KB4034879: Utilizar a entrada de registo LdapEnforceChannelBinding para tornar a autenticação LDAP através de SSL/TLS mais segura

Aplica-se A
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Resumo

O CVE-2017-8563 introduz uma definição de registo que os administradores podem utilizar para ajudar a tornar a autenticação LDAP através de SSL/TLS mais segura.

Mais Informações

Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por essa razão, certifique-se de que segue estes passos cuidadosamente. Como forma de proteção adicional, crie uma cópia de segurança do registo antes de o modificar. Assim, se ocorrer algum problema pode restaurar o registo. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como criar cópias de segurança e restaurar o registo no Windows

Para ajudar a tornar a autenticação LDAP através de SSL\TLS mais segura, os administradores podem configurar as seguintes definições de registo:

  • Caminho para controladores de domínio do Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Caminho para servidores dos Serviços LDS (AD LDS) do Active Directory: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome> da instância LDS\Parâmetros
  • DWORD: LdapEnforceChannelBinding
  • Valor DWORD:0 indica desativado. Não é efetuada nenhuma validação de enlace de canal. Este é o comportamento de todos os servidores que não foram atualizados.
  • O valor DWORD:1 indica ativado, quando suportado. Todos os clientes em execução numa versão do Windows que tenha sido atualizada para suportar tokens de enlace de canal (CBT) têm de fornecer informações de enlace de canal ao servidor. Os clientes que executem uma versão do Windows que não tenha sido atualizada para suportar CBT não têm de o fazer. Esta é uma opção intermédia que permite a compatibilidade da aplicação.
  • Valor DWORD:2 indica ativado, sempre. Todos os clientes têm de fornecer informações de enlace de canal. O servidor rejeita pedidos de autenticação de clientes que não o fazem.

Notas

  • Antes de ativar esta definição num Controlador de Domínio, os clientes têm de instalar a atualização de segurança descrita em CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade e os pedidos de autenticação LDAP através de SSL/TLS que anteriormente funcionavam podem deixar de funcionar. Por predefinição, esta definição está desativada.
  • A entrada de registo LdapEnforceChannelBindings tem de ser criada explicitamente.
  • O servidor LDAP responde dinamicamente às alterações a esta entrada de registo. Por conseguinte, não tem de reiniciar o computador depois de aplicar a alteração do registo.

Para maximizar a compatibilidade com versões mais antigas do sistema operativo (Windows Server 2008 e versões anteriores), recomendamos que ative esta definição com um valor de 1.

Para desativar explicitamente a definição, defina a entrada LdapEnforceChannelBinding como 0 (zero).

Windows Server 2008 e sistemas mais antigos exigem que o 973811 de Aconselhamento de Segurança da Microsoft, disponível em "Proteção Alargada KB5021989 para Autenticação", seja instalado antes de instalar o CVE-2017-8563. Se instalar o CVE-2017-8563 sem KB5021989 num Controlador de domínio ou instância do AD LDS, todas as ligações LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN.

Para obter mais informações, veja KB4520412.