Rezime
CVE-2017-8563 uvodi postavku registratora koju administratori mogu da koriste kako bi učinili LDAP potvrdu identiteta bezbednijom putem SSL/TLS-a.
Više informacija
Vaћno Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Za više informacija o tome kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje, kliknite na sledeći broj članka da biste ga prikazali u Microsoft bazi znanja:
322756 Kako da napravite rezervnu kopiju i vratite registrator u prethodno stanje u operativnom sistemu Windows
Da bi pomogli da LDAP potvrda identiteta preko SSL\TLS bude bezbednija, administratori mogu da konfiguriše sledeće postavke registratora:
-
Putanja do Usluge domena aktivnog direktorijuma (AD DS) kontrolera domena: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Putanja za Active Directory Lightweight Directory Services (AD LDS) servere: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD vrednost: 0 ukazuje na onemogućeno. Ne izvršava se validacija povezivanja kanala. Ovo je ponašanje svih servera koji nisu ažurirani.
-
DWORD vrednost: 1 ukazuje na omogućeno, kada je podržano. Svi klijenti koji rade na verziji operativnog sistema Windows koji su ažurirani tako da podržavaju tokene povezivanja kanala (CBT) moraju da obezbede informacije o povezivanja kanala serveru. Klijenti koji rade pod verzijom operativnog sistema Windows koja nije ažurirana tako da podržava CBT ne treba to da rade. Ovo je posredna opcija koja omogućava kompatibilnost aplikacije.
-
DWORD vrednost: 2 ukazuje uvek na omogućeno. Svi klijenti moraju da obezbede informacije o povezivanja kanala. Server odbija zahteve za potvrdu identiteta od klijenata koji to ne rade.
Beleške
-
Pre nego što omogućite ovu postavku na kontroleru domena, klijenti moraju da instaliraju bezbednosnu ispravku opisanu u verziji CVE-2017-8563. U suprotnom, može doći do problema sa kompatibilnošću i zahtevi za LDAP potvrdu identiteta putem SSL/TLS-a koji su prethodno radili možda više neće funkcionisati. Ova postavka je podrazumevano onemogućena.
-
Stavka registratora LdapEnforceChannelBindings mora biti izričito kreirana.
-
LDAP server dinamički reaguje na promene u ovoj stavki registratora. Zbog toga ne morate ponovo da pokrenete računar kada primenite promenu registratora.
Da biste povećali kompatibilnost sa starijim verzijama operativnog sistema (Windows Server 2008 i starijim verzijama), preporučujemo da omogućite ovu postavku sa vrednošću 1.Da biste izričito onemogućili postavku, postavite stavku LdapEnforceChannelBinding na 0 (nula).
Windows Server 2008 i stariji sistemi zahtevaju da microsoft bezbednosni savet 973811, koji je dostupan u odeljku "Proširena zaštita za potvrdu identiteta KB5021989 ", bude instaliran pre nego što instalirate CVE-2017-8563. Ako instalirate CVE-2017-8563 bez KB5021989 na kontroleru domena ili AD LDS instanci, sve LDAPS veze neće uspeti sa LDAP greškom 81 – LDAP_SERVER_DOWN.
Srodne informacije
Više informacija potražite u članku KB4520412.
