Oppsummering
CVE-2017-8563 introduserer en registerinnstilling som administratorer kan bruke til å gjøre LDAP-godkjenning over SSL/TLS sikrere.
Mer informasjon
Viktig! Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feil. Sørg derfor for at du følger disse trinnene nøye. Sikkerhetskopier registeret før du endrer det for ekstra beskyttelse. Deretter kan du gjenopprette registeret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows
Administratorer kan konfigurere følgende registerinnstillinger for å gjøre LDAP-godkjenning over SSL\TLS sikrere:
-
Bane for Active Directory Domain Services (AD DS)-domenekontrollere: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Bane for Active Directory Lightweight Directory Services (AD LDS)-servere: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-forekomstnavn>\Parametere
-
DWORD: LdapEnforceChannelBinding
-
DWORD-verdi: 0 angir deaktivert. Ingen validering av kanalbinding utføres. Dette er virkemåten til alle servere som ikke er oppdatert.
-
DWORD-verdi: 1 angir aktivert, når det støttes. Alle klienter som kjører på en versjon av Windows som er oppdatert for å støtte kanalbindingstokener (CBT), må gi informasjon om kanalbinding til serveren. Klienter som kjører en versjon av Windows som ikke er oppdatert for å støtte CBT, trenger ikke å gjøre det. Dette er et mellomliggende alternativ som muliggjør programkompatibilitet.
-
DWORD-verdi: 2 angir alltid aktivert. Alle klienter må oppgi informasjon om kanalbinding. Serveren avviser godkjenningsforespørsler fra klienter som ikke gjør det.
Merknader
-
Før du aktiverer denne innstillingen på en domenekontroller, må klienter installere sikkerhetsoppdateringen som er beskrevet i CVE-2017-8563. Ellers kan det oppstå kompatibilitetsproblemer, og LDAP-godkjenningsforespørsler over SSL/TLS som tidligere fungerte, fungerer kanskje ikke lenger. Denne innstillingen er deaktivert som standard.
-
Registeroppføringen LdapEnforceChannelBindings må opprettes eksplisitt.
-
LDAP-serveren reagerer dynamisk på endringer i denne registeroppføringen. Derfor trenger du ikke å starte datamaskinen på nytt etter at du har brukt registerendringen.
Hvis du vil maksimere kompatibiliteten med eldre operativsystemversjoner (Windows Server 2008 og tidligere versjoner), anbefaler vi at du aktiverer denne innstillingen med verdien 1.Hvis du vil deaktivere innstillingen eksplisitt, angir du LdapEnforceChannelBinding-oppføringen til 0 (null).
Windows Server 2008 og eldre systemer krever at Microsoft Security Advisory 973811, som er tilgjengelig i KB5021989 Extended Protection for Authentication, installeres før du installerer CVE-2017-8563. Hvis du installerer CVE-2017-8563 uten KB5021989 på en domenekontroller eller AD LDS-forekomst, vil alle LDAPS-tilkoblinger mislykkes med LDAP-feil 81 – LDAP_SERVER_DOWN.
Relatert informasjon
Hvis du vil ha mer informasjon, kan du se KB4520412.
