Resumo
A CVE-2017-8563 introduz uma configuração do Registro que os administradores podem usar para tornar a autenticação LDAP via SSL/TLS mais segura.
Informações adicionais
Importante Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Para ajudar a tornar a autenticação LDAP via SSL/TLS mais segura, os administradores podem definir as seguintes configurações do Registro:
-
Caminho para controladores de domínio do AD DS (Active Directory Domain Services): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Caminho para servidores AD LDS (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
O valor DWORD: 0 indica desabilitado . Nenhuma validação de associação de canal é realizada. Este é o comportamento de todos os servidores que não foram atualizados.
-
O valor DWORD: 1 indica habilitado, quando suportado. Todos os clientes que estão executando uma versão do Windows que foi atualizada para oferecer suporte a tokens de associação de canal (CBT) devem fornecer informações de associação de canal ao servidor. Os clientes que estão executando uma versão do Windows não atualizada para oferecer suporte a CBT não precisam fazer isso. Esta é uma opção intermediária que permite a compatibilidade de aplicativos.
-
O valor DWORD: 2 indica habilitado, sempre. Todos os clientes devem fornecer informações de associação de canal. O servidor rejeitará as solicitações de autenticação de clientes que não fizerem isso.
Observações
-
Antes de habilitar essa configuração em um Controlador de Domínio, os clientes devem instalar a atualização de segurança descrita em CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade, e solicitações de autenticação LDAP via SSL/TLS que funcionavam anteriormente poderão não funcionar. Por padrão, a configuração está desabilitada.
-
A entrada do Registro LdapEnforceChannelBindings deve ser criada explicitamente.
-
O servidor LDAP responde dinamicamente a alterações nessa entrada do Registro. Portanto, você não precisa reiniciar o computador depois de aplicar a alteração do Registro.
Para maximizar a compatibilidade com versões mais antigas do sistema operacional (Windows Server 2008 e versões anteriores), recomendamos que você habilite essa configuração com um valor de 1. Para desabilitar explicitamente a configuração, defina a entrada LdapEnforceChannelBinding para 0 (zero).
Os sistemas Windows Server 2008 e mais antigos exigem que o Microsoft Security Advisory 973811, disponível em “KB5021989 Proteção Estendida para Autenticação”, seja instalado antes da instalação do CVE-2017-8563. Se você instalar o CVE-2017-8563 sem KB5021989 em um controlador de domínio ou instância do AD LDS, todas as conexões LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN.
Informações relacionadas
Para obter mais informações, consulte KB4520412.
