Podsumowanie
W programie CVE-2017-8563 wprowadzono ustawienie rejestru, za pomocą którego administratorzy mogą zwiększyć bezpieczeństwo uwierzytelniania LDAP za pośrednictwem protokołu SSL/TLS.
Więcej informacji
Ważne Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w bazie wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby zwiększyć bezpieczeństwo uwierzytelniania LDAP za pośrednictwem protokołu SSL\TLS, administratorzy mogą skonfigurować następujące ustawienia rejestru:
-
Ścieżka dla kontrolerów domeny usługi Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Ścieżka dla serwerów usług Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ nazwa wystąpienia<LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Wartość DWORD: 0 oznacza wartość wyłączoną. Nie jest wykonywana weryfikacja powiązania kanału. Jest to zachowanie wszystkich serwerów, które nie zostały zaktualizowane.
-
Wartość DWORD: 1 wskazuje, że funkcja jest włączona, gdy jest obsługiwana. Wszyscy klienci, którzy korzystają z wersji systemu Windows, która została zaktualizowana w celu obsługi tokenów powiązania kanału (CBT), muszą dostarczyć do serwera informacje dotyczące powiązania kanału. Klienci, którzy korzystają z wersji systemu Windows, która nie została zaktualizowana w celu obsługi cbt nie muszą tego robić. Jest to opcja pośrednia, która umożliwia zgodność aplikacji.
-
Wartość DWORD: 2 oznacza, że funkcja jest włączona, zawsze. Wszyscy klienci muszą podać informacje dotyczące powiązania kanału. Serwer odrzuca żądania uwierzytelniania od klientów, którzy tego nie robią.
Notatki
-
Zanim włączysz to ustawienie na kontrolerze domeny, klienci muszą zainstalować aktualizację zabezpieczeń opisaną w artykule CVE-2017-8563. W przeciwnym razie mogą wystąpić problemy ze zgodnością, a żądania uwierzytelniania LDAP za pośrednictwem protokołu SSL/TLS, które wcześniej działały, mogą już nie działać. To ustawienie jest domyślnie wyłączone.
-
Wpis rejestru LdapEnforceChannelBindings musi zostać jawnie utworzony.
-
Serwer LDAP dynamicznie reaguje na zmiany wprowadzone w tym wpisie rejestru. Dlatego nie trzeba ponownie uruchamiać komputera po zastosowaniu zmiany rejestru.
Aby zmaksymalizować zgodność ze starszymi wersjami systemu operacyjnego (Windows Server 2008 i starszymi wersjami), zalecamy włączenie tego ustawienia z wartością 1. Aby jawnie wyłączyć to ustawienie, ustaw dla wpisu LdapEnforceChannelBinding wartość 0 (zero).
System Windows Server 2008 i starsze systemy wymagają zainstalowania porad firmy Microsoft dotyczących zabezpieczeń 973811 dostępnego w sekcji "KB5021989 Extended Protection for Authentication" przed zainstalowaniem cve-2017-8563. Jeśli zainstalujesz cve-2017-8563 bez KB5021989 na kontrolerze domeny lub wystąpieniu usługi AD LDS, wszystkie połączenia LDAPS nie powiedzie się z błędem LDAP 81 - LDAP_SERVER_DOWN.
Powiązane informacje
Aby uzyskać więcej informacji, zobacz KB4520412.