摘要
CVE-2017-8563 所引進的登錄設定,可供系統管理員用來使透過 SSL/TLS 的 LDAP 驗證更加安全。
其他相關資訊
重要: 這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
為協助使透過 SSL/TLS 的 LDAP 驗證更加安全,系統管理員可以設定下列登錄設定:
-
Active Directory Domain Services (AD DS) 網域控制站的路徑: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory 輕量型目錄服務 (AD LDS) 伺服器的路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD 值: 0 表示已停用。 系統不會執行通道繫結驗證。 這是所有尚未進行更新的伺服器採取的行為。
-
DWORD 值: 1 表示已啟用 (若支援)。 若用戶端所執行的 Windows 版本已更新為支援通道繫結權杖 (CBT),則必須將通道繫結資訊提供給伺服器。 若用戶端執行的 Windows 版本尚未更新為支援 CBT,則不必提供。 這是允許應用程式相容性的中繼選項。
-
DWORD 值: 2 表示已啟用,一律. 所有用戶端都必須提供通道繫結資訊。 伺服器會針對從尚未提供資訊的用戶端所傳送的驗證要求,予以拒絕。
注意事項
-
在網域控制站啟用此設定之前,用戶端必須先安裝 CVE-2017-8563 中所述的安全性更新。 否則,可能會引發相容性問題,並且先前可行、透過 SSL/TLS 的 LDAP 驗證要求可能無法再使用。 根據預設,這個設定是停用的。
-
必須明確地建立 LdapEnforceChannelBindings 登錄項目。
-
LDAP 伺服器會以動態方式回應此登錄項目的變更。 因此,套用登錄變更之後,不需要重新啟動電腦。
為了最大限度地提高與較舊作業系統版本 (Windows Server 2008 和較早版本) 的相容性,建議您使用值 1 啟用此設定。 若要明確地停用設定,請將 LdapEnforceChannelBinding 項目設定為 0 (零)。
安裝 CVE-2017-8563 前,Windows Server 2008 和舊版系統必須先安裝「KB5021989 驗證延伸保護」中提供的 Microsoft 安全性公告 973811。 如果您在網域控制站或 AD LDS 執行個體上安裝 CVE-2017-8563 而未先安裝 KB5021989,所有 LDAPS 連線將會失敗,並發生 LDAP 錯誤 81 - LDAP_SERVER_DOWN。
相關資訊
如需詳細資訊,請參閱 KB4520412。
