Resumo
O CVE-2017-8563 introduz uma definição de registo que os administradores podem utilizar para ajudar a tornar a autenticação LDAP através de SSL/TLS mais segura.
Mais Informações
Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para proteção adicional, faça uma cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer uma cópia de segurança e restaurar o registo no Windows
Para ajudar a tornar a autenticação LDAP através de SSL\TLS mais segura, os administradores podem configurar as seguintes definições de registo:
-
Caminho para controladores de domínio do Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Caminho para servidores do Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome da instância LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Valor DWORD: 0 indica desativado. Não é efetuada nenhuma validação de enlace de canal. Este é o comportamento de todos os servidores que não foram atualizados.
-
O valor DWORD: 1 indica ativado, quando suportado. Todos os clientes em execução numa versão do Windows que tenha sido atualizada para suportar tokens de enlace de canal (CBT) têm de fornecer informações de enlace de canal ao servidor. Os clientes que executem uma versão do Windows que não tenha sido atualizada para suportar CBT não têm de o fazer. Esta é uma opção intermédia que permite a compatibilidade da aplicação.
-
Valor DWORD: 2 indica ativado, sempre. Todos os clientes têm de fornecer informações de enlace de canal. O servidor rejeita pedidos de autenticação de clientes que não o fazem.
Notas
-
Antes de ativar esta definição num Controlador de Domínio, os clientes têm de instalar a atualização de segurança descrita em CVE-2017-8563. Caso contrário, poderão surgir problemas de compatibilidade e os pedidos de autenticação LDAP através de SSL/TLS que anteriormente funcionavam podem deixar de funcionar. Por predefinição, esta definição está desativada.
-
A entrada de registo LdapEnforceChannelBindings tem de ser criada explicitamente.
-
O servidor LDAP responde dinamicamente às alterações a esta entrada de registo. Por conseguinte, não tem de reiniciar o computador depois de aplicar a alteração do registo.
Para maximizar a compatibilidade com versões mais antigas do sistema operativo (Windows Server 2008 e versões anteriores), recomendamos que ative esta definição com um valor de 1.Para desativar explicitamente a definição, defina a entrada LdapEnforceChannelBinding como 0 (zero).
O Windows Server 2008 e os sistemas mais antigos exigem que o 973811 de Aconselhamento de Segurança da Microsoft, disponível em "Proteção Alargada para Autenticação KB5021989 ", seja instalado antes de instalar o CVE-2017-8563. Se instalar o CVE-2017-8563 sem a KB5021989 num Controlador de domínio ou instância do AD LDS, todas as ligações LDAPS falharão com o erro LDAP 81 - LDAP_SERVER_DOWN.
Informações relacionadas
Para obter mais informações, consulte KB4520412.
