Verwenden des LdapEnforceChannelBinding-Registrierungseintrags, um die Sicherheit der LDAP-Authentifizierung über SSL/TLS zu verbessern

Gilt für: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

Zusammenfassung


Mit CVE-2017-8563 wird eine neue Registrierungseinstellung eingeführt, mit der Administratoren die Sicherheit der LDAP-Authentifizierung über SSL/TLS verbessern können.

Weitere Informationen


Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

 

Administratoren können die folgenden Registrierungseinstellungen konfigurieren, um die Sicherheit der LDAP-Authentifizierung über SSL\TLS zu verbessern:

  • Pfad für Active Directory Domain Services (AD DS)-Domänencontroller: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Pfad für Active Directory Lightweight Directory Services (AD LDS)-Server: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-Instanzname>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD-Wert: 0 bedeutet deaktiviert. Die Kanalbindung wird nicht validiert. Dies ist das Standardverhalten auf allen Servern, die nicht aktualisiert wurden.
  • DWORD-Wert: 1 bedeutet aktiviert, falls unterstützt. Alle Clients, deren Windows-Version aktualisiert wurde, um Kanalbindungstoken (CBT) zu unterstützen, müssen dem Server Kanalbindungstoken vorlegen. Clients mit Windows-Versionen, die nicht für die Unterstützung von CBT aktualisiert wurden, müssen dies nicht tun. Diese Kompromisslösung kann verwendet werden, um die Anwendungskompatibilität zu verbessern.
  • DWORD-Wert: 2 bedeutet aktiviert, immer. Alle Clients müssen Kanalbindungsinformationen vorlegen. Der Server lehnt Authentifizierungsanfragen von Clients ab, die dies nicht beachten.

Hinweise

  • Bevor Sie diese Einstellung auf einem Domänencontroller aktivieren, müssen Sie auf den Clients das in CVE-2017-8563 beschriebene Sicherheitsupdate installieren. Andernfalls können Kompatibilitätsprobleme auftreten, und es kann passieren, dass LDAP-Authentifizierungsanfragen über SSL/TLS, die bisher funktioniert haben, abgelehnt werden. Diese Einstellung ist standardmäßig deaktiviert.
  • Der Registrierungseintrag LdapEnforceChannelBindings muss explizit erstellt werden.
  • Der LDAP-Server reagiert dynamisch auf Änderungen an diesem Registrierungseintrag. Daher müssen Sie den Computer nicht neu starten, nachdem Sie die Registrierungsänderung vorgenommen haben.


Um die Kompatibilität mit älteren Betriebssystemversionen (Windows Server 2008 und ältere Versionen) zu optimieren, empfehlen wir, diese Einstellung mit dem Wert 1 zu aktivieren.

Legen Sie den Wert für den Eintrag LdapEnforceChannelBinding auf 0 (Null) fest, um diese Einstellung explizit zu deaktivieren.

Für Windows Server 2008 und ältere Systeme muss die Microsoft-Sicherheitsempfehlung 973811, die in „KB 968389 Erweiterter Schutz für die Authentifizierung“ verfügbar ist, vor CVE-2017-8563 installiert werden. Wenn Sie CVE-2017-8563 ohne KB 968389 auf einem Domänencontroller oder einer AD LDS-Instanz installieren, schlagen alle LDAPS-Verbindung mit der LDAP-Fehlermeldung 81 – LDAP_SERVER_DOWN fehl. Darüber hinaus empfehlen wir dringend, auch die im Abschnitt „Bekannte Probleme“ von KB 968389 dokumentierten Fehlerbehebungen zu prüfen und zu installieren.