Rezime
Cve-2017-8563 predstavlja postavku registratora koju administratori mogu da koriste da bi pomogli da se LDAP potvrda identiteta putem SSL/TLS bezbednije obezbedi.
Više informacija
Važno Ovaj odeljak, metod ili zadatak sadrže korake koji objašnjavaju kako se menja registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zbog toga obavezno pažljivo sledite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o pravljenju rezervne kopije i vraćanju registratora u prethodno stanje kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
322756 Kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje u operativnom sistemu Windows
Administratori mogu konfigurisati sledeće postavke registratora da bi pomogle da LDAP potvrdu identiteta preko SSL\TLS bude bezbednije.
-
Putanja za kontrolere domena aktivnog direktorijuma (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Putanja za servere za lagane usluge aktivnog direktorijuma (AD LD): HKEY_LOCAL_MACHINE \System\currentcontrolset\uslug\<ime instance>\parametri
-
Dword: LdapEnforceChannelBinding
-
DWORD vrednost: 0 označava onemogućeno. Nije izvršena validacija povezivanja kanala. Ovo je ponašanje svih servera koji nisu ažurirani.
-
DWORD vrednost: 1 ukazuje na omogućenu, kada je podržana. Svi klijenti koji rade na verziji operativnog sistema Windows koji su ažurirani tako da podržavaju vezni simboli za kanale (CBT) moraju da obezbede informacije o povezivanju kanala na server. Klijenti koji rade pod verzijom operativnog sistema Windows koji nisu ažurirani tako da podržavaju CBT ne moraju to da urade. Ovo je posredna opcija koja omogućava kompatibilnost aplikacije.
-
DWORD vrednost: 2 pokazuje da je omogućeno, uvek. Svi klijenti moraju obezbediti informacije o povezivanju kanala. Server odbacuje zahteve za potvrdu identiteta od klijenata koje to ne rade.
Napomene
-
Pre nego što omogućite ovu postavku na kontroleru domena, klijenti moraju da instaliraju bezbednosnu ispravku koja je opisana u cve-2017-8563. U suprotnom, može doći do problema sa kompatibilnošću, a LDAP zahtevi za potvrdu identiteta preko SSL/TLS-a koji su ranije radili možda više neće funkcionisati. Ova postavka je podrazumevano onemogućena.
-
Stavka registratora Ldapizvršipovezi mora biti izričito kreirana.
-
LDAP server odgovara na promene u ovoj stavci registratora. Zbog toga ne morate ponovo pokretati računar kada primenite promenu registratora.
Da biste povećali kompatibilnost sa starijim verzijama operativnog sistema (Windows Server 2008 i ranijim verzijama), preporučujemo da ovu postavku omogućite vrednošću 1. Da biste izričito onemogućili postavku, postavite stavku Ldapizvršaobavezujuće na 0 (nula).
Windows Server 2008 i stariji sistemi zahtevaju da Microsoft Security savetodavni program 973811, koji je dostupan u "KB 968389 proširene zaštite za provjeru autentičnosti", bude instaliran pre instalacije cve-2017-8563. Ako instalirate CVE-2017-8563 bez KB 968389 na kontroleru domena ili AD ld-u, sve veze sa greškama će propasti sa LDAP Error 81-LDAP_SERVER_DOWN. Pored toga, preporučujemo i da pregledate i instalirate ispravke zabeležene u odeljku "poznati problemi" u KB 968389.