KB4034879: Az LdapEnforceChannelBinding beállításjegyzékbeli bejegyzés használatával biztonságosabbá teheti az SSL/TLS protokollon keresztüli LDAP-hitelesítést

Hatókör
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Összegzés

A CVE-2017-8563 egy olyan beállításjegyzék-beállítást vezet be, amelynek használatával a rendszergazdák biztonságosabbá tehetik az SSL/TLS protokollon keresztüli LDAP-hitelesítést.

További információ

Fontos Az alábbi szakasz, módszer vagy tevékenység a beállításjegyzék módosításának lépéseit ismerteti. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért a lehető legnagyobb körültekintéssel végezze el a következő lépéseket. A nagyobb biztonság érdekében a módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről, így probléma esetén visszaállíthatja azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban

Az SSL\TLS protokollon keresztüli LDAP-hitelesítés biztonságosabbá tételéhez a rendszergazdák megadhatják az alábbi beállításjegyzék-beállításokat:

  • A Active Directory tartományi szolgáltatások tartományvezérlők (AD DS) elérési útja: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Az Active Directory Lightweight Directory Services (AD LDS) kiszolgálók elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-példány neve>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • A DWORD érték:0 azt jelenti, hogy le van tiltva. A rendszer nem végez csatornakötés-ellenőrzést. Ez igazodik minden olyan kiszolgálóhoz, amelyet nem frissítettek.
  • A DWORD érték:1 azt jelzi, hogy engedélyezve van, ha támogatott. A csatornakötési jogkivonatok (CBT) támogatására frissített Windows-verziókon futó ügyfeleknek biztosítaniuk kell a csatornakötési információkat a kiszolgáló felé. A CBT támogatásához nem frissített Windows-verziót futtató ügyfeleknek nem kötelező ezt megtenniük. Ez egy köztes beállítás, amely lehetővé teszi az alkalmazáskompatibilitást.
  • A DWORD érték:2 azt jelenti , hogy mindig engedélyezve van. Minden ügyfélnek meg kell adnia a csatornakötési információkat. A kiszolgáló elutasítja a hitelesítési kérelmeket azoktól az ügyfelektől, akik ezt nem teszik meg.

Megjegyzések

  • Mielőtt engedélyezné ezt a beállítást egy tartományvezérlőn, az ügyfeleknek telepíteniük kell a CVE-2017-8563 jelű biztonsági frissítést. Ellenkező esetben kompatibilitási problémák merülhetnek fel, és előfordulhat, hogy az SSL/TLS protokollon keresztül korábban működött LDAP-hitelesítési kérések nem működnek. Ez a beállítás alapértelmezés szerint le van tiltva.
  • Az LdapEnforceChannelBindings beállításjegyzékbeli bejegyzést explicit módon kell létrehozni.
  • Az LDAP-kiszolgáló dinamikusan válaszol a beállításjegyzék-bejegyzés módosításaira. Ezért a beállításjegyzék módosításának alkalmazása után nem szükséges újraindítani a számítógépet.

Az operációs rendszerek régebbi verzióival (Windows Server 2008 és korábbi verziókkal) való kompatibilitás maximalizálása érdekében javasoljuk, hogy engedélyezze ezt a beállítást 1 értékkel.

A beállítás explicit letiltásához állítsa az LdapEnforceChannelBinding bejegyzést 0 (nulla) értékre.

Windows Server 2008-as és régebbi rendszereken a CVE-2017-8563 telepítése előtt telepíteni kell a Microsoft biztonsági tanácsadó 973811 anyagot, amely az "KB5021989 Kiterjesztett védelem hitelesítéshez" című részben érhető el. Ha KB5021989 nélkül telepíti a CVE-2017-8563-at egy tartományvezérlőre vagy AD LDS-példányra, az összes LDAPS-kapcsolat sikertelen lesz a 81-LDAP_SERVER_DOWN LDAP-hibával.

További információért lásd : KB4520412.