Résumé
L’article CVE-2017-8563 introduit un paramètre de Registre que les administrateurs peuvent utiliser pour renforcer la sécurité de l’authentification LDAP sur SSL/TLS.
Informations supplémentaires
Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Faites attention, car des problèmes sérieux peuvent survenir si vous le modifiez de façon incorrecte. Nous ne saurions trop vous conseiller de suivre ces étapes scrupuleusement. Dans tous les cas, n’oubliez pas de sauvegarder le Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Pour contribuer à renforcer la sécurité de l’authentification LDAP sur SSL/TLS, les administrateurs peuvent configurer les paramètres de Registre suivants :
- Chemin des contrôleurs de domaine services de domaine Active Directory (AD DS) : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Chemin d’accès pour les serveurs AD LDS (Active Directory Lightweight Directory Services) :nom<> de instance HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDS\Paramètres
- DWORD: LdapEnforceChannelBinding
- Valeur DWORD : 0 indique désactivé. Aucune validation de liaison de canaux n’est effectuée. Il s’agit du comportement de tous les serveurs qui n’ont pas été mis à jour.
- La valeur DWORD :1 indique activé, lorsqu’il est pris en charge. Tous les clients exécutés sur une version de Windows qui a été mise à jour pour prendre en charge les jetons de liaison de canaux (CBT) doivent fournir des informations de liaison de canaux au serveur. Les clients qui exécutent une version de Windows qui n’a pas été mise à jour pour prendre en charge les CBT ne sont pas concernés. Il s’agit d'une option intermédiaire qui garantit la compatibilité des applications.
- Valeur DWORD : 2 indique activé, toujours. Tous les clients doivent fournir des informations de liaison de canaux. Le serveur rejette les demandes d’authentification des clients qui ne fournissent pas ces informations.
Remarques
- Avant d’activer ce paramètre sur un contrôleur de domaine, les clients doivent installer la mise à jour de sécurité décrite dans l’article CVE-2017-8563. À défaut, des problèmes de compatibilité peuvent se produire et les demandes d’authentification LDAP sur SSL/TLS qui fonctionnaient auparavant risquent de ne plus fonctionner. Par défaut, ce paramètre est désactivé.
- L’entrée de Registre LdapEnforceChannelBindings doit être créée de manière explicite.
- Le serveur LDAP répond de manière dynamique aux modifications apportées à cette entrée de Registre. Par conséquent, il n’est pas obligatoire de redémarrer l’ordinateur après l’application de la modification du Registre.
Pour optimiser la compatibilité avec les versions antérieures du système d’exploitation (Windows Server 2008 et versions antérieures), nous vous recommandons d’activer ce paramètre avec la valeur 1.
Pour désactiver explicitement ce paramètre, définissez l’entrée LdapEnforceChannelBinding sur 0 (zéro).
Windows Server 2008 et les systèmes antérieurs nécessitent que les 973811 d’avis de sécurité Microsoft, disponibles dans « KB5021989 protection étendue pour l’authentification », soient installés avant d’installer CVE-2017-8563. Si vous installez CVE-2017-8563 sans KB5021989 sur un contrôleur de domaine ou un instance AD LDS, toutes les connexions LDAPS échouent avec l’erreur LDAP 81 - LDAP_SERVER_DOWN.
Informations connexes
Pour plus d’informations, consultez KB4520412.