Rezime
CVE-2017-8563 uvodi postavku registratora koju administratori mogu da koriste kako bi LDAP potvrdu identiteta preko SSL/TLS protokola učinili bezbednijom.
Više informacija
Važno Ovaj odeljak, metoda ili zadatak sadrži korake koji vam pokazuju kako se menja registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Stoga, uverite se da pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Tako možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervne kopije i vratite registrator u prethodno stanje, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows
Kako bi LDAP potvrdu identiteta preko SSL\TLS učinili bezbednijom, administratori mogu da konfigurišu sledeće postavke registratora:
- Putanja za Usluge domena aktivnog direktorijuma (AD DS) kontrolere domena: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Putanja za Active Directory Lightweight Directory Services (AD LDS) servere: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
- DWORD: LdapEnforceChannelBinding
- DWORD vrednost:0 ukazuje na onemogućeno. Ne izvršava se validacija povezivanja kanala. Ovo je ponašanje svih servera koji nisu ažurirani.
- DWORD vrednost:1 ukazuje na omogućeno, kada je podržano. Svi klijenti koji rade na verziji operativnog sistema Windows koja je ažurirana tako da podržava tokene za povezivanje kanala (CBT) moraju da obezbede informacije o povezivanju kanala serveru. Klijenti koji koriste verziju operativnog sistema Windows koja nije ažurirana da podržava CBT ne moraju to da rade. Ovo je posredna opcija koja omogućava kompatibilnost aplikacije.
- DWORD vrednost:2 ukazuje na omogućeno, uvek. Svi klijenti moraju da obezbede informacije o povezivanju kanala. Server odbija zahteve za potvrdu identiteta od klijenata koji to ne rade.
Beleške
- Pre nego što omogućite ovu postavku na kontroleru domena, klijenti moraju da instaliraju bezbednosnu ispravku opisanu u CVE-2017-8563. U suprotnom može doći do problema sa kompatibilnošću i zahtevi za LDAP potvrdu identiteta preko SSL/TLS protokola koji su ranije funkcionisali možda više neće funkcionisati. Ova postavka je podrazumevano onemogućena.
- Stavka registratora LdapEnforceChannelBindings mora biti eksplicitno kreirana.
- LDAP server dinamički odgovara na promene ove stavke registratora. Dakle, ne morate ponovo da pokrenete računar nakon što primenite promenu registratora.
Da biste povećali kompatibilnost sa starijim verzijama operativnog sistema (Windows Server 2008 i starije verzije), preporučujemo da omogućite ovu postavku sa vrednošću 1.
Da biste izričito onemogućili postavku, postavite unos LdapEnforceChannelBinding na 0 (nula).
Windows Server 2008 i stariji sistemi zahtevaju da se pre instaliranja CVE-2017-8563 instalira 973811 sa Microsoft bezbednosnim savetima, dostupan u odeljku "KB5021989 proširena zaštita za potvrdu identiteta". Ako instalirate CVE-2017-8563 bez KB5021989 na kontroleru domena ili AD LDS instanci, sve LDAPS veze neće uspeti uz LDAP grešku 81 - LDAP_SERVER_DOWN.
Srodne informacije
Više informacija potražite u članku KB4520412.