Sažetak
CVE-2017-8563 uvodi postavku registra koju administratori mogu koristiti za veću sigurnost provjere autentičnosti LDAP putem protokola SSL/TLS.
Dodatne informacije
Važno Ovaj odjeljak, postupak ili zadatak sadrže upute za izmjenu registra. No ako nepravilno izmijenite registar, mogli biste uzrokovati ozbiljne probleme. Stoga obavezno pažljivo pratite ove upute. Sigurnosno kopirajte registar prije izmjene radi dodatne zaštite. Ako se pojavi problem, moći ćete vratiti registar. Dodatne informacije o stvaranju sigurnosne kopije i vraćanju registra potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:
322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Da bi provjera autentičnosti LDAP putem protokola SSL\TLS bila sigurnija, administratori mogu konfigurirati sljedeće postavke registra:
- Put za domenske kontrolere za Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Put za poslužitelje servisa Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<naziv instance> LDS-a\Parametri
- DWORD: LdapEnforceChannelBinding
- DWORD vrijednost:0 označava onemogućeno. Ne provodi se provjera valjanosti povezivanja kanala. Takvo se ponašanje svih poslužitelja koji nisu ažurirani.
- DWORD vrijednost:1 označava omogućeno, kada je podržano. Svi klijenti koji se izvode na verziji sustava Windows koja je ažurirana tako da podržava tokene za povezivanje kanala (CBT) moraju poslužitelju dostavljati informacije o povezivanju kanala. Klijenti koji koriste verziju sustava Windows koja nije ažurirana kako bi podržala CBT to ne moraju. To je srednja mogućnost koja omogućuje kompatibilnost aplikacija.
- DWORD vrijednost:2 označava omogućeno, uvijek. Svi klijenti moraju navesti informacije o povezivanju kanala. Poslužitelj odbija zahtjeve za provjeru autentičnosti od klijenata koji to ne čine.
Napomene
- Prije nego što omogućite tu postavku na kontroleru domene, klijenti moraju instalirati sigurnosno ažuriranje opisano u članku CVE-2017-8563. U suprotnom se mogu pojaviti problemi s kompatibilnošću i zahtjevi za provjeru autentičnosti LDAP putem protokola SSL/TLS koji su prethodno funkcionirali možda više neće funkcionirati. Ta je postavka po zadanom onemogućena.
- Unos u registar LdapEnforceChannelBindings mora se izričito stvoriti.
- Poslužitelj LDAP dinamično odgovara na promjene tog unosa registra. Stoga nakon primjene promjene registra ne morate ponovno pokrenuti računalo.
Da biste maksimizirali kompatibilnost sa starijim verzijama operacijskih sustava (Windows Server 2008 i starije verzije), preporučujemo da omogućite tu postavku uz vrijednost 1.
Da biste izričito onemogućili tu postavku, postavite unos LdapEnforceChannelBinding na 0 (nula).
Windows Server 2008 i starije sustave potrebno je instalirati Microsoft Security Advisory 973811, dostupan u odjeljku "KB5021989 Extended Protection for Authentication", prije instalacije CVE-2017-8563. Ako instalirate CVE-2017-8563 bez KB5021989 na domenskom kontroleru ili instanci AD LDS, sve LDAPS veze neće uspjeti uz LDAP pogrešku 81 - LDAP_SERVER_DOWN.
Povezane informacije
Dodatne informacije potražite u članku KB4520412.