Tóm tắt
CVE-2017-8563 giới thiệu cài đặt đăng ký mà người quản trị có thể sử dụng để giúp xác thực LDAP qua SSL/TLS an toàn hơn.
Xem thêm thông tin
Quan trọng Mục, phương pháp hoặc tác vụ này chứa các bước hướng dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên,việc sửa đổi sổ đăng ký không đúng cách có thể dẫn đến các sự cố nghiêm trọng. Do đó, hãy đảm bảo rằng bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu có sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Để giúp xác thực LDAP qua SSL\TLS an toàn hơn, người quản trị có thể cấu hình các thiết đặt sổ đăng ký sau đây:
- Đường dẫn dành cho Dịch vụ miền danh mục hiện hoạt kiểm soát miền (AD DS) của bạn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Path for Active Directory Lightweight Directory Services (AD LDS) servers: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
- DWORD: LdapEnforceChannelBinding
- Giá trị DWORD:0 cho biết đã tắt. Không có xác thực ràng buộc kênh nào được thực hiện. Đây là hành vi của tất cả các máy chủ chưa được cập nhật.
- Giá trị DWORD:1 cho biếtđã bật, khi được hỗ trợ. Tất cả các khách hàng đang chạy trên phiên bản Windows đã được cập nhật để hỗ trợ mã thông báo ràng buộc kênh (CBT) phải cung cấp thông tin ràng buộc kênh cho máy chủ. Máy khách đang chạy phiên bản Windows chưa được cập nhật để hỗ trợ CBT không phải làm như vậy. Đây là một tùy chọn trung gian cho phép tính tương thích của ứng dụng.
- Giá trị DWORD:2 biểuthị luôn bật. Tất cả khách hàng phải cung cấp thông tin ràng buộc kênh. Máy chủ từ chối yêu cầu xác thực từ máy khách không làm như vậy.
Ghi chú
- Trước khi bạn bật thiết đặt này trên Bộ kiểm soát Miền, máy khách phải cài đặt bản cập nhật bảo mật được mô tả trong CVE-2017-8563. Nếu không, các vấn đề về tương thích có thể phát sinh và yêu cầu xác thực LDAP qua SSL/TLS đã hoạt động trước đó có thể không còn hoạt động. Theo mặc định, thiết đặt này được tắt.
- Mục đăng ký LdapEnforceChannelBindings phải được tạo một cách rõ ràng.
- Máy chủ LDAP phản hồi linh động với các thay đổi đối với mục đăng ký này. Vì vậy, bạn không phải khởi động lại máy tính sau khi bạn áp dụng thay đổi sổ đăng ký.
Để tối đa hóa khả năng tương thích với các phiên bản hệ điều hành cũ hơn (Windows Server 2008 và các phiên bản cũ hơn), chúng tôi khuyên bạn nên bật cài đặt này với giá trị là 1.
Để tắt cài đặt một cách rõ ràng, hãy đặt mục nhập LdapEnforceChannelBinding thành 0 (không).
Windows Server 2008 và các hệ thống cũ hơn yêu cầu microsoft Tư vấn Bảo mật 973811, có sẵn trong "KB5021989 Extended Protection for Authentication", phải được cài đặt trước khi cài đặt CVE-2017-8563. Nếu bạn cài đặt CVE-2017-8563 mà không có KB5021989 trên bộ điều khiển Miền hoặc phiên bản AD LDS, tất cả các kết nối LDAPS sẽ không thành công với lỗi LDAP 81 - LDAP_SERVER_DOWN.
Thông tin liên quan
Để biết thêm thông tin, hãy KB4520412.