Suvestinė
CVE-2017-8563 pristato registro parametrą, kurį administratoriai gali naudoti, kad apsaugotų LDAP autentifikavimą per SSL/TLS.
Daugiau informacijos
Svarbu Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip modifikuoti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai modifikuosite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę kopiją ir atkurti registrą, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"
Kad LDAP autentifikavimas naudojant SSL\TLS būtų saugesnis, administratoriai gali konfigūruoti šiuos registro parametrus:
-
"Active Directory" domenų tarnyba (AD DS) domeno valdiklių kelias: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
"Active Directory" supaprastintosios katalogų tarnybos (AD LDS) serverių kelias: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS egzemplioriaus pavadinimas>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD reikšmė: 0 nurodo , kad išjungta. Kanalo susiejimo tikrinimas neatliekamas. Tai yra visų serverių, kurie nebuvo atnaujinti, veikimas.
-
DWORD reikšmė: 1 nurodo įgalintą, kai palaikoma. Visi klientai, kurie veikia "Windows" versijoje, kuri buvo atnaujinta, kad palaikytų kanalo susiejimo atpažinimo ženklus (CBT), turi pateikti kanalo susiejimo informaciją serveriui. Klientai, naudojantys "Windows" versiją, kuri nebuvo atnaujinta, kad palaikytų CBT, to daryti nereikia. Tai yra tarpinė parinktis, leidžianti suderinamumą su programomis.
-
DWORD value: 2 indicates enabled, always. Visi klientai turi pateikti kanalo susiejimo informaciją. Serveris atmeta autentifikavimo užklausas iš klientų, kurie to nedaro.
Pastabos
-
Prieš įgalindami šį parametrą domeno valdiklyje, klientai turi įdiegti saugos naujinimą, kuris aprašytas CVE-2017-8563. Kitu atveju gali kilti suderinamumo problemų ir gali nebeveikti LDAP autentifikavimo užklausos naudojant ANKSČIAU vykusį SSL/TLS. Pagal numatytuosius parametrus šis parametras yra išjungtas.
-
Turi būti aiškiai sukurtas registro įrašas LdapEnforceChannelBindings.
-
LDAP serveris dinamiškai reaguoja į šio registro įrašo pakeitimus. Todėl jums nereikia iš naujo paleisti kompiuterio pritaikius registro pakeitimą.
Norėdami maksimizuoti suderinamumą su senesnėmis operacinės sistemos versijomis ("Windows Server 2008" ir ankstesnėmis versijomis), rekomenduojame įgalinti šį parametrą su reikšme 1. Norėdami aiškiai išjungti parametrą, nustatykite įrašo LdapEnforceChannelBinding reikšmę 0 (nulis).
"Windows Server 2008" ir senesnėse sistemose prieš diegiant CVE-2017-8563 būtina įdiegti "Microsoft" saugos patarimą 973811, pasiekiamą "KB5021989 Išplėstinė autentifikavimo apsauga". Jei diegiate CVE-2017-8563 be KB5021989 domeno valdiklyje arba AD LDS egzemplioriuje, visi LDAPS ryšiai nepavyks dėl LDAP klaidos 81 – LDAP_SERVER_DOWN.
Susijusi informacija
Daugiau informacijos žr. KB4520412.