KB4034879: Koristite stavku registratora LdapEnforceChannelBinding da biste LDAP potvrdu identiteta preko SSL/TLS protokola učinili bezbednijom

Primenjuje se na
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Rezime

CVE-2017-8563 uvodi postavku registratora koju administratori mogu da koriste kako bi LDAP potvrdu identiteta preko SSL/TLS protokola učinili bezbednijom.

Više informacija

Važno Ovaj odeljak, metoda ili zadatak sadrži korake koji vam pokazuju kako se menja registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Stoga, uverite se da pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Tako možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervne kopije i vratite registrator u prethodno stanje, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows

Kako bi LDAP potvrdu identiteta preko SSL\TLS učinili bezbednijom, administratori mogu da konfigurišu sledeće postavke registratora:

  • Putanja za Usluge domena aktivnog direktorijuma (AD DS) kontrolere domena: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Putanja za Active Directory Lightweight Directory Services (AD LDS) servere: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD vrednost:0 ukazuje na onemogućeno. Ne izvršava se validacija povezivanja kanala. Ovo je ponašanje svih servera koji nisu ažurirani.
  • DWORD vrednost:1 ukazuje na omogućeno, kada je podržano. Svi klijenti koji rade na verziji operativnog sistema Windows koja je ažurirana tako da podržava tokene za povezivanje kanala (CBT) moraju da obezbede informacije o povezivanju kanala serveru. Klijenti koji koriste verziju operativnog sistema Windows koja nije ažurirana da podržava CBT ne moraju to da rade. Ovo je posredna opcija koja omogućava kompatibilnost aplikacije.
  • DWORD vrednost:2 ukazuje na omogućeno, uvek. Svi klijenti moraju da obezbede informacije o povezivanju kanala. Server odbija zahteve za potvrdu identiteta od klijenata koji to ne rade.

Beleške

  • Pre nego što omogućite ovu postavku na kontroleru domena, klijenti moraju da instaliraju bezbednosnu ispravku opisanu u CVE-2017-8563. U suprotnom može doći do problema sa kompatibilnošću i zahtevi za LDAP potvrdu identiteta preko SSL/TLS protokola koji su ranije funkcionisali možda više neće funkcionisati. Ova postavka je podrazumevano onemogućena.
  • Stavka registratora LdapEnforceChannelBindings mora biti eksplicitno kreirana.
  • LDAP server dinamički odgovara na promene ove stavke registratora. Dakle, ne morate ponovo da pokrenete računar nakon što primenite promenu registratora.

Da biste povećali kompatibilnost sa starijim verzijama operativnog sistema (Windows Server 2008 i starije verzije), preporučujemo da omogućite ovu postavku sa vrednošću 1.

Da biste izričito onemogućili postavku, postavite unos LdapEnforceChannelBinding na 0 (nula).

Windows Server 2008 i stariji sistemi zahtevaju da se pre instaliranja CVE-2017-8563 instalira 973811 sa Microsoft bezbednosnim savetima, dostupan u odeljku "KB5021989 proširena zaštita za potvrdu identiteta". Ako instalirate CVE-2017-8563 bez KB5021989 na kontroleru domena ili AD LDS instanci, sve LDAPS veze neće uspeti uz LDAP grešku 81 - LDAP_SERVER_DOWN.

Više informacija potražite u članku KB4520412.