Podsumowanie
W CVE-2017-8563 wprowadzono ustawienia rejestru, które mogą być używane przez administratorów w celu zapewnienia bezpieczniejszego uwierzytelniania przy użyciu protokołu SSL/TLS.
Więcej informacji
Ważne W tej sekcji, metodzie lub zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Aby ułatwić sobie uwierzytelnianie LDAP przez SSL\TLS, Administratorzy mogą skonfigurować następujące ustawienia rejestru:
-
Ścieżka do kontrolerów domeny usług domenowych Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Ścieżka do serwerów usług LDS w usłudze Active Directory (AD LDS): HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\<nazwa wystąpienia usług LDS>\Parameters
-
Ostatnie LdapEnforceChannelBinding
-
Wartość DWORD: 0 oznacza, że jest wyłączona. Nie jest przeprowadzana weryfikacja powiązań kanałów. Jest to zachowanie wszystkich serwerów, które nie zostały zaktualizowane.
-
Wartość DWORD: 1 wskazuje, że włączono, gdy jest obsługiwana. Wszyscy klienci korzystający z wersji systemu Windows, która została zaktualizowana w celu obsługi tokenów powiązań kanałów (CBT), muszą udostępnić serwerowi informacje o powiązaniach kanałów. Klienci z uruchomioną wersją systemu Windows, która nie została zaktualizowana w celu obsługi CBT, nie musi tego robić. Jest to opcja pośrednia umożliwiająca zgodność aplikacji.
-
Wartość DWORD: 2 oznacza , że jest włączona, zawsze. Wszyscy klienci muszą udostępniać informacje o powiązaniach kanałów. Serwer odrzuca żądania uwierzytelniania od klientów, którzy ich nie wykonują.
Uwagi
-
Przed włączeniem tego ustawienia na kontrolerze domeny klienci muszą zainstalować aktualizację zabezpieczeń opisaną w biuletynie CVE-2017-8563. W przeciwnym razie mogą wystąpić problemy ze zgodnością i żądania uwierzytelnienia LDAP za pośrednictwem protokołu SSL/TLS, które wcześniej pracowały, mogą przestać działać. Domyślnie to ustawienie jest wyłączone.
-
Wpis rejestru LdapEnforceChannelBindings musi zostać utworzony jawnie.
-
Serwer LDAP reaguje dynamicznie na zmiany wprowadzone w tym wpisie rejestru. Z tego powodu nie trzeba ponownie uruchamiać komputera po zastosowaniu zmiany w rejestrze.
Aby zmaksymalizować zgodność ze starszymi wersjami systemu operacyjnego (Windows Server 2008 i wcześniejszymi wersjami), zalecamy włączenie tego ustawienia z wartością 1. Aby jawnie wyłączyć ustawienie, ustaw dla wpisu LdapEnforceChannelBinding wartość 0 (zero).
System Windows Server 2008 i starsze systemy wymagają zainstalowania w pakiecie Microsoft Security Advisory 973811, dostępnego w witrynie "KB 968389 Extended Protection for Authentication", przed zainstalowaniem aktualizacji CVE-2017-8563. Jeśli zainstalujesz CVE-2017-8563 bez KB 968389 na kontrolerze domeny lub wystąpieniu usług AD LDS, wszystkie połączenia LDAPS zakończą się niepowodzeniem z błędem LDAP 81-LDAP_SERVER_DOWN. Ponadto zdecydowanie zalecane jest również przejrzenie i zainstalowanie poprawek udokumentowanych w sekcji znane problemy w KB 968389.