Özet
CVE-2017-8563 , yöneticilerin SSL/TLS üzerinden LDAP kimlik doğrulamasını daha güvenli hale getirmek için kullanabileceği bir kayıt defteri ayarı getirir.
Daha Fazla Bilgi
Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştirebileceğinizi belirten adımlar içerir. Ancak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows'da kayıt defterini yedekleme ve geri yükleme
SSL\TLS üzerinden LDAP kimlik doğrulamasını daha güvenli hale getirmek için yöneticiler aşağıdaki kayıt defteri ayarlarını yapılandırabilir:
-
Active Directory Domain Services (AD DS) etki alanı denetleyicilerinin yolu: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory Basit Dizin Hizmetleri (AD LDS) sunucularının yolu: \Parameters >LDS örnek adını<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
-
DWORD: LdapEnforceChannelBinding
-
DWORD değeri: 0 devre dışı olduğunu gösterir. Kanal bağlama doğrulaması yapılmaz. Bu, güncelleştirilmemiş tüm sunucuların davranışıdır.
-
DWORD değeri: 1 , desteklendiğinde etkin olduğunu gösterir. Windows'un kanal bağlama belirteçlerini (CBT) destekleyecek şekilde güncelleştirilmiş bir sürümünde çalışan tüm istemcilerin sunucuya kanal bağlama bilgileri sağlaması gerekir. CBT'yi destekleyecek şekilde güncelleştirilmemiş bir Windows sürümü çalıştıran istemcilerin bunu yapması gerekmez. Bu, uygulama uyumluluğuna izin veren bir ara seçenektir.
-
DWORD değeri: 2 her zaman etkin olduğunu gösterir. Tüm istemcilerin kanal bağlama bilgilerini sağlaması gerekir. Sunucu, bunu yapmayan istemcilerden gelen kimlik doğrulama isteklerini reddeder.
Notlar
-
Etki Alanı Denetleyicisi'nde bu ayarı etkinleştirmeden önce istemcilerin CVE-2017-8563'te açıklanan güvenlik güncelleştirmesini yüklemesi gerekir. Aksi takdirde uyumluluk sorunları ortaya çıkabilir ve daha önce çalışan SSL/TLS üzerinden LDAP kimlik doğrulama istekleri artık çalışmayabilir. Varsayılan olarak, bu ayar devre dışıdır.
-
LdapEnforceChannelBindings kayıt defteri girdisi açıkça oluşturulmalıdır.
-
LDAP sunucusu, bu kayıt defteri girdisinde yapılan değişikliklere dinamik olarak yanıt verir. Bu nedenle, kayıt defteri değişikliğini uyguladıktan sonra bilgisayarı yeniden başlatmanız gerekmez.
Eski işletim sistemi sürümleriyle (Windows Server 2008 ve önceki sürümler) uyumluluğu en üst düzeye çıkarmak için bu ayarı 1 değeriyle etkinleştirmenizi öneririz. Ayarı açıkça devre dışı bırakmak için LdapEnforceChannelBinding girişini 0 (sıfır) olarak ayarlayın.
Windows Server 2008 ve daha eski sistemler, CVE-2017-8563'ü yüklemeden önce "KB5021989 Kimlik Doğrulaması için Genişletilmiş Koruma" içinde bulunan Microsoft Güvenlik Danışmanlığı 973811 yüklenmesini gerektirir. CVE-2017-8563'ü KB5021989 olmadan bir Etki Alanı denetleyicisine veya AD LDS örneğine yüklerseniz, tüm LDAPS bağlantıları LDAP hatası 81 - LDAP_SERVER_DOWN ile başarısız olur.
İlgili bilgiler
Daha fazla bilgi için bkz. KB4520412.