Зведення
У CVE-2017-8563 представлено параметр реєстру, який адміністратори можуть використовувати, щоб зробити автентифікацію LDAP за протоколом SSL/TLS безпечнішим.
Додаткові відомості
Увага! Цей розділ, метод або завдання містить кроки, які визначають, як змінити реєстр. Однак у разі внесення неправильних змін до реєстру можуть виникнути серйозні проблеми. Таким чином, переконайтеся, що виконайте ці кроки ретельно. Для додаткового захисту систуйте резервні копії реєстру, перш ніж змінювати його. Після цього ви можете відновити реєстр, якщо виникла проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру, клацніть номер статті в базі знань Microsoft Knowledge Base:
322756 Резервне копіювання та відновлення реєстру у Windows
Щоб зробити автентифікацію LDAP за протоколом SSL\TLS безпечнішою, адміністратори можуть налаштувати такі параметри реєстру:
-
Шлях для контролерів домену служба доменів Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Шлях до полегшених серверів служби каталогів Ad LDS: ім'я екземпляра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Значення DWORD: 0 указує , що вимкнуто. Не виконується перевірка прив'язування каналу. Це поведінка всіх серверів, які не оновлено.
-
Значення DWORD: 1 указує на ввімкнений під час підтримки. Усі клієнти, які працюють під керуванням версії Windows, оновленої для підтримки маркерів прив'язування каналу (CBT), мають надати серверу відомості про прив'язування каналу. Клієнти, які працюють під керуванням версії Windows, яку не оновлено для підтримки КПТ, не повинні цього робити. Це проміжний параметр, який дає змогу використовувати сумісність програм.
-
Значення DWORD: 2 позначає увімкнуто, завжди. Усі клієнти повинні надати відомості про прив'язування каналу. Сервер відхиляє запити на автентифікацію від клієнтів, які цього не роблять.
Примітки
-
Перш ніж увімкнути цей параметр на контролері домену, клієнти повинні інсталювати оновлення системи безпеки, описане в CVE-2017-8563. В іншому разі можуть виникнути проблеми сумісності, і запити автентифікації LDAP через протокол SSL/TLS, які працювали раніше, можуть більше не працювати. За замовчуванням цей параметр вимкнуто.
-
Запис реєстру LdapEnforceChannelBindings має бути явно створено.
-
Сервер LDAP динамічно реагує на зміни в цьому записі реєстру. Таким чином, не потрібно перезавантажувати комп'ютер після застосування зміни реєстру.
Щоб підвищити сумісність із попередніми версіями операційної системи (Windows Server 2008 і попередніми версіями), радимо ввімкнути цей параметр зі значенням 1.Щоб явно вимкнути цей параметр, установіть для запису LdapEnforceChannelBinding значення 0 (нуль).
Перед інсталяцією CVE-2017-8563 для Windows Server 2008 і старіших систем потрібно інсталювати консультативну 973811 microsoft Security Advisory , доступну в "KB5021989 Extended Protection for Authentication" (Розширений захист для автентифікації KB5021989 ). Якщо ви інсталюєте CVE-2017-8563 без KB5021989 на контролері домену або екземплярі AD LDS, усі підключення LDAPS завершаться помилкою 81 – LDAP_SERVER_DOWN.
Пов’язана інформація
Докладні відомості див. в статті БАЗИ знань KB4520412.
