Sammanfattning
CVE-2017-8563 introducerar en registerinställning som administratörer kan använda för att göra LDAP-autentisering över SSL/TLS säkrare.
Mer information
Viktigt! Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret på fel sätt. Se därför till att du följer de här stegen noggrant. Om du vill ha ytterligare skydd säkerhetskopierar du registret innan du ändrar det. Sedan kan du återställa registret om ett problem uppstår. Om du vill ha mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows
Administratörer kan konfigurera följande registerinställningar för att göra LDAP-autentisering över SSL\TLS säkrare:
-
Sökväg för domänkontrollanter för Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Sökväg för AD LDS-servrar (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-instansnamn>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-värde: 0 anger inaktiverat. Ingen kanalbindningsverifiering utförs. Det här är beteendet för alla servrar som inte har uppdaterats.
-
DWORD-värde: 1 anger aktiverat när det stöds. Alla klienter som körs på en version av Windows som har uppdaterats för att stödja kanalbindningstoken (KBT) måste tillhandahålla kanalbindningsinformation till servern. Klienter som kör en version av Windows som inte har uppdaterats för att stödja KBT behöver inte göra det. Det här är ett mellanliggande alternativ som möjliggör programkompatibilitet.
-
DWORD-värde: 2 anger alltid aktiverat. Alla klienter måste ange kanalbindningsinformation. Servern avvisar autentiseringsbegäranden från klienter som inte gör det.
Anmärkningar
-
Innan du aktiverar den här inställningen på en domänkontrollant måste klienter installera säkerhetsuppdateringen som beskrivs i CVE-2017-8563. Annars kan kompatibilitetsproblem uppstå och LDAP-autentiseringsbegäranden över SSL/TLS som tidigare fungerade kanske inte längre fungerar. Den här inställningen är inaktiverad som standard.
-
Registerposten LdapEnforceChannelBindings måste skapas explicit.
-
LDAP-servern svarar dynamiskt på ändringar i den här registerposten. Därför behöver du inte starta om datorn när du har tillämpat registerändringen.
Om du vill maximera kompatibiliteten med äldre operativsystemsversioner (Windows Server 2008 och tidigare versioner) rekommenderar vi att du aktiverar den här inställningen med värdet 1. Om du uttryckligen vill inaktivera inställningen anger du LdapEnforceChannelBinding-posten till 0 (noll).
Windows Server 2008 och äldre system kräver att Microsoft Security Advisory 973811, som finns i "KB5021989 Extended Protection for Authentication", installeras innan CVE-2017-8563 installeras. Om du installerar CVE-2017-8563 utan KB5021989 på en domänkontrollant eller AD LDS-instans misslyckas alla LDAPS-anslutningar med LDAP-fel 81 – LDAP_SERVER_DOWN.
Relaterad information
Mer information finns i KB4520412.