Resumo
O CVE-2017-8563 introduz uma definição de registo que os administradores podem utilizar para ajudar a tornar a autenticação LDAP através de SSL/TLS mais segura.
Mais Informações
Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por essa razão, certifique-se de que segue estes passos cuidadosamente. Como forma de proteção adicional, crie uma cópia de segurança do registo antes de o modificar. Assim, se ocorrer algum problema pode restaurar o registo. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como criar cópias de segurança e restaurar o registo no Windows
Para ajudar a tornar a autenticação LDAP através de SSL\TLS mais segura, os administradores podem configurar as seguintes definições de registo:
- Caminho para controladores de domínio do Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Caminho para servidores dos Serviços LDS (AD LDS) do Active Directory: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome> da instância LDS\Parâmetros
- DWORD: LdapEnforceChannelBinding
- Valor DWORD:0 indica desativado. Não é efetuada nenhuma validação de enlace de canal. Este é o comportamento de todos os servidores que não foram atualizados.
- O valor DWORD:1 indica ativado, quando suportado. Todos os clientes em execução numa versão do Windows que tenha sido atualizada para suportar tokens de enlace de canal (CBT) têm de fornecer informações de enlace de canal ao servidor. Os clientes que executem uma versão do Windows que não tenha sido atualizada para suportar CBT não têm de o fazer. Esta é uma opção intermédia que permite a compatibilidade da aplicação.
- Valor DWORD:2 indica ativado, sempre. Todos os clientes têm de fornecer informações de enlace de canal. O servidor rejeita pedidos de autenticação de clientes que não o fazem.
Notas
- Antes de ativar esta definição num Controlador de Domínio, os clientes têm de instalar a atualização de segurança descrita em CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade e os pedidos de autenticação LDAP através de SSL/TLS que anteriormente funcionavam podem deixar de funcionar. Por predefinição, esta definição está desativada.
- A entrada de registo LdapEnforceChannelBindings tem de ser criada explicitamente.
- O servidor LDAP responde dinamicamente às alterações a esta entrada de registo. Por conseguinte, não tem de reiniciar o computador depois de aplicar a alteração do registo.
Para maximizar a compatibilidade com versões mais antigas do sistema operativo (Windows Server 2008 e versões anteriores), recomendamos que ative esta definição com um valor de 1.
Para desativar explicitamente a definição, defina a entrada LdapEnforceChannelBinding como 0 (zero).
Windows Server 2008 e sistemas mais antigos exigem que o 973811 de Aconselhamento de Segurança da Microsoft, disponível em "Proteção Alargada KB5021989 para Autenticação", seja instalado antes de instalar o CVE-2017-8563. Se instalar o CVE-2017-8563 sem KB5021989 num Controlador de domínio ou instância do AD LDS, todas as ligações LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN.
Informações relacionadas
Para obter mais informações, veja KB4520412.