KB4034879: Upotrijebite unos registra LdapEnforceChannelBinding da biste učinili LDAP provjeru autentičnosti putem SSL/TLS-a sigurnijom

Primjenjuje se na
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Sažetak

CVE-2017-8563 uvodi postavku registra koju administratori mogu koristiti za veću sigurnost provjere autentičnosti LDAP putem protokola SSL/TLS.

Dodatne informacije

Važno Ovaj odjeljak, postupak ili zadatak sadrže upute za izmjenu registra. No ako nepravilno izmijenite registar, mogli biste uzrokovati ozbiljne probleme. Stoga obavezno pažljivo pratite ove upute. Sigurnosno kopirajte registar prije izmjene radi dodatne zaštite. Ako se pojavi problem, moći ćete vratiti registar. Dodatne informacije o stvaranju sigurnosne kopije i vraćanju registra potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:

322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows

Da bi provjera autentičnosti LDAP putem protokola SSL\TLS bila sigurnija, administratori mogu konfigurirati sljedeće postavke registra:

  • Put za domenske kontrolere za Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Put za poslužitelje servisa Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<naziv instance> LDS-a\Parametri
  • DWORD: LdapEnforceChannelBinding
  • DWORD vrijednost:0 označava onemogućeno. Ne provodi se provjera valjanosti povezivanja kanala. Takvo se ponašanje svih poslužitelja koji nisu ažurirani.
  • DWORD vrijednost:1 označava omogućeno, kada je podržano. Svi klijenti koji se izvode na verziji sustava Windows koja je ažurirana tako da podržava tokene za povezivanje kanala (CBT) moraju poslužitelju dostavljati informacije o povezivanju kanala. Klijenti koji koriste verziju sustava Windows koja nije ažurirana kako bi podržala CBT to ne moraju. To je srednja mogućnost koja omogućuje kompatibilnost aplikacija.
  • DWORD vrijednost:2 označava omogućeno, uvijek. Svi klijenti moraju navesti informacije o povezivanju kanala. Poslužitelj odbija zahtjeve za provjeru autentičnosti od klijenata koji to ne čine.

Napomene

  • Prije nego što omogućite tu postavku na kontroleru domene, klijenti moraju instalirati sigurnosno ažuriranje opisano u članku CVE-2017-8563. U suprotnom se mogu pojaviti problemi s kompatibilnošću i zahtjevi za provjeru autentičnosti LDAP putem protokola SSL/TLS koji su prethodno funkcionirali možda više neće funkcionirati. Ta je postavka po zadanom onemogućena.
  • Unos u registar LdapEnforceChannelBindings mora se izričito stvoriti.
  • Poslužitelj LDAP dinamično odgovara na promjene tog unosa registra. Stoga nakon primjene promjene registra ne morate ponovno pokrenuti računalo.

Da biste maksimizirali kompatibilnost sa starijim verzijama operacijskih sustava (Windows Server 2008 i starije verzije), preporučujemo da omogućite tu postavku uz vrijednost 1.

Da biste izričito onemogućili tu postavku, postavite unos LdapEnforceChannelBinding na 0 (nula).

Windows Server 2008 i starije sustave potrebno je instalirati Microsoft Security Advisory 973811, dostupan u odjeljku "KB5021989 Extended Protection for Authentication", prije instalacije CVE-2017-8563. Ako instalirate CVE-2017-8563 bez KB5021989 na domenskom kontroleru ili instanci AD LDS, sve LDAPS veze neće uspjeti uz LDAP pogrešku 81 - LDAP_SERVER_DOWN.

Dodatne informacije potražite u članku KB4520412.