Sammendrag
CVE-2017-8563 introduserer en registerinnstilling som administratorer kan bruke til å gjøre LDAP-autentisering over SSL/TLS sikrere.
Mer informasjon
Viktig! Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Alvorlige problemer kan imidlertid oppstå hvis du endrer registeret på feil måte. Pass derfor på at du følger disse trinnene nøye. For ekstra beskyttelse sikkerhetskopierer du registeret før du endrer det. Du kan dermed gjenopprette registeret hvis det oppstår problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows
Administratorer kan konfigurere følgende registerinnstillinger for å bidra til å gjøre LDAP-godkjenning over SSL\TLS sikrere:
- Bane for Active Directory Domain Services-domenekontrollere (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Banen til Active Directory Lightweight Directory Services-servere (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDS-forekomstnavn<>\Parametere
- DWORD: LdapEnforceChannelBinding
- DWORD-verdi:0 angir deaktivert. Ingen validering av kanalbinding utføres. Dette er virkemåten til alle servere som ikke har blitt oppdatert.
- DWORD-verdi:1 angir aktivert, når det støttes. Alle klienter som kjører på en versjon av Windows som er oppdatert for å støtte kanalbindingstokener (CBT), må oppgi kanalbindingsinformasjon til serveren. Klienter som kjører en versjon av Windows som ikke er oppdatert for å støtte CBT, trenger ikke å gjøre det. Dette er et mellomliggende alternativ som muliggjør programkompatibilitet.
- DWORD-verdi:2 indikerer aktivert, alltid. Alle klienter må oppgi kanalbindende informasjon. Serveren avviser godkjenningsforespørsler fra klienter som ikke gjør dette.
Obs!
- Før du aktiverer denne innstillingen på en domenekontroller, må klienter installere sikkerhetsoppdateringen som er beskrevet i CVE-2017-8563. Ellers kan det oppstå kompatibilitetsproblemer, og det kan hende at forespørsler om LDAP-godkjenning over SSL/TLS som tidligere fungerte, ikke lenger fungerer. Denne innstillingen er deaktivert som standard.
- Registeroppføringen LdapEnforceChannelBindings må opprettes eksplisitt.
- LDAP-serveren reagerer dynamisk på endringer i denne registeroppføringen. Du trenger derfor ikke å starte datamaskinen på nytt når du har tatt i bruk registerendringen.
For å maksimere kompatibiliteten med eldre versjoner av operativsystemet (Windows Server 2008 og tidligere versjoner), anbefaler vi at du aktiverer denne innstillingen med en verdi på 1.
Hvis du vil deaktivere innstillingen eksplisitt, setter du LdapEnforceChannelBinding-oppføringen til 0 (null).
Windows Server 2008 og eldre systemer krever at Microsofts sikkerhetsveiledning 973811, som er tilgjengelig i KB5021989 Utvidet beskyttelse for godkjenning, installeres før CVE-2017-8563 installeres. Hvis du installerer CVE-2017-8563 uten KB5021989 på en domenekontroller eller AD LDS-forekomst, vil alle LDAPS-tilkoblinger mislykkes med LDAP-feil 81 - LDAP_SERVER_DOWN.
Relatert informasjon
Hvis du vil ha mer informasjon, kan du se KB4520412.