Povzetek
CVE-2017-8563 uvaja nastavitev registra, s katero lahko skrbniki pomagajo zaščititi preverjanje pristnosti protokola LDAP prek protokola SSL/TLS.
Več informacij
Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka iz Microsoftove zbirke znanja:
322756 Varnostno kopiranje in obnavljanje registra v sistemu Windows
Če želite, da je preverjanje pristnosti protokola LDAP prek SSL\TLS varnejše, lahko skrbniki konfigurirajo te nastavitve registra:
-
Pot za domenske storitve Active Directory domene (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Pot za strežnike imenika Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<primerka LDS>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
Vrednost DWORD: 0 pomeni , da je onemogočena. Preverjanje veljavnosti vezave kanala ni izvedeno. To je vedenje vseh strežnikov, ki še niso bili posodobljeni.
-
Vrednost DWORD: 1 označuje omogočeno , če je podprto. Vsi odjemalci, ki se izvajajo v različici sistema Windows, ki je bila posodobljena tako, da podpirajo žetone za povezovanje kanalov (CBT), morajo strežniku zagotoviti informacije o vezavah kanalov. Strankam, v katerih se izvaja različica sistema Windows, ki še ni bila posodobljena, da bi podpirali trenutno vejo vejo o trenutno vejo, tega ni treba narediti. To je vmesna možnost, ki omogoča združljivost aplikacij.
-
Vrednost DWORD: 2 označuje omogočeno, vedno. Vsi odjemalci morajo zagotoviti informacije o vezavu kanala. Strežnik zavrne zahteve za preverjanje pristnosti iz odjemalcev, ki tega ne storijo.
Opombe
-
Preden omogočite to nastavitev v krmilniku domene, morajo odjemalci namestiti varnostno posodobitev, ki je opisana v CVE-2017-8563. V nasprotnem primeru lahko pride do težav z združljivostjo in zahteve za preverjanje pristnosti protokola LDAP prek protokola SSL/TLS, ki so prej delovale, morda ne bodo več delovale. Ta nastavitev je privzeto onemogočena.
-
Vnos v register LdapEnforceChannelBindings mora biti ustvarjen izrecno.
-
Strežnik LDAP se dinamično odzove na spremembe tega vnosa v register. Zato vam ni treba znova zagnati računalnika, ko uporabite spremembo registra.
Če želite kar najbolje povečati združljivost s starejšimi različicami operacijskega sistema (Windows Server 2008 in starejše različice), priporočamo, da omogočite to nastavitev z vrednostjo 1. Če želite izrecno onemogočiti nastavitev, nastavite vnos LdapEnforceChannelBinding na 0 (nič).
Windows Server 2008 in starejši sistemi zahtevajo, da je pred namestitvijo CVE-2017-8563 nameščen Program Microsoft Security Advisory 973811, ki je na voljo v članku »Razširjena zaščita pred preverjanjem pristnosti KB5021989 «. Če namestite CVE-2017-8563 brez KB5021989 v krmilnik domene ali primerek AD LDS, vse povezave LDAPS ne bodo uspele z napako 81 – LDAP_SERVER_DOWN LDAP.
Povezane informacije
Če želite več informacij, glejte posodobitev KB4520412.