KB4034879: Използвайте записа в системния регистър LdapEnforceChannelBining, за да направите LDAP удостоверяването по SSL/TLS по-защитено

Отнася се за
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Резюме

CVE-2017-8563 въвежда настройка на системния регистър, която администраторите могат да използват, за да направят LDAP удостоверяването по SSL/TLS по-защитено.

Повече информация

Важно Този раздел, метод или задача съдържа информация за модифициране на системния регистър. Ако обаче промените системния регистър по неправилен начин, е възможно да възникнат сериозни проблеми. Затова се погрижете да следвате тези стъпките внимателно. За допълнителна защита, архивирайте системния регистър, преди да го променяте. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация относно начините за архивиране и възстановяване на системния регистър щракнете върху следния номер на статия в базата знания на Microsoft, за да я видите:

322756 Създаване на резервно копие и възстановяване на системния регистър в Windows

За да направят LDAP удостоверяването по SSL\TLS по-защитено, администраторите могат да конфигурират следните настройки на системния регистър:

  • Път за домейнови контролери на домейнови услуги на Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Път за сървърите на Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD стойност:0 показва забранен. Не се извършва проверка за обвързване на канали. Това е поведението на всички сървъри, които не са актуализирани.
  • Стойност на DWORD:1 показва разрешено, когато се поддържа. Всички клиенти, които работят на версия на Windows, която е актуализирана да поддържа маркери за обвързване на канал (CBT), трябва да предоставят информация за обвързване на канал на сървъра. Клиентите, които работят с версия на Windows, която не е актуализирана да поддържа CBT, не трябва да правят това. Това е междинна опция, която позволява съвместимост на приложенията.
  • Стойност на DWORD:2 показва "разрешено", винаги. Всички клиенти трябва да предоставят информация за обвързване на канала. Сървърът отхвърля заявки за удостоверяване от клиенти, които не го правят.

Забележки

  • Преди да разрешите тази настройка на домейнов контролер, клиентите трябва да инсталират актуализацията на защитата, която е описана в CVE-2017-8563. В противен случай могат да възникнат проблеми със съвместимостта и заявки за LDAP удостоверяване по SSL/TLS, които преди това са работили, може вече да не работят. По подразбиране тази настройка е забранена.
  • Записът в системния регистър LdapEnforceChannelBindings трябва да бъде изрично създаден.
  • LDAP сървърът отговаря динамично на промените в този запис в системния регистър. Следователно не е необходимо да рестартирате компютъра, след като приложите промяната на системния регистър.

За да увеличите максимално съвместимостта с по-стари версии на операционните системи (Windows Server 2008 и по-стари версии), ви препоръчваме да разрешите тази настройка със стойност 1.

За изрично забраняване на настройката задайте 0 ( нула) за записа LdapEnforceChannelBinding (нула).

Windows Server 2008 и по-стари системи изискват Microsoft Security Advisory 973811, налични в "KB5021989 Разширена защита за удостоверяване", да бъдат инсталирани, преди да инсталирате CVE-2017-8563. Ако инсталирате CVE-2017-8563 без KB5021989 на домейнов контролер или LDS екземпляр, всички LDAPS връзки ще са неуспешни с LDAP грешка 81 – LDAP_SERVER_DOWN.

За повече информация вижте KB4520412.