Usar la entrada de Registro LdapEnforceChannelBinding para mejorar la seguridad de la autenticación LDAP sobre SSL/TLS

Se aplica a: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard Más

Resumen


CVE-2017-8563 presenta una opción de configuración del Registro que los administradores pueden usar para ayudar a mejorar la seguridad de la autenticación LDAP sobre SSL/TLS.

Más información


Importante En esta sección, método o tarea se incluyen pasos para modificar el Registro. Sin embargo, pueden darse problemas graves si modifica el Registro de manera incorrecta. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows

 

Para ayudar a mejorar la seguridad de la autenticación LDAP sobre SSL/TLS, los administradores pueden configurar las siguientes opciones de configuración del Registro.

  • Ruta de acceso de los controladores de dominio de Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Ruta de acceso de los servidores de Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nombre de la instancia de LDS>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • Valor DWORD: 0 indica deshabilitado. No se realiza ninguna validación de enlace de canal. Este es el comportamiento de todos los servidores que no se hayan actualizado.
  • Valor DWORD: 1 indica habilitado, cuando se admite. Todos los clientes que se ejecutan en una versión de Windows que se haya actualizado para admitir tokens de enlace de canal (CBT) deben proporcionar al servidor información sobre el enlace de canal. Los clientes que se ejecutan en una versión de Windows que no se haya actualizado para admitir CBT no deben hacerlo. Esta es una opción intermedia que da lugar a la compatibilidad de la aplicación.
  • Valor DWORD: 2 indica habilitado, siempre. Todos los clientes deben proporcionar información sobre el enlace de canal. Para los clientes que no lo hace, el servidor rechaza las solicitudes de autenticación.

Notas

  • Antes de habilitar esta opción de configuración en un controlador de dominio, los clientes deben instalar la actualización de seguridad que se describe en CVE-2017-8563. De lo contrario, es posible que se produzcan problemas de compatibilidad y que las solicitudes de autenticación LDAP sobre SSL/TLS que antes funcionaban dejen de funcionar. De manera predeterminada, esta opción de configuración está deshabilitada.
  • La entrada de Registro LdapEnforceChannelBindings se debe crear explícitamente.
  • El servidor LDAP responde dinámicamente a los cambios de esta entrada de Registro. Por lo tanto, no es necesario reiniciar el equipo después de cambiar el cambio del Registro.


Para maximizar la compatibilidad con versiones anteriores del sistema operativo (Windows Server 2008 y versiones anteriores), es recomendable habilitar esta opción de configuración con un valor de 1.

Para deshabilitar la opción explícitamente, establezca la entrada LdapEnforceChannelBinding en 0 (cero).

Windows Server 2008 y versiones anteriores requieren la instalación del aviso de seguridad de Microsoft 973811, disponible en "KB 968389 Protección ampliada para la autenticación", antes de instalar CVE-2017-8563. Si instala CVE-2017-8563 sin KB 968389 en un controlador de dominio o instancia de AD LDS, se producirá el siguiente error en todas las conexiones LDAPS; Error 81 de LDAP: LDAP_SERVER_DOWN. Asimismo, recomendamos encarecidamente que también revise e instale todas las correcciones que se documentan en la sección Problemas conocidos de KB 968389.