摘要
CVE-2017-8563 所引進的登錄設定,可供系統管理員用來使透過 SSL/TLS 的 LDAP 驗證更加安全。
其他相關資訊
重要 此章節、方法或工作包含有關如何修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 這樣一來,如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
為協助使透過 SSL/TLS 的 LDAP 驗證更加安全,系統管理員可以設定下列登錄設定:
-
Active Directory Domain Services (AD DS) 網域控制站的路徑: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Active Directory 輕量型目錄服務 (AD LDS) 伺服器的路徑: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD 值: 0 表示「停用」。 系統不會執行通道繫結驗證。 這是所有尚未進行更新的伺服器採取的行為。
-
DWORD 值: 1 表示「啟用」(若支援的話)。 若用戶端所執行的 Windows 版本已更新為支援通道繫結權杖 (CBT),則必須將通道繫結資訊提供給伺服器。 若用戶端執行的 Windows 版本尚未更新為支援 CBT,則不必提供。 這是允許應用程式相容性的中繼選項。
-
DWORD 值: 2 表示「永遠啟用」。 所有用戶端都必須提供通道繫結資訊。 伺服器會針對從尚未提供資訊的用戶端所傳送的驗證要求,予以拒絕。
注意事項
-
在網域控制站啟用這個設定之前,用戶端必須先安裝 CVE-2017-8563 中所述的安全性更新。 否則,可能會引發相容性問題,並且先前可行、透過 SSL/TLS 的 LDAP 驗證要求可能無法再使用。 根據預設,這個設定是停用的。
-
必須明確地建立 LdapEnforceChannelBindings 登錄項目。
-
LDAP 伺服器會以動態方式回應此登錄項目的變更。 因此,套用登錄變更之後,不需要重新啟動電腦。
為了讓與舊版作業系統版本 (Windows Server 2008 以前的版本) 的相容性發揮最大作用,建議您啟用這個設定並將值設為 1。
若要明確地停用設定,請將 LdapEnforceChannelBinding 項目設定為 0 (零)。
安裝 CVE-2017-8563 前,Windows Server 2008 和舊版系統必須先安裝<KB 968389 驗證延伸保護>中提供的 Microsoft 資訊安全諮詢 973811。 如果您在網域控制站或 AD LDS 執行個體上安裝 CVE-2017-8563 而未先安裝 KB 968389,所有 LDAPS 連線將會失敗,並出現 LDAP 錯誤 81 - LDAP_SERVER_DOWN。 此外,強烈建議您也檢閱並安裝 KB 968389<已知問題>一節所述的修正程式。