Rezumat
CVE-2017-8563 introduce o setare de registry pe care administratorii o pot utiliza pentru a face autentificarea LDAP prin SSL/TLS mai sigură.
Mai multe informații
Important Această secțiune, metodă sau activitate conține pași care vă spun cum să modificați registry. Totuși, pot apărea probleme grave dacă faceți modificări incorecte în registry. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecție suplimentară, faceți backup registry înainte de a-l modifica. Apoi, puteți restaura registry dacă apare o problemă. Pentru mai multe informații despre copierea de rezervă și restaurarea registry, faceți clic pe următorul număr de articol pentru a vizualiza articolul în Baza de cunoștințe Microsoft:
322756 Cum se face backup și se restaurează registry în Windows
Pentru a face autentificarea LDAP prin SSL\TLS mai sigură, administratorii pot configura următoarele setări de registry:
-
Cale pentru controlerele de domeniu Servicii de domeniu Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Calea pentru serverele Active Directory Lightweight Directory Services (AD LDS): numele instanței HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Valoarea DWORD: 0 indică dezactivarea. Nu se efectuează validarea legării canalului. Acesta este comportamentul tuturor serverelor care nu au fost actualizate.
-
Valoarea DWORD: 1 indică activată, atunci când este acceptată. Toți clienții care rulează pe o versiune de Windows care a fost actualizată pentru a accepta tokenurile de legare a canalului (CBT) trebuie să furnizeze serverului informații de legare a canalului. Clienții care rulează o versiune de Windows care nu a fost actualizată pentru a accepta CBT nu trebuie să facă acest lucru. Aceasta este o opțiune intermediară care permite compatibilitatea aplicațiilor.
-
Valoarea DWORD: 2 indică activată, întotdeauna. Toți clienții trebuie să furnizeze informații de legare a canalului. Serverul respinge solicitările de autentificare de la clienți care nu fac acest lucru.
Note
-
Înainte de a activa această setare pe un controler de domeniu, clienții trebuie să instaleze actualizarea de securitate descrisă în CVE-2017-8563. În caz contrar, pot apărea probleme de compatibilitate și solicitările de autentificare LDAP prin SSL/TLS care au funcționat anterior pot să nu mai funcționeze. În mod implicit, această setare este dezactivată.
-
Trebuie creată în mod explicit intrarea de registry LdapEnforceChannelBindings.
-
Serverul LDAP răspunde dinamic la modificările acestei intrări de registry. Prin urmare, nu trebuie să reporniți computerul după ce aplicați modificarea de registry.
Pentru a maximiza compatibilitatea cu versiunile mai vechi ale sistemului de operare (Windows Server 2008 și versiunile anterioare), vă recomandăm să activați această setare cu valoarea 1. Pentru a dezactiva în mod explicit setarea, setați intrarea LdapEnforceChannelBinding la 0 (zero).
Windows Server 2008 și sistemele mai vechi necesită ca Sfatul Microsoft de securitate 973811, disponibil în "KB5021989 Protecție extinsă la autentificare", să fie instalat înainte de a instala CVE-2017-8563. Dacă instalați CVE-2017-8563 fără KB5021989 pe un controler de domeniu sau o instanță AD LDS, toate conexiunile LDAPS nu vor reuși, având eroarea LDAP 81 - LDAP_SERVER_DOWN.
Informații asociate
Pentru mai multe informații, consultați KB4520412.