Renforcement de la sécurité de l’authentification LDAP sur SSL/TLS à l’aide de l’entrée de Registre LdapEnforceChannelBinding

S’applique à : Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

Résumé


L’article CVE-2017-8563 introduit un paramètre de Registre que les administrateurs peuvent utiliser pour renforcer la sécurité de l’authentification LDAP sur SSL/TLS.

Informations supplémentaires


Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

 

Pour contribuer à renforcer la sécurité de l’authentification LDAP sur SSL/TLS, les administrateurs peuvent configurer les paramètres de Registre suivants :

  • Chemin pour les contrôleurs de domaine Active Directory Domain Services (AD DS) : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Chemin pour les serveurs Active Directory Lightweight Directory Services (AD LDS) : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nom_instance_LDS>\Parameters
  • DWORD : LdapEnforceChannelBinding
  • Valeur DWORD : La valeur 0 indique que le paramètre est désactivé. Aucune validation de liaison de canaux n’est effectuée. Il s’agit du comportement de tous les serveurs qui n’ont pas été mis à jour.
  • Valeur DWORD : La valeur 1 indique que le paramètre est activé, s’il est pris en charge. Tous les clients exécutés sur une version de Windows qui a été mise à jour pour prendre en charge les jetons de liaison de canaux (CBT) doivent fournir des informations de liaison de canaux au serveur. Les clients qui exécutent une version de Windows qui n’a pas été mise à jour pour prendre en charge les CBT ne sont pas concernés. Il s’agit d'une option intermédiaire qui garantit la compatibilité des applications.
  • Valeur DWORD : La valeur 2 indique que le paramètre est toujours activé. Tous les clients doivent fournir des informations de liaison de canaux. Le serveur rejette les demandes d’authentification des clients qui ne fournissent pas ces informations.

Remarques

  • Avant d’activer ce paramètre sur un contrôleur de domaine, les clients doivent installer la mise à jour de sécurité décrite dans l’article CVE-2017-8563. À défaut, des problèmes de compatibilité peuvent se produire et les demandes d’authentification LDAP sur SSL/TLS qui fonctionnaient auparavant risquent de ne plus fonctionner. Par défaut, ce paramètre est désactivé.
  • L’entrée de Registre LdapEnforceChannelBindings doit être créée de manière explicite.
  • Le serveur LDAP répond de manière dynamique aux modifications apportées à cette entrée de Registre. Par conséquent, il n’est pas obligatoire de redémarrer l’ordinateur après l’application de la modification du Registre.


Pour optimiser la compatibilité avec les versions antérieures du système d’exploitation (Windows Server 2008 et versions antérieures), nous vous recommandons d’activer ce paramètre avec la valeur 1.

Pour désactiver explicitement ce paramètre, définissez l’entrée LdapEnforceChannelBinding sur 0 (zéro).

Sur les systèmes Windows Server 2008 et versions antérieures, l’Avis de sécurité Microsoft 973811, disponible dans l’article « KB 968389 Protection étendue pour l’authentification », doit être installé avant l’installation de CVE-2017-8563. Si vous installez CVE-2017-8563 sans KB 968389 sur un contrôleur de domaine ou une instance AD LDS, toutes les connexions LDAPS échouent avec l’erreur LDAP 81 - LDAP_SERVER_DOWN. En outre, il est vivement recommandé de vérifier et d’installer les correctifs décrits dans la section Problèmes connus de l’article KB 968389.