORD vrijednost: 1 označava omogućeno kada je podržano. Svi klijenti koji se izvode na verziji sustava Windows koja je ažurirana tako da podržava tokene povezivanja kanala (CBT) moraju poslužitelju pružiti informacije o povezivanju kanala. Klijenti koji koriste verziju sustava Windows koja nije ažurirana radi podrške CBT-u ne moraju to učiniti. To je posredna mogućnost koja omogućuje kompatibilnost aplikacija.
-
DWORD vrijednost: 2 označava da je omogućeno, uvijek. Svi klijenti moraju pružiti informacije o povezivanju kanala. Poslužitelj odbija zahtjeve za provjeru autentičnosti klijenata koji to ne rade.
Napomene
-
Prije omogućivanja te postavke na kontroloru domene klijenti moraju instalirati sigurnosno ažuriranje opisano u članku CVE-2017-8563. U suprotnom se mogu pojaviti problemi s kompatibilnošću, a zahtjevi za provjeru autentičnosti LDAP putem SSL/TLS-a koji su prethodno funkcionirali možda više neće funkcionirati. Ta je postavka po zadanom onemogućena.
-
Potrebno je izričito stvoriti unos registra LdapEnforceChannelBindings.
-
LDAP poslužitelj dinamički reagira na promjene ovog unosa registra. Stoga ne morate ponovno pokrenuti računalo nakon primjene promjene registra.
Da biste maksimizirali kompatibilnost sa starijim verzijama operacijskog sustava (Windows Server 2008 i starijim verzijama), preporučujemo da omogućite tu postavku s vrijednošću 1. Da biste izričito onemogućili postavku, postavite unos LdapEnforceChannelBinding na 0 (nula).
Za Windows Server 2008 i starije sustave prije instalacije cve-2017-8563 potrebno je instalirati Microsoft Security Advisory 973811 dostupan u odjeljku "KB5021989 Extended Protection for Authentication". Ako instalirate CVE-2017-8563 bez AŽURIRANJA KB5021989 na domenski kontroler ili instancu AD LDS, sve LDAPS veze neće uspjeti uz pogrešku LDAP 81 – LDAP_SERVER_DOWN.
Povezane informacije
Dodatne informacije potražite u članku KB4520412.