摘要
CVE-2017-8563 所引進的登錄設定,可供系統管理員用來使透過 SSL/TLS 的 LDAP 驗證更加安全。
更多資訊
重要 此章節、方法或工作包含有關如何修改登錄的步驟。 不過,如果您修改登錄的方法不正確,可能會發生嚴重的問題。 因此,請務必謹慎遵循這些步驟。 您也可以在修改前先備份登錄,以增強保護效果。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
為協助使透過 SSL/TLS 的 LDAP 驗證更加安全,系統管理員可以設定下列登錄設定:
- Active Directory 網域服務 (AD DS) 域控制器的路徑:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Active Directory 輕量級目錄服務 (AD LDS) 伺服器的路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS 實例名稱>\參數
- DWORD: LdapEnforceChannelBinding
- DWORD 值:0 表示 已停用。 系統不會執行通道繫結驗證。 這是所有尚未進行更新的伺服器採取的行為。
- DWORD 值:1 表示已 啟用,若支援。 若用戶端所執行的 Windows 版本已更新為支援通道繫結權杖 (CBT),則必須將通道繫結資訊提供給伺服器。 若用戶端執行的 Windows 版本尚未更新為支援 CBT,則不必提供。 這是允許應用程式相容性的中繼選項。
- DWORD 值:2 表示 啟用,且始終如此。 所有用戶端都必須提供通道繫結資訊。 伺服器會針對從尚未提供資訊的用戶端所傳送的驗證要求,予以拒絕。
附註
- 在網域控制站啟用此設定之前,用戶端必須先安裝 CVE-2017-8563 中所述的安全性更新。 否則,可能會引發相容性問題,並且先前可行、透過 SSL/TLS 的 LDAP 驗證要求可能無法再使用。 根據預設,這個設定是停用的。
- 必須明確地建立 LdapEnforceChannelBindings 登錄項目。
- LDAP 伺服器會以動態方式回應此登錄項目的變更。 因此,套用登錄變更之後,不需要重新啟動電腦。
為了讓與舊版作業系統版本 (Windows Server 2008 以前的版本) 的相容性發揮最大作用,建議您啟用這個設定並將值設為 1。
若要明確地停用設定,請將 LdapEnforceChannelBinding 項目設定為 0 (零)。
2008 Windows Server 及更舊系統要求在安裝 CVE-2017-8563 前,先安裝Microsoft安全諮詢973811(KB5021989 Extended Protection for Authentication)。 如果您在網域控制器或 AD LDS 實例上安裝 CVE-2017-8563 且未 KB5021989 ,所有 LDAPS 連線都會因 LDAP 錯誤 81 - LDAP_SERVER_DOWN 而失敗。
相關資訊
如需詳細資訊,請參閱 KB4520412。