บทสรุป
CVE-2017-8563 มีการตั้งค่ารีจิสทรีที่ผู้ดูแลระบบสามารถใช้เพื่อช่วยให้การรับรองความถูกต้อง LDAP ผ่าน SSL/TLS มีความปลอดภัยมากขึ้น
ข้อมูลเพิ่มเติม
สำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบถึงวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณทําตามขั้นตอนเหล่านี้อย่างระมัดระวัง สําหรับการป้องกันเพิ่มเติม ให้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสํารองข้อมูลและคืนค่ารีจิสทรี
322756 วิธีการสํารองข้อมูลและคืนค่ารีจิสทรีใน Windows
เพื่อช่วยทําให้การรับรองความถูกต้อง LDAP ผ่าน SSL\TLS มีความปลอดภัยมากขึ้น ผู้ดูแลระบบสามารถกําหนดค่าการตั้งค่ารีจิสทรีต่อไปนี้:
-
เส้นทางสําหรับตัวควบคุมโดเมน บริการระบบโดเมนของ Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
เส้นทางสําหรับเซิร์ฟเวอร์ Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ชื่ออินสแตนซ์ LDS<>\Parameters
-
Dword: LdapEnforceChannelBinding
-
ค่า DWORD: 0 ระบุว่าปิดใช้งาน ไม่มีการตรวจสอบการผูกแชนเนล นี่คือลักษณะการทํางานของเซิร์ฟเวอร์ทั้งหมดที่ไม่ได้รับการปรับปรุง
-
ค่า DWORD: 1 ระบุว่า เปิดใช้งานแล้ว เมื่อได้รับการสนับสนุน ไคลเอ็นต์ทั้งหมดที่ทํางานบน Windows เวอร์ชันที่ได้รับการอัปเดตเพื่อสนับสนุนโทเค็นการผูกแชนเนล (CBT) ต้องมีข้อมูลการผูกแชนเนลกับเซิร์ฟเวอร์ ไคลเอนต์ที่กําลังเรียกใช้รุ่นของ Windows ที่ไม่ได้รับการปรับปรุงเพื่อสนับสนุน CBT ไม่จําเป็นต้องทําเช่นนั้น นี่คือตัวเลือกระดับกลางที่อนุญาตให้มีความเข้ากันได้ของแอปพลิเคชัน
-
ค่า DWORD: 2 ระบุว่าเปิดใช้งานเสมอ ไคลเอ็นต์ทั้งหมดต้องให้ข้อมูลการผูกข้อมูลแชนเนล เซิร์ฟเวอร์ปฏิเสธการร้องขอการรับรองความถูกต้องจากไคลเอ็นต์ที่ไม่สามารถทําเช่นนั้นได้
หมายเหตุ
-
ก่อนที่คุณจะเปิดใช้งานการตั้งค่านี้บนตัวควบคุมโดเมน ไคลเอนต์ต้องติดตั้งการอัปเดตความปลอดภัยที่อธิบายไว้ใน CVE-2017-8563 มิฉะนั้น ปัญหาความเข้ากันได้อาจเกิดขึ้น และการร้องขอการรับรองความถูกต้อง LDAP ผ่าน SSL/TLS ที่เคยทํางานอาจไม่ทํางานอีกต่อไป ตามค่าเริ่มต้น การตั้งค่านี้จะถูกปิดใช้งาน
-
ต้องสร้างรายการรีจิสทรี LdapEnforceChannelBindings อย่างชัดเจน
-
เซิร์ฟเวอร์ LDAP ตอบสนองแบบไดนามิกกับการเปลี่ยนแปลงไปยังรายการรีจิสทรีนี้ ดังนั้นคุณไม่จําเป็นต้องรีสตาร์ทคอมพิวเตอร์หลังจากที่คุณใช้การเปลี่ยนแปลงรีจิสทรี
เมื่อต้องการเพิ่มความเข้ากันได้กับระบบปฏิบัติการเวอร์ชันที่เก่ากว่า (Windows Server 2008 และเวอร์ชันก่อนหน้า) เราขอแนะนําให้คุณเปิดใช้งานการตั้งค่านี้ด้วยค่า 1 เมื่อต้องการปิดใช้งานการตั้งค่าอย่างชัดเจน ให้ตั้งค่ารายการ LdapEnforceChannelBinding เป็น 0 (ศูนย์)
Windows Server 2008 และระบบเก่ากว่ากําหนดให้ 973811 คําแนะนําด้านความปลอดภัยของ Microsoft พร้อมใช้งานใน "KB5021989 Extended Protection for Authentication" ให้ติดตั้งก่อนติดตั้ง CVE-2017-8563 หากคุณติดตั้ง CVE-2017-8563 โดยไม่มี KB5021989 บนตัวควบคุมโดเมนหรืออินสแตนซ์ AD LDS การเชื่อมต่อ LDAPS ทั้งหมดจะล้มเหลวด้วยข้อผิดพลาด LDAP 81 - LDAP_SERVER_DOWN
ข้อมูลที่เกี่ยวข้อง
ดูข้อมูลเพิ่มเติมได้ที่ KB4520412