Kopsavilkums
CVE-2017-8563 ir ieviests reģistra iestatījums, ko administratori var izmantot, lai padarītu LDAP autentifikāciju, izmantojot SSL/TLS drošāku.
Papildinformācija
Svarīgi Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai modificētu reģistru. Tomēr, nepareizi modificējot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:
322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows
Lai padarītu LDAP autentifikāciju, izmantojot SSL\TLS drošāku, administratori var konfigurēt tālāk norādītos reģistra iestatījumus.
-
Domēnu domēna pakalpojums Active Directory (AD DS) ceļu: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory direktoriju direktoriju (AD LDS) serveru ceļš: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instances nosaukums>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD vērtība: 0 norāda , ka ir atspējota. Kanāla saistīšanas validācija netiek veikta. Tā notiek visu to serveru darbība, kas nav atjaunināti.
-
DWORD vērtība: 1 norāda, ka ir iespējota, ja tas tiek atbalstīts. Visiem klientiem, kas darbojas Windows versijā, kas ir atjaunināta, lai atbalstītu kanālu saistīšanas pilnvaras (CBT), ir jāsniedz serverim kanāla saistīšanas informācija. Klientiem, kuri izmanto Windows versiju, kas nav atjaunināta, lai atbalstītu CBT, tas nav jādara. Šī ir starpposmu opcija, kas ļauj saderībai ar lietojumprogrammām.
-
DWORD vērtība: 2 norāda iespējota, vienmēr. Visiem klientiem ir jāsniedz kanāla saistīšanas informācija. Serveris noraida to klientu autentifikācijas pieprasījumus, kuriem tas nedarbojas.
Piezīmes
-
Pirms šī iestatījuma iespējošanas domēna kontrollerī klientiem ir jāinstalē drošības atjauninājums, kas aprakstīts CVE-2017-8563. Pretējā gadījumā var rasties saderības problēmas un var nedarboties LDAP autentifikācijas pieprasījumi pār SSL/TLS, kas iepriekš darbojās. Pēc noklusējuma šis iestatījums ir atspējots.
-
Ir tieši jāizveido reģistra ieraksts LdapEnforceChannelBindings.
-
LDAP serveris dinamiski reaģē uz šī reģistra ieraksta izmaiņām. Tāpēc pēc reģistra izmaiņu lietošanas dators nav jārestartē.
Lai palielinātu saderību ar vecākām operētājsistēmas versijām (Windows Server 2008 un vecākām versijām), ieteicams iespējot šo iestatījumu ar vērtību 1. Lai šo iestatījumu īpaši atspējotu, iestatiet LdapEnforceChannelBinding ierakstu uz 0 (nulle).
Windows Server 2008 un vecākām sistēmām pirms CVE-2017-8563 instalēšanas ir jāinstalē Microsoft drošības ieteikums 973811, kas ir pieejams "KB5021989 autentifikācijas paplašinātā aizsardzība". Ja instalējat CVE-2017-8563 bez KB5021989 domēna kontrollerī vai AD LDS instancē, visi LDAPS savienojumi neizdosies ar LDAP kļūdu 81-LDAP_SERVER_DOWN.
Saistītā informācija
Papildinformāciju skatiet rakstā KB4520412.