Resumo
A CVE-2017-8563 introduz uma configuração do Registro que os administradores podem usar para tornar a autenticação LDAP via SSL/TLS mais segura.
Informações adicionais
Importante Este método, seção ou tarefa contém etapas que informam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número de artigo a seguir para ler o conteúdo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows
Para ajudar a tornar a autenticação LDAP via SSL/TLS mais segura, os administradores podem definir as seguintes configurações do Registro:
-
Caminho para controladores de domínio do AD DS (Active Directory Domain Services): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Caminho para servidores AD LDS (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Valor DWORD: 0 indica desabilitado. Nenhuma validação de associação de canal é realizada. Este é o comportamento de todos os servidores que não foram atualizados.
-
Valor DWORD: 1 indica habilitado, quando há suporte. Todos os clientes que estão executando uma versão do Windows que foi atualizada para oferecer suporte a tokens de associação de canal (CBT) devem fornecer informações de associação de canal ao servidor. Os clientes que estão executando uma versão do Windows não atualizada para oferecer suporte a CBT não precisam fazer isso. Esta é uma opção intermediária que permite a compatibilidade de aplicativos.
-
Valor DWORD: 2 indica habilitado, sempre. Todos os clientes devem fornecer informações de associação de canal. O servidor rejeitará as solicitações de autenticação de clientes que não fizerem isso.
Observações
-
Antes de habilitarem essa configuração em um Controlador de Domínio, os clientes precisam instalar a atualização de segurança descrita na CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade, e solicitações de autenticação LDAP via SSL/TLS que funcionavam anteriormente poderão não funcionar. Por padrão, a configuração está desabilitada.
-
A entrada do Registro LdapEnforceChannelBindings deve ser criada explicitamente.
-
O servidor LDAP responde dinamicamente a alterações nessa entrada do Registro. Portanto, você não precisa reiniciar o computador depois de aplicar a alteração do Registro.
Para maximizar a compatibilidade com versões anteriores do sistema operacional (Windows Server 2008 e versões anteriores), recomendamos que você habilite essa configuração com um valor de 1.
Para desabilitar a configuração explicitamente, defina a entrada LdapEnforceChannelBinding como 0 (zero).
Para o Windows Server 2008 e sistemas mais antigos, é necessário que o Comunicado de Segurança da Microsoft 973811, disponível no KB 968389 Proteção Estendida para Autenticação, seja instalado antes da instalação da CVE-2017-8563. Caso você instale a CVE-2017-8563 sem o KB 968389 em um Controlador de domínio ou em uma instância do AD LDS, todas as conexões com o LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN. Além disso, recomendamos que você também examine e instale as correções documentadas na seção Problemas Conhecidos do KB 968389.