Сводка
CVE-2017-8563 представляет параметр реестра, который администраторы могут использовать для повышения безопасности проверки подлинности LDAP через SSL/TLS.
Дополнительные сведения
Важно! В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы тщательно выполняете эти действия. Чтобы добавить защиту, создайте резервную копию реестра перед его изменением. Затем можно восстановить реестр в случае возникновения проблемы. Дополнительные сведения о том, как создать резервную копию и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Резервное копирование и восстановление реестра в Windows
Чтобы повысить безопасность проверки подлинности LDAP через SSL\TLS, администраторы могут настроить следующие параметры реестра:
-
Путь к контроллерам домена доменные службы Active Directory (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Путь к серверам служб Active Directory облегченного доступа к каталогам (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<имя экземпляра LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Значение DWORD: 0 указывает, что отключено. Проверка привязки канала не выполняется. Это поведение всех серверов, которые не были обновлены.
-
Значение DWORD: 1 указывает, включено, если поддерживается. Все клиенты, работающие в версии Windows, которая была обновлена для поддержки маркеров привязки каналов (CBT), должны предоставлять сведения о привязке канала серверу. Клиентам под управлением версии Windows, которая не была обновлена для поддержки CBT, это не требуется. Это промежуточный параметр, обеспечивающий совместимость приложений.
-
Значение DWORD: 2 указывает, что включено, всегда. Все клиенты должны предоставить сведения о привязке канала. Сервер отклоняет запросы проверки подлинности от клиентов, которые этого не делают.
Примечания
-
Прежде чем включить этот параметр на контроллере домена, клиенты должны установить обновление для системы безопасности, описанное в cve-2017-8563. В противном случае могут возникнуть проблемы совместимости, а запросы проверки подлинности LDAP через SSL/TLS, которые работали ранее, могут перестать работать. По умолчанию этот параметр отключен.
-
Запись реестра LdapEnforceChannelBindings должна быть создана явно.
-
Сервер LDAP динамически реагирует на изменения этой записи реестра. Таким образом, не нужно перезагружать компьютер после применения изменения реестра.
Чтобы обеспечить максимальную совместимость с более старыми версиями операционной системы (Windows Server 2008 и более ранними версиями), рекомендуется включить этот параметр со значением 1.Чтобы явно отключить этот параметр, задайте для записи LdapEnforceChannelBinding значение 0 (ноль).
Windows Server 2008 и более ранних версий требуют, чтобы перед установкой CVE-2017-8563 были установлены 973811 рекомендаций по безопасности Майкрософт, доступные в статье KB5021989 Extended Protection for Authentication. При установке CVE-2017-8563 без KB5021989 на контроллере домена или экземпляре AD LDS все подключения LDAPS завершатся сбоем с ошибкой LDAP 81 — LDAP_SERVER_DOWN.
См. также
Дополнительные сведения см. в статье KB4520412.
