Use a entrada do Registro LdapEnforceChannelBinding para tornar a autenticação LDAP via SSL/TLS mais segura

Aplica-se a: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard Mais

Resumo


A CVE-2017-8563 introduz uma configuração do Registro que os administradores podem usar para tornar a autenticação LDAP via SSL/TLS mais segura.

Informações adicionais


Importante Este método, seção ou tarefa contém etapas que informam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número de artigo a seguir para ler o conteúdo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

 

Para ajudar a tornar a autenticação LDAP via SSL/TLS mais segura, os administradores podem definir as seguintes configurações do Registro:

  • Caminho para controladores de domínio do AD DS (Active Directory Domain Services): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Caminho para servidores AD LDS (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • Valor DWORD: 0 indica desabilitado. Nenhuma validação de associação de canal é realizada. Este é o comportamento de todos os servidores que não foram atualizados.
  • Valor DWORD: 1 indica habilitado, quando há suporte. Todos os clientes que estão executando uma versão do Windows que foi atualizada para oferecer suporte a tokens de associação de canal (CBT) devem fornecer informações de associação de canal ao servidor. Os clientes que estão executando uma versão do Windows não atualizada para oferecer suporte a CBT não precisam fazer isso. Esta é uma opção intermediária que permite a compatibilidade de aplicativos.
  • Valor DWORD: 2 indica habilitado, sempre. Todos os clientes devem fornecer informações de associação de canal. O servidor rejeitará as solicitações de autenticação de clientes que não fizerem isso.

Observações

  • Antes de habilitarem essa configuração em um Controlador de Domínio, os clientes precisam instalar a atualização de segurança descrita na CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade, e solicitações de autenticação LDAP via SSL/TLS que funcionavam anteriormente poderão não funcionar. Por padrão, a configuração está desabilitada.
  • A entrada do Registro LdapEnforceChannelBindings deve ser criada explicitamente.
  • O servidor LDAP responde dinamicamente a alterações nessa entrada do Registro. Portanto, você não precisa reiniciar o computador depois de aplicar a alteração do Registro.


Para maximizar a compatibilidade com versões anteriores do sistema operacional (Windows Server 2008 e versões anteriores), recomendamos que você habilite essa configuração com um valor de 1.

Para desabilitar a configuração explicitamente, defina a entrada LdapEnforceChannelBinding como 0 (zero).

Para o Windows Server 2008 e sistemas mais antigos, é necessário que o Comunicado de segurança da Microsoft 973811, disponível no “KB 968389 Proteção Estendida para Autenticação”, seja instalado antes da instalação da CVE-2017-8563. Se você instalar a CVE-2017-8563 sem o KB 968389 em um controlador de domínio ou em uma instância de AD LDS, todas as conexões com o LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN. Além disso, recomendamos que você também revise e instale as correções documentadas na seção Problemas conhecidos do KB 968389.