摘要
CVE-2017-8563 引入了一个注册表设置,管理员可以使用该设置确保通过 SSL/TLS 的 LDAP 身份验证更加安全。
更多信息
重要说明 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
为了帮助确保通过 SSL\TLS 的 LDAP 身份验证更加安全,管理员可以配置以下注册表设置:
-
Active Directory 域服务 (AD DS) 域控制器的路径: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory 轻型目录服务 (AD LDS) 服务器的路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD 值: 0 表示 已禁用。 不执行通道绑定验证。 这是所有尚未更新的服务器的行为。
-
DWORD 值: 1 表示当受支持时,已启用。 运行在已更新以支持通道绑定令牌 (CBT) 的 Windows 版本上的所有客户端必须向服务器提供通道绑定信息。 运行尚未更新以支持 CBT 的 Windows 版本的客户端不需要这样做。 这是允许应用程序兼容性的中间选项。
-
DWORD 值: 2 表示 已启用, 始终为。 所有客户端必须提供通道绑定信息。 服务器拒绝来自不这样做的客户端的身份验证请求。
注意
-
在域控制器上启用此设置之前,客户端必须安装 CVE-2017-8563 中描述的安全更新。 否则,可能会出现兼容性问题,并且先前工作的通过 SSL/TLS 的 LDAP 身份验证请求可能不再工作。 默认情况下,此设置处于禁用状态。
-
必须显式地创建 LdapEnforceChannelBindings 注册表项。
-
LDAP 服务器动态响应此注册表项的更改。 因此,应用此注册表更改后,不必重启计算机。
为了最大程度地兼容较旧版本的操作系统(Windows Server 2008 和更低版本),我们建议你启用此设置并将值设为 1。 若要显式禁用该设置,请将 LdapEnforceChannelBinding 条目设置为 0(零)。
Windows Server 2008 及更低版本的系统需要先安装 Microsoft 安全通报 973811(在“KB5021989 身份验证扩展保护”中提供),才能安装 CVE-2017-8563。 如果未在域控制器或 AD LDS 实例上安装 KB5021989 即安装 CVE-2017-8563,则所有 LDAPS 连接将失败,并出现 LDAP 错误 81 - LDAP_SERVER_DOWN。
相关信息
有关更多信息,请参阅 KB4520412。
