Összefoglalás
A CVE-2017-8563 bevezet egy beállításjegyzék-beállítást, amellyel a rendszergazdák biztonságosabbá tehetik az SSL/TLS protokollon keresztüli LDAP-hitelesítést.
További információ
Fontos Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot kell készítenie a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentésével és visszaállításával kapcsolatos további információkért kattintson a következő cikkszámra a cikk microsoftos tudásbázisban való megtekintéséhez:
322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban
Az SSL\TLS protokollon keresztüli LDAP-hitelesítés biztonságosabbá tétele érdekében a rendszergazdák a következő beállításjegyzék-beállításokat konfigurálhatják:
-
Active Directory tartományi szolgáltatások (AD DS) tartományvezérlők elérési útja: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Az Active Directory Lightweight Directory Services- (AD LDS-) kiszolgálók elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ LDS-példánynév<\ Parameters>
-
DWORD: LdapEnforceChannelBinding
-
A DWORD érték: 0 azt jelzi, hogy le van tiltva. Nem történik csatornakötés-ellenőrzés. Ez az összes olyan kiszolgáló viselkedése, amely nem lett frissítve.
-
A DWORD érték: 1 azt jelzi, hogy engedélyezve van, ha támogatott. Minden olyan ügyfélnek, amely a Windows egy olyan verzióján fut, amely a csatornakötési jogkivonatok (CBT) támogatásához lett frissítve, csatornakötési információkat kell megadnia a kiszolgálónak. Azoknak az ügyfeleknek, amelyek a Windows olyan verzióját futtatják, amely nem frissült a CBT támogatásához, nem kell ezt megtenniük. Ez egy köztes lehetőség, amely lehetővé teszi az alkalmazáskompatibilitást.
-
A DWORD értéke: 2 mindig engedélyezve van. Minden ügyfélnek meg kell adnia a csatornakötési információkat. A kiszolgáló elutasítja az olyan ügyfelektől érkező hitelesítési kéréseket, amelyek nem így tesznek.
Jegyzetek
-
Mielőtt engedélyezi ezt a beállítást egy tartományvezérlőn, az ügyfeleknek telepíteniük kell a CVE-2017-8563-ban leírt biztonsági frissítést. Ellenkező esetben kompatibilitási problémák merülhetnek fel, és előfordulhat, hogy a korábban működő SSL/TLS protokollon keresztüli LDAP-hitelesítési kérések már nem működnek. Ez a beállítás alapértelmezés szerint le van tiltva.
-
Az LdapEnforceChannelBindings beállításjegyzékbeli bejegyzést explicit módon kell létrehozni.
-
Az LDAP-kiszolgáló dinamikusan válaszol a beállításjegyzékbeli bejegyzés módosításaira. Ezért a beállításjegyzék-módosítás alkalmazása után nem kell újraindítania a számítógépet.
A régebbi operációsrendszer-verziókkal (Windows Server 2008 és korábbi verziók) való kompatibilitás maximalizálása érdekében javasoljuk, hogy engedélyezze ezt a beállítást 1 értékkel. A beállítás explicit letiltásához állítsa az LdapEnforceChannelBinding bejegyzést 0 (nulla) értékre.
A Windows Server 2008 és régebbi rendszerek megkövetelik, hogy a "KB5021989 Kiterjesztett hitelesítésvédelem" szakaszban elérhető Microsoft Security Advisory 973811 telepíteni kell a CVE-2017-8563 telepítése előtt. Ha a CVE-2017-8563-at KB5021989 nélkül telepíti egy tartományvezérlőre vagy AD LDS-példányra, minden LDAPS-kapcsolat meghiúsul a 81- LDAP_SERVER_DOWN LDAP-hibával.
Kapcsolódó információ
További információ: KB4520412.