Zhrnutie
CVE-2017-8563 zavádza nastavenie databázy Registry, ktoré môžu správcovia použiť na lepšie zabezpečenie overovania LDAP cez SSL/TLS.
Ďalšie informácie
Dôležité Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám oznámia, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Ak chcete zvýšiť ochranu, databázu Registry si pred vykonaním úprav zálohujte. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry zobrazíte kliknutím na nasledujúce číslo článku v databáze Microsoft Knowledge Base:
322756 Zálohovanie a obnovenie databázy Registry vo Windowse
Aby bolo overovanie LDAP cez SSL\TLS bezpečnejšie, správcovia môžu nakonfigurovať tieto nastavenia databázy Registry:
-
Cesta pre radiče domény Doménové služby Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Cesta k serverom služby Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ názov inštancie<LDS>\Parametre
-
HODNOTA DWORD: LdapEnforceChannelBinding (LdapEnforceChannelBinding)
-
Hodnota DWORD: 0 označuje , že je zakázané. Nevykonáva sa žiadne overenie väzby kanála. Toto je správanie všetkých serverov, ktoré neboli aktualizované.
-
Hodnota DWORD: 1 označuje povolenú hodnotu, ak je podporovaná. Všetci klienti, ktorí sú spustené vo verzii systému Windows, ktorá bola aktualizovaná tak, aby podporovala tokeny väzby kanála (CBT), musia poskytnúť serveru informácie o väzbe kanála. Klienti, ktorí používajú verziu Systému Windows, ktorá nebola aktualizovaná tak, aby podporovala CBT, to nemusia urobiť. Toto je prechodná možnosť, ktorá umožňuje kompatibilitu aplikácií.
-
Hodnota DWORD: 2 označuje povolenú hodnotu vždy. Všetci klienti musia poskytnúť informácie o väzbe kanála. Server odmieta požiadavky na overenie od klientov, ktorí tak neurobili.
Poznámky
-
Pred povolením tohto nastavenia v radiči domény musia klienti nainštalovať aktualizáciu zabezpečenia, ktorá je popísaná v CVE-2017-8563. V opačnom prípade sa môžu vyskytnúť problémy s kompatibilitou a požiadavky na overovanie LDAP cez SSL/TLS, ktoré predtým fungovali, už nemusia fungovať. Toto nastavenie je predvolene vypnuté.
-
Položka databázy Registry LdapEnforceChannelBindings musí byť explicitne vytvorená.
-
Server LDAP dynamicky reaguje na zmeny tejto položky databázy Registry. Preto nie je potrebné reštartovať počítač po použití zmeny databázy Registry.
Ak chcete maximalizovať kompatibilitu so staršími verziami operačného systému (Windows Server 2008 a staršie verzie), odporúčame povoliť toto nastavenie s hodnotou 1. Ak chcete toto nastavenie explicitne vypnúť, nastavte položku LdapEnforceChannelBinding na hodnotu 0 (nula).
Windows Server 2008 a staršie systémy vyžadujú, aby boli pred inštaláciou cve-2017-8563 nainštalované poradné 973811 zabezpečenia spoločnosti Microsoft dostupné v kb5021989 Extended Protection for Authentication. Ak nainštalujete CVE-2017-8563 bez KB5021989 v radiči domény alebo inštancii AD LDS, všetky pripojenia LDAPS zlyhajú s chybou LDAP 81 – LDAP_SERVER_DOWN.
Súvisiace informácie
Ďalšie informácie nájdete v článku KB4520412.