Bruk LdapEnforceChannelBinding-registeroppføringen slik at LDAP-godkjenning via SSL/TLS sikrere

Gjelder: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

Sammendrag


CVE-2017-8563 introduserer en registerinnstilling som administratorer kan bruke til å gjøre LDAP-godkjenning via SSL/TLS sikrere.

Hvis du vil ha mer informasjon


Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer det, for sikkerhets skyld. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 hvordan du sikkerhetskopierer og gjenoppretter registret i Windows

 

Administratorer kan konfigurere følgende innstillinger i registret for å bidra til å gjøre LDAP-godkjenning over SSL\TLS sikrere:

  • Bane for domenekontrollere for Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Bane for Active Directory Lightweight-katalogtjenester (AD LDS) servere: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\< LDS forekomstnavn >\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD-verdi: 0 angir deaktivert. Ingen kanal binding valideringen utføres. Dette er virkemåten til alle servere som ikke er oppdatert.
  • DWORD-verdi: 1 angir aktivert, når støttes. Alle klienter som kjører på en versjon av Windows som er oppdatert for å støtte kanal binding tokener (CBT) må angi kanalinformasjon binding til serveren. Klienter som kjører en versjon av Windows som ikke har blitt oppdatert for å støtte CBT trenger ikke å gjøre dette. Dette er et mellomliggende alternativ som gjør det mulig for programkompatibilitet.
  • DWORD-verdi: 2 angir aktivert, alltid. Alle klienter må angi binding kanalinformasjon. Serveren avslår godkjenningsforespørsler fra klienter som ikke gjør dette.

Notater

  • Før du aktiverer denne innstillingen på en domenekontroller, må klienter installere sikkerhetsoppdateringen som er beskrevet i CVE-2017-8563. Ellers kan oppstå kompatibilitetsproblemer, og ber om godkjenning av LDAP over SSL/TLS som tidligere fungerte lenger fungerer ikke. Denne innstillingen er deaktivert som standard.
  • Registeroppføringen LdapEnforceChannelBindings må opprettes eksplisitt.
  • LDAP-serveren svarer dynamisk på endret denne registeroppføringen. Du har derfor ikke datamaskinen på nytt etter at du bruker en endring i registret.


Hvis du vil maksimere kompatibilitet med eldre operativsystemversjoner (Windows Server 2008 og tidligere versjoner), anbefaler vi at du aktiverer denne innstillingen med en verdi på 1.

Hvis du vil deaktivere innstillingen eksplisitt, angi LdapEnforceChannelBinding-oppføringen til 0 (null).

Windows Server 2008 og eldre systemer krever at Microsofts sikkerhetsveiledning 973811, tilgjengelig i "KB 968389 Extended Protection for Authentication", være installert før du installerer CVE-2017-8563. Hvis du installerer CVE-2017-8563 uten KB 968389 på en domenekontroller eller AD LDS-forekomst, mislykkes alle LDAPS-tilkoblinger med LDAP-feil 81 - LDAP_SERVER_DOWN. I tillegg vi på det sterkeste at du også se gjennom og installere hurtigreparasjonsfilene som er dokumentert i delen kjente problemer i KB 968389.