Riassunto
CVE-2017-8563 introduce un'impostazione del Registro di sistema che gli amministratori possono usare per rendere più sicura l'autenticazione LDAP tramite SSL/TLS.
Altre informazioni
Importante Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo caso, è possibile ripristinare il Registro di sistema in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Per rendere più sicura l'autenticazione LDAP tramite SSL\TLS, gli amministratori possono configurare le impostazioni del Registro di sistema seguenti:
-
Percorso per i controller di dominio di Active Directory Domain Services :Path for Active Directory Domain Services (AD DS) domain controllers: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Percorso per i server Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome istanza LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Valore DWORD: 0 indica disabilitato. Non viene eseguita alcuna convalida del binding di canale. Si tratta del comportamento di tutti i server che non sono stati aggiornati.
-
Valore DWORD: 1 indica abilitato, se supportato. Tutti i client in esecuzione in una versione di Windows aggiornata per supportare i token di binding di canale (CBT) devono fornire informazioni di associazione dei canali al server. I client che eseguono una versione di Windows che non è stata aggiornata per supportare CBT non devono necessariamente farlo. Questa è un'opzione intermedia che consente la compatibilità delle applicazioni.
-
Valore DWORD: 2 indica abilitato, sempre. Tutti i client devono fornire informazioni sul binding di canale. Il server rifiuta le richieste di autenticazione dei client che non lo fanno.
Note
-
Prima di abilitare questa impostazione in un controller di dominio, i client devono installare l'aggiornamento della sicurezza descritto in CVE-2017-8563. In caso contrario, potrebbero verificarsi problemi di compatibilità e le richieste di autenticazione LDAP su SSL/TLS che in precedenza funzionavano potrebbero non funzionare più. Per impostazione predefinita, questa impostazione è disabilitata.
-
La voce del Registro di sistema LdapEnforceChannelBindings deve essere creata in modo esplicito.
-
Il server LDAP risponde dinamicamente alle modifiche apportate a questa voce del Registro di sistema. Di conseguenza, non è necessario riavviare il computer dopo aver applicato la modifica del Registro di sistema.
Per ottimizzare la compatibilità con le versioni precedenti del sistema operativo (Windows Server 2008 e versioni precedenti), è consigliabile abilitare questa impostazione con un valore pari a 1.Per disabilitare in modo esplicito l'impostazione, impostare la voce LdapEnforceChannelBinding su 0 (zero).
Windows Server 2008 e sistemi precedenti richiedono che l'avviso di sicurezza Microsoft 973811, disponibile in "Protezione estesa per l'autenticazione KB5021989 ", sia installato prima di installare CVE-2017-8563. Se si installa CVE-2017-8563 senza KB5021989 in un controller di dominio o un'istanza di AD LDS, tutte le connessioni LDAPS non riusciranno con l'errore LDAP 81 - LDAP_SERVER_DOWN.
Informazioni correlate
Per altre informazioni, vedi KB4520412.
