Rangkuman
CVE-2017-8563 memperkenalkan pengaturan registri yang dapat digunakan administrator untuk membantu membuat autentikasi LDAP melalui SSL/TLS lebih aman.
Informasi Selengkapnya
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara mencadangkan dan memulihkan registri di Windows
Untuk membantu membuat autentikasi LDAP melalui SSL\TLS lebih aman, administrator dapat mengonfigurasi pengaturan registri berikut:
-
Jalur untuk Active Directory Domain Services (AD DS) pengontrol domain: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Jalur untuk server Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ nama instans LDS<>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Nilai DWORD: 0 menunjukkan dinonaktifkan. Tidak ada validasi pengikat saluran yang dilakukan. Ini adalah perilaku semua server yang belum diperbarui.
-
Nilai DWORD: 1 menunjukkan diaktifkan, saat didukung. Semua klien yang berjalan pada versi Windows yang telah diperbarui untuk mendukung token pengikat saluran (CBT) harus menyediakan informasi pengikat saluran ke server. Klien yang menjalankan versi Windows yang belum diperbarui untuk mendukung CBT tidak perlu melakukannya. Ini adalah opsi menengah yang memungkinkan kompatibilitas aplikasi.
-
Nilai DWORD: 2 menunjukkan selalu diaktifkan. Semua klien harus menyediakan informasi pengikat saluran. Server menolak permintaan autentikasi dari klien yang tidak melakukannya.
Catatan
-
Sebelum Mengaktifkan pengaturan ini pada Pengontrol Domain, klien harus menginstal pembaruan keamanan yang dijelaskan di CVE-2017-8563. Jika tidak, masalah kompatibilitas mungkin muncul, dan permintaan autentikasi LDAP melalui SSL/TLS yang sebelumnya berfungsi mungkin tidak lagi berfungsi. Secara default, pengaturan ini dinonaktifkan.
-
Entri registri LdapEnforceChannelBindings harus dibuat secara eksplisit.
-
Server LDAP merespons perubahan entri registri ini secara dinamis. Oleh karena itu, Anda tidak perlu memulai ulang komputer setelah Anda menerapkan perubahan registri.
Untuk memaksimalkan kompatibilitas dengan versi sistem operasi yang lebih lama (Windows Server 2008 dan versi yang lebih lama), sebaiknya aktifkan pengaturan ini dengan nilai 1. Untuk menonaktifkan pengaturan secara eksplisit, atur entri LdapEnforceChannelBinding ke 0 (nol).
Windows Server 2008 dan sistem yang lebih lama mengharuskan Konsultan Keamanan Microsoft 973811, tersedia dalam "KB5021989 Extended Protection for Authentication", diinstal sebelum menginstal CVE-2017-8563. Jika Anda menginstal CVE-2017-8563 tanpa KB5021989 pada pengontrol Domain atau instans LDS AD, semua koneksi LDAPS akan gagal dengan kesalahan LDAP 81 - LDAP_SERVER_DOWN.
Informasi terkait
Untuk informasi selengkapnya, lihat KB4520412.