Resumen
CVE-2017-8563 presenta una opción de configuración del Registro que los administradores pueden usar para ayudar a mejorar la seguridad de la autenticación LDAP sobre SSL/TLS.
Más información
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad y restaurar el registro en Windows
Para ayudar a mejorar la seguridad de la autenticación LDAP sobre SSL/TLS, los administradores pueden configurar las siguientes opciones de configuración del Registro.
-
Ruta de acceso de los controladores de dominio de Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Ruta de acceso de los servidores de Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nombre de la instancia de LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Valor DWORD: 0 indica deshabilitado. No se realiza ninguna validación de enlace de canal. Este es el comportamiento de todos los servidores que no se hayan actualizado.
-
Valor DWORD: 1 indica habilitado, cuando se admite. Todos los clientes que se ejecutan en una versión de Windows que se haya actualizado para admitir tokens de enlace de canal (CBT) deben proporcionar al servidor información sobre el enlace de canal. Los clientes que se ejecutan en una versión de Windows que no se haya actualizado para admitir CBT no deben hacerlo. Esta es una opción intermedia que da lugar a la compatibilidad de la aplicación.
-
Valor DWORD: 2 indica habilitado, siempre. Todos los clientes deben proporcionar información sobre el enlace de canal. Para los clientes que no lo hace, el servidor rechaza las solicitudes de autenticación.
Notas
-
Antes de habilitar esta opción de configuración en un controlador de dominio, los clientes deben instalar la actualización de seguridad que se describe en CVE-2017-8563. De lo contrario, es posible que se produzcan problemas de compatibilidad y que las solicitudes de autenticación LDAP sobre SSL/TLS que antes funcionaban dejen de funcionar. De manera predeterminada, esta opción de configuración está deshabilitada.
-
La entrada de Registro LdapEnforceChannelBindings se debe crear explícitamente.
-
El servidor LDAP responde dinámicamente a los cambios de esta entrada de Registro. Por lo tanto, no es necesario reiniciar el equipo después de cambiar el cambio del Registro.
Para maximizar la compatibilidad con versiones anteriores del sistema operativo (Windows Server 2008 y versiones anteriores), es recomendable habilitar esta opción de configuración con un valor de 1. Para deshabilitar la opción explícitamente, establece la entrada LdapEnforceChannelBinding en 0 (cero).
Windows Server 2008 y sistemas anteriores requieren que Microsoft Security Advisory 973811, disponible en "KB5021989 Protección extendida para autenticación", se instale antes de instalar CVE-2017-8563. Si instalas CVE-2017-8563 sin KB5021989 en un controlador de dominio o una instancia de AD LDS, todas las conexiones LDAPS producirán un error LDAP 81 - LDAP_SERVER_DOWN.
Información relacionada
Para obtener más información, consulte KB4520412.
