KB4034879: 使用 LdapEnforceChannelBinding 登錄機碼,使透過 SSL/TLS 的 LDAP 驗證更加安全

套用到
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

摘要

CVE-2017-8563 所引進的登錄設定,可供系統管理員用來使透過 SSL/TLS 的 LDAP 驗證更加安全。

更多資訊

重要 此章節、方法或工作包含有關如何修改登錄的步驟。 不過,如果您修改登錄的方法不正確,可能會發生嚴重的問題。 因此,請務必謹慎遵循這些步驟。 您也可以在修改前先備份登錄,以增強保護效果。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:

322756 如何在 Windows 中備份及還原登錄

為協助使透過 SSL/TLS 的 LDAP 驗證更加安全,系統管理員可以設定下列登錄設定:

  • Active Directory 網域服務 (AD DS) 域控制器的路徑:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Active Directory 輕量級目錄服務 (AD LDS) 伺服器的路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS 實例名稱>\參數
  • DWORD: LdapEnforceChannelBinding
  • DWORD 值:0 表示 已停用。 系統不會執行通道繫結驗證。 這是所有尚未進行更新的伺服器採取的行為。
  • DWORD 值:1 表示已 啟用,若支援。 若用戶端所執行的 Windows 版本已更新為支援通道繫結權杖 (CBT),則必須將通道繫結資訊提供給伺服器。 若用戶端執行的 Windows 版本尚未更新為支援 CBT,則不必提供。 這是允許應用程式相容性的中繼選項。
  • DWORD 值:2 表示 啟用,且始終如此。 所有用戶端都必須提供通道繫結資訊。 伺服器會針對從尚未提供資訊的用戶端所傳送的驗證要求,予以拒絕。

附註

  • 在網域控制站啟用此設定之前,用戶端必須先安裝 CVE-2017-8563 中所述的安全性更新。 否則,可能會引發相容性問題,並且先前可行、透過 SSL/TLS 的 LDAP 驗證要求可能無法再使用。 根據預設,這個設定是停用的。
  • 必須明確地建立 LdapEnforceChannelBindings 登錄項目。
  • LDAP 伺服器會以動態方式回應此登錄項目的變更。 因此,套用登錄變更之後,不需要重新啟動電腦。

為了讓與舊版作業系統版本 (Windows Server 2008 以前的版本) 的相容性發揮最大作用,建議您啟用這個設定並將值設為 1

若要明確地停用設定,請將 LdapEnforceChannelBinding 項目設定為 0 (零)。

2008 Windows Server 及更舊系統要求在安裝 CVE-2017-8563 前,先安裝Microsoft安全諮詢973811KB5021989 Extended Protection for Authentication)。 如果您在網域控制器或 AD LDS 實例上安裝 CVE-2017-8563 且未 KB5021989 ,所有 LDAPS 連線都會因 LDAP 錯誤 81 - LDAP_SERVER_DOWN 而失敗。

如需詳細資訊,請參閱 KB4520412