요약
CVE-2017-8563에서는 관리자가 SSL/TLS를 통한 LDAP 인증의 보안 수준을 손쉽게 높일 수 있게 해주는 레지스트리 설정을 소개합니다.
추가 정보
중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.
322756 Windows에서 레지스트리를 백업 및 복원하는 방법
SSL\TLS를 통한 LDAP 인증의 보안 수준을 강화하기 위해 관리자는 다음 레지스트리 설정을 구성할 수 있습니다.
-
AD DS(Active Directory Domain Services) 도메인 컨트롤러 경로: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
AD DS(Active Directory Domain Services) 서버 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS 인스턴스 이름>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD 값: 0은 사용 안 함을 나타냅니다. 채널 바인딩 유효성 검사는 수행되지 않습니다. 이는 업데이트되지 않은 모든 서버에서 수행되는 동작입니다.
-
DWORD 값: 1은 지원되는 경우 사용함을 나타냅니다. CBT(채널 바인딩 토큰)를 지원하도록 업데이트된 버전의 Windows에서 실행되는 모든 클라이언트는 서버에 채널 바인딩 정보를 제공해야 합니다. CBT를 지원하도록 업데이트되지 않은 버전의 Windows를 실행하는 클라이언트는 이러한 정보를 제공할 필요가 없습니다. 이는 응용 프로그램 호환성을 허용하는 매개 옵션입니다.
-
DWORD 값: 2는 항상 사용함을 나타냅니다. 모든 클라이언트는 채널 바인딩 정보를 제공해야 합니다. 이러한 정보를 제공하지 않는 클라이언트의 요청은 서버에서 거부됩니다.
참고
-
도메인 컨트롤러에서 이 옵션을 사용하도록 설정하기 전에 클라이언트에서 CVE-2017-8563에 서술된 보안 업데이트를 설치해야 합니다. 그렇지 않으면 호환성 문제가 발생할 수 있으며 이전에 올바르게 작동하던 SSL/TLS를 통한 LDAP 인증 요청이 더 이상 작동하지 않을 수 있습니다. 이 설정은 기본적으로 사용하지 않도록 설정되어 있습니다.
-
LdapEnforceChannelBindings 레지스트리 항목은 명시적으로 만들어야 합니다.
-
LDAP 서버는 이 레지스트리 항목의 변경 내용에 동적으로 응답합니다. 따라서 레지스트리의 변경 내용을 적용한 후에는 컴퓨터를 다시 시작할 필요가 없습니다.
이전 운영 제체 버전(Windows Server 2008 이하 버전)과의 호환성을 극대화하려면 값을 1로 지정하여 이 설정을 사용하도록 설정하는 것이 좋습니다. 설정을 명시적으로 사용하지 않도록 설정하려면 LdapEnforceChannelBinding 항목을 0(영)으로 설정합니다.
Windows Server 2008과 이전 시스템의 경우 Microsoft 보안 권고 973811(“KB5021989 인증에 대한 확장된 보호”에서 확인 가능)을 먼저 설치한 후 CVE-2017-8563을 설치해야 합니다. 도메인 컨트롤러 또는 AD LDS 인스턴스에서 KB5021989 없이 CVE-2017-8563을 설치하는 경우 LDAP 오류 81 - LDAP_SERVER_DOWN이 발생하면서 모든 LDAPS 연결이 실패합니다.
관련 정보
자세한 내용은 KB4520412를 참고하세요.