KB4034879: Bruk LdapEnforceChannelBinding-registeroppføringen til å gjøre LDAP-godkjenning over SSL/TLS sikrere

Gjelder for
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Sammendrag

CVE-2017-8563 introduserer en registerinnstilling som administratorer kan bruke til å gjøre LDAP-autentisering over SSL/TLS sikrere.

Mer informasjon

Viktig! Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Alvorlige problemer kan imidlertid oppstå hvis du endrer registeret på feil måte. Pass derfor på at du følger disse trinnene nøye. For ekstra beskyttelse sikkerhetskopierer du registeret før du endrer det. Du kan dermed gjenopprette registeret hvis det oppstår problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Administratorer kan konfigurere følgende registerinnstillinger for å bidra til å gjøre LDAP-godkjenning over SSL\TLS sikrere:

  • Bane for Active Directory Domain Services-domenekontrollere (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Banen til Active Directory Lightweight Directory Services-servere (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDS-forekomstnavn<>\Parametere
  • DWORD: LdapEnforceChannelBinding
  • DWORD-verdi:0 angir deaktivert. Ingen validering av kanalbinding utføres. Dette er virkemåten til alle servere som ikke har blitt oppdatert.
  • DWORD-verdi:1 angir aktivert, når det støttes. Alle klienter som kjører på en versjon av Windows som er oppdatert for å støtte kanalbindingstokener (CBT), må oppgi kanalbindingsinformasjon til serveren. Klienter som kjører en versjon av Windows som ikke er oppdatert for å støtte CBT, trenger ikke å gjøre det. Dette er et mellomliggende alternativ som muliggjør programkompatibilitet.
  • DWORD-verdi:2 indikerer aktivert, alltid. Alle klienter må oppgi kanalbindende informasjon. Serveren avviser godkjenningsforespørsler fra klienter som ikke gjør dette.

Obs!

  • Før du aktiverer denne innstillingen på en domenekontroller, må klienter installere sikkerhetsoppdateringen som er beskrevet i CVE-2017-8563. Ellers kan det oppstå kompatibilitetsproblemer, og det kan hende at forespørsler om LDAP-godkjenning over SSL/TLS som tidligere fungerte, ikke lenger fungerer. Denne innstillingen er deaktivert som standard.
  • Registeroppføringen LdapEnforceChannelBindings må opprettes eksplisitt.
  • LDAP-serveren reagerer dynamisk på endringer i denne registeroppføringen. Du trenger derfor ikke å starte datamaskinen på nytt når du har tatt i bruk registerendringen.

For å maksimere kompatibiliteten med eldre versjoner av operativsystemet (Windows Server 2008 og tidligere versjoner), anbefaler vi at du aktiverer denne innstillingen med en verdi på 1.

Hvis du vil deaktivere innstillingen eksplisitt, setter du LdapEnforceChannelBinding-oppføringen til 0 (null).

Windows Server 2008 og eldre systemer krever at Microsofts sikkerhetsveiledning 973811, som er tilgjengelig i KB5021989 Utvidet beskyttelse for godkjenning, installeres før CVE-2017-8563 installeres. Hvis du installerer CVE-2017-8563 uten KB5021989 på en domenekontroller eller AD LDS-forekomst, vil alle LDAPS-tilkoblinger mislykkes med LDAP-feil 81 - LDAP_SERVER_DOWN.

Hvis du vil ha mer informasjon, kan du se KB4520412.