Samenvatting
CVE-2017-8563 introduceert een registerinstelling die beheerders kunnen gebruiken om LDAP-verificatie via SSL/TLS veiliger te maken.
Meer informatie
Belangrijk Deze sectie, methode of taak bevat stappen die u laten zien hoe u het register kunt wijzigen. Er kunnen echter ernstige problemen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig volgt. Voor extra beveiliging maakt u een back-up van het register voordat u het wijzigt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het maken van een back-up en het herstellen van het register:
322756 Een back-up maken van het register en het herstellen in Windows
Beheerders kunnen de volgende registerinstellingen configureren om LDAP-verificatie via SSL\TLS beter te beveiligen:
-
Pad voor Active Directory Domain Services (AD DS)-domeincontrollers: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Pad voor AD LDS-servers (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-exemplaarnaam>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-waarde: 0 geeft uitgeschakeld aan. Er wordt geen kanaalbindingsvalidatie uitgevoerd. Dit is het gedrag van alle servers die niet zijn bijgewerkt.
-
DWORD-waarde: 1 geeft ingeschakeld aan, indien ondersteund. Alle clients die worden uitgevoerd op een versie van Windows die is bijgewerkt om kanaalbindingstokens (CBT) te ondersteunen, moeten kanaalbindingsgegevens verstrekken aan de server. Clients met een versie van Windows die niet is bijgewerkt om CGT te ondersteunen, hoeven dit niet te doen. Dit is een tussenliggende optie die toepassingscompatibiliteit mogelijk maakt.
-
DWORD-waarde: 2 geeft aan dat is ingeschakeld, altijd. Alle clients moeten kanaalbindingsgegevens opgeven. De server weigert verificatieaanvragen van clients die dit niet doen.
Opmerkingen
-
Voordat u deze instelling inschakelt op een domeincontroller, moeten clients de beveiligingsupdate installeren die wordt beschreven in CVE-2017-8563. Anders kunnen er compatibiliteitsproblemen optreden en werken LDAP-verificatieaanvragen via SSL/TLS die eerder werkten mogelijk niet meer. Deze instelling is standaard uitgeschakeld.
-
De registervermelding LdapEnforceChannelBindings moet expliciet worden gemaakt.
-
LDAP-server reageert dynamisch op wijzigingen in deze registervermelding. Daarom hoeft u de computer niet opnieuw op te starten nadat u de registerwijziging hebt toegepast.
Als u de compatibiliteit met oudere versies van besturingssystemen (Windows Server 2008 en eerdere versies) wilt maximaliseren, raden we u aan deze instelling in te schakelen met de waarde 1. Als u de instelling expliciet wilt uitschakelen, stelt u de vermelding LdapEnforceChannelBinding in op 0 (nul).
Windows Server 2008 en oudere systemen vereisen dat Microsoft Security Advisory 973811, beschikbaar in 'KB5021989 Uitgebreide beveiliging voor verificatie', worden geïnstalleerd voordat u CVE-2017-8563 installeert. Als u CVE-2017-8563 zonder KB5021989 installeert op een domeincontroller of AD LDS-exemplaar, mislukken alle LDAPS-verbindingen met LDAP-fout 81 - LDAP_SERVER_DOWN.
Gerelateerde informatie
Zie KB4520412 voor meer informatie.