Shrnutí
CVE-2017-8563 zavádí nastavení registru, které můžou správci použít k lepšímu zabezpečení ověřování PROTOKOLU LDAP přes PROTOKOL SSL/TLS.
Další informace
Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám poví, jak upravit registr. Pokud však registr upravíte nesprávně, může dojít k vážným problémům. Proto se ujistěte, že tyto kroky postupujete pečlivě. Chcete-li přidat ochranu, zálohujte registr před jeho úpravou. Pak můžete registr obnovit, pokud dojde k problému. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Jak zálohovat a obnovit registr ve Windows
Aby bylo ověřování LDAP přes PROTOKOL SSL\TLS bezpečnější, můžou správci nakonfigurovat následující nastavení registru:
-
Cesta pro řadiče domény Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Cesta pro servery ad lds (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ název instance<LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Hodnota DWORD: 0 označuje zakázáno. Neprovádí se žádné ověření vazby kanálu. Toto je chování všech serverů, které nebyly aktualizovány.
-
Hodnota DWORD: 1 označuje povoleno, pokud je podporováno. Všichni klienti, kteří používají verzi Windows, která byla aktualizována na podporu tokenů vazeb kanálů (CBT), musí poskytnout informace o vazbě kanálu serveru. Klienti, kteří používají verzi Windows, která nebyla aktualizována tak, aby podporovala CBT, to nemusí dělat. Jedná se o průběžnou možnost, která umožňuje kompatibilitu aplikací.
-
Hodnota DWORD: 2 označuje povoleno, vždy. Všichni klienti musí poskytovat informace o vazbě kanálu. Server odmítne žádosti o ověření od klientů, kteří tak neudělají.
Poznámky
-
Před povolením tohoto nastavení na řadiči domény musí klienti nainstalovat aktualizaci zabezpečení popsanou v cve-2017-8563. V opačném případě může dojít k problémům s kompatibilitou a žádosti o ověřování LDAP přes PROTOKOL SSL/TLS, které dříve fungovaly, nemusí fungovat. Ve výchozím nastavení je toto nastavení zakázané.
-
Položka registru LdapEnforceChannelBindings musí být explicitně vytvořena.
-
Server LDAP dynamicky reaguje na změny této položky registru. Proto není nutné restartovat počítač po použití změny registru.
Pokud chcete maximalizovat kompatibilitu se staršími verzemi operačního systému (Windows Server 2008 a starší verze), doporučujeme povolit toto nastavení s hodnotou 1.Pokud chcete nastavení explicitně zakázat, nastavte položku LdapEnforceChannelBinding na hodnotu 0 (nula).
Windows Server 2008 a starší systémy vyžadují, aby byly před instalací aktualizace CVE-2017-8563 nainstalován 973811 y Informační zpravodaj zabezpečení společnosti Microsoft, které jsou k dispozici v článku KB5021989 Rozšířená ochrana pro ověřování. Pokud nainstalujete CVE-2017-8563 bez aktualizace KB5021989 na řadič domény nebo instanci služby AD LDS, všechna připojení LDAPS selžou s chybou PROTOKOLU LDAP 81 – LDAP_SERVER_DOWN.
Související informace
Další informace najdete v článku KB4520412.
