Zusammenfassung
Mit CVE-2017-8563 wird eine neue Registrierungseinstellung eingeführt, mit der Administratoren die Sicherheit der LDAP-Authentifizierung über SSL/TLS verbessern können.
Weitere Informationen
Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Administratoren können die folgenden Registrierungseinstellungen konfigurieren, um die Sicherheit der LDAP-Authentifizierung über SSL\TLS zu verbessern:
-
Pfad für Active Directory Domain Services (AD DS)-Domänencontroller: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Pfad für Active Directory Lightweight Directory Services (AD LDS)-Server: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-Instanzname>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-Wert: 0 bedeutetdeaktiviert. Die Kanalbindung wird nicht validiert. Dies ist das Standardverhalten auf allen Servern, die nicht aktualisiert wurden.
-
DWORD-Wert: 1 bedeutet aktiviert, wenn dies unterstützt wird. Alle Clients, deren Windows-Version aktualisiert wurde, um Kanalbindungstoken (CBT) zu unterstützen, müssen dem Server Kanalbindungstoken vorlegen. Clients mit Windows-Versionen, die nicht für die Unterstützung von CBT aktualisiert wurden, müssen dies nicht tun. Diese Kompromisslösung kann verwendet werden, um die Anwendungskompatibilität zu verbessern.
-
DWORD-Wert: 2 bedeutet immer aktiviert. Alle Clients müssen Kanalbindungsinformationen vorlegen. Der Server lehnt Authentifizierungsanfragen von Clients ab, die dies nicht beachten.
Notizen
-
Bevor Sie diese Einstellung auf einem Domänencontroller aktivieren, müssen Clients das in CVE-2017-8563beschriebene Sicherheitsupdate installieren. Andernfalls können Kompatibilitätsprobleme auftreten, und es kann passieren, dass LDAP-Authentifizierungsanfragen über SSL/TLS, die bisher funktioniert haben, abgelehnt werden. Diese Einstellung ist standardmäßig deaktiviert.
-
Der Registrierungseintrag LdapEnforceChannelBindings muss explizit erstellt werden.
-
Der LDAP-Server reagiert dynamisch auf Änderungen an diesem Registrierungseintrag. Daher müssen Sie den Computer nicht neu starten, nachdem Sie die Registrierungsänderung vorgenommen haben.
Um die Kompatibilität mit älteren Betriebssystemversionen (Windows Server 2008 und frühere Versionen) zu maximieren, wird empfohlen, diese Einstellung mit dem Wert 1zu aktivieren. Um die Einstellung explizit zu deaktivieren, legen Sie den LdapEnforceChannelBinding-Eintrag auf 0 (null) fest.
Windows Server 2008 und ältere Systeme erfordern, dass die Microsoft-Sicherheitsempfehlung 973811, die in „KB5021989 Erweiterter Schutz für die Authentifizierung“ verfügbar ist, vor der Installation von CVE-2017-8563 installiert wird. Wenn Sie CVE-2017-8563 ohne KB5021989 auf einem Domänencontroller oder einer AD LDS-Instanz installieren, tritt bei allen LDAPS-Verbindungen der LDAP-Fehler 81 – LDAP_SERVER_DOWN auf.
Verwandte Informationen
Weitere Informationen finden Sie unter KB4520412.