Összegzés
A CVE-2017-8563 egy olyan beállításjegyzék-beállítást vezet be, amelynek használatával a rendszergazdák biztonságosabbá tehetik az SSL/TLS protokollon keresztüli LDAP-hitelesítést.
További információ
Fontos Az alábbi szakasz, módszer vagy tevékenység a beállításjegyzék módosításának lépéseit ismerteti. A beállításjegyzék helytelen módosítása azonban komoly problémákhoz vezethet. Ezért a lehető legnagyobb körültekintéssel végezze el a következő lépéseket. A nagyobb biztonság érdekében a módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről, így probléma esetén visszaállíthatja azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban
Az SSL\TLS protokollon keresztüli LDAP-hitelesítés biztonságosabbá tételéhez a rendszergazdák megadhatják az alábbi beállításjegyzék-beállításokat:
- A Active Directory tartományi szolgáltatások tartományvezérlők (AD DS) elérési útja: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Az Active Directory Lightweight Directory Services (AD LDS) kiszolgálók elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-példány neve>\Parameters
- DWORD: LdapEnforceChannelBinding
- A DWORD érték:0 azt jelenti, hogy le van tiltva. A rendszer nem végez csatornakötés-ellenőrzést. Ez igazodik minden olyan kiszolgálóhoz, amelyet nem frissítettek.
- A DWORD érték:1 azt jelzi, hogy engedélyezve van, ha támogatott. A csatornakötési jogkivonatok (CBT) támogatására frissített Windows-verziókon futó ügyfeleknek biztosítaniuk kell a csatornakötési információkat a kiszolgáló felé. A CBT támogatásához nem frissített Windows-verziót futtató ügyfeleknek nem kötelező ezt megtenniük. Ez egy köztes beállítás, amely lehetővé teszi az alkalmazáskompatibilitást.
- A DWORD érték:2 azt jelenti , hogy mindig engedélyezve van. Minden ügyfélnek meg kell adnia a csatornakötési információkat. A kiszolgáló elutasítja a hitelesítési kérelmeket azoktól az ügyfelektől, akik ezt nem teszik meg.
Megjegyzések
- Mielőtt engedélyezné ezt a beállítást egy tartományvezérlőn, az ügyfeleknek telepíteniük kell a CVE-2017-8563 jelű biztonsági frissítést. Ellenkező esetben kompatibilitási problémák merülhetnek fel, és előfordulhat, hogy az SSL/TLS protokollon keresztül korábban működött LDAP-hitelesítési kérések nem működnek. Ez a beállítás alapértelmezés szerint le van tiltva.
- Az LdapEnforceChannelBindings beállításjegyzékbeli bejegyzést explicit módon kell létrehozni.
- Az LDAP-kiszolgáló dinamikusan válaszol a beállításjegyzék-bejegyzés módosításaira. Ezért a beállításjegyzék módosításának alkalmazása után nem szükséges újraindítani a számítógépet.
Az operációs rendszerek régebbi verzióival (Windows Server 2008 és korábbi verziókkal) való kompatibilitás maximalizálása érdekében javasoljuk, hogy engedélyezze ezt a beállítást 1 értékkel.
A beállítás explicit letiltásához állítsa az LdapEnforceChannelBinding bejegyzést 0 (nulla) értékre.
Windows Server 2008-as és régebbi rendszereken a CVE-2017-8563 telepítése előtt telepíteni kell a Microsoft biztonsági tanácsadó 973811 anyagot, amely az "KB5021989 Kiterjesztett védelem hitelesítéshez" című részben érhető el. Ha KB5021989 nélkül telepíti a CVE-2017-8563-at egy tartományvezérlőre vagy AD LDS-példányra, az összes LDAPS-kapcsolat sikertelen lesz a 81-LDAP_SERVER_DOWN LDAP-hibával.
Kapcsolódó információ
További információért lásd : KB4520412.