Tóm tắt
CVE-2017-8563 giới thiệu cài đặt đăng ký mà người quản trị có thể sử dụng để giúp xác thực LDAP qua SSL/TLS an toàn hơn.
Thông tin Thêm
Quan trọng Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, các vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau một cách cẩn thận. Để tăng thêm khả năng bảo vệ, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Để giúp xác thực LDAP qua SSL\TLS an toàn hơn, người quản trị có thể cấu hình các thiết đặt sổ đăng ký sau đây:
-
Đường dẫn dành Dịch vụ miền danh mục hiện hoạt kiểm soát miền (AD DS) của bạn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Đường dẫn cho máy chủ Dịch vụ Thư mục Nhẹ Active Directory (AD LDS) : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<phiên bản LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Giá trị DWORD: 0 cho biết đã tắt. Không có xác thực ràng buộc kênh nào được thực hiện. Đây là hành vi của tất cả các máy chủ chưa được cập nhật.
-
Giá trị DWORD: 1 cho biết đã bật, khi được hỗ trợ. Tất cả các khách hàng đang chạy trên phiên bản Windows đã được cập nhật để hỗ trợ mã thông báo ràng buộc kênh (CBT) phải cung cấp thông tin ràng buộc kênh cho máy chủ. Máy khách đang chạy phiên bản Windows chưa được cập nhật để hỗ trợ CBT không phải làm như vậy. Đây là một tùy chọn trung gian cho phép tính tương thích của ứng dụng.
-
Giá trị DWORD: 2 biểu thị luôn bật. Tất cả khách hàng phải cung cấp thông tin ràng buộc kênh. Máy chủ từ chối yêu cầu xác thực từ máy khách không làm như vậy.
Lưu ý
-
Trước khi bạn bật thiết đặt này trên Bộ kiểm soát Miền, máy khách phải cài đặt bản cập nhật bảo mật được mô tả trong CVE-2017-8563. Nếu không, các vấn đề về tương thích có thể phát sinh và yêu cầu xác thực LDAP qua SSL/TLS đã hoạt động trước đó có thể không còn hoạt động. Theo mặc định, thiết đặt này được tắt.
-
Mục đăng ký LdapEnforceChannelBindings phải được tạo một cách rõ ràng.
-
Máy chủ LDAP phản hồi linh động với các thay đổi đối với mục đăng ký này. Vì vậy, bạn không phải khởi động lại máy tính sau khi bạn áp dụng thay đổi sổ đăng ký.
Để tối đa hóa khả năng tương thích với các phiên bản hệ điều hành cũ hơn (Windows Server 2008 và các phiên bản cũ hơn), chúng tôi khuyên bạn nên bật cài đặt này với giá trị là 1. Để tắt cài đặt một cách rõ ràng, hãy đặt mục nhập LdapEnforceChannelBinding thành 0 (không).
Windows Server 2008 và các hệ thống cũ hơn yêu cầu microsoft Tư vấn Bảo mật 973811, có sẵn trong "KB5021989 Extended Protection for Authentication", phải được cài đặt trước khi cài đặt CVE-2017-8563. Nếu bạn cài đặt CVE-2017-8563 mà không có KB5021989 trên Bộ điều khiển miền hoặc phiên bản AD LDS, tất cả kết nối LDAPS sẽ không thành công với lỗi LDAP 81 - LDAP_SERVER_DOWN.
Thông tin có liên quan
Để biết thêm thông tin, hãy xem KB4520412.