Zusammenfassung
Mit CVE-2017-8563 wird eine neue Registrierungseinstellung eingeführt, mit der Administratoren die Sicherheit der LDAP-Authentifizierung über SSL/TLS verbessern können.
Weitere Informationen
Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Administratoren können die folgenden Registrierungseinstellungen konfigurieren, um die Sicherheit der LDAP-Authentifizierung über SSL\TLS zu verbessern:
-
Pfad für Active Directory Domain Services (AD DS)-Domänencontroller: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
-
Pfad für Active Directory Lightweight Directory Services (AD LDS)-Server: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS-Instanzname>\Parameters
-
DWORD: LdapEnforceChannelBinding
-
DWORD-Wert: 0 bedeutet deaktiviert. Die Kanalbindung wird nicht validiert. Dies ist das Standardverhalten auf allen Servern, die nicht aktualisiert wurden.
-
DWORD-Wert: 1 bedeutet aktiviert, falls unterstützt. Alle Clients, deren Windows-Version aktualisiert wurde, um Kanalbindungstoken (CBT) zu unterstützen, müssen dem Server Kanalbindungstoken vorlegen. Clients mit Windows-Versionen, die nicht für die Unterstützung von CBT aktualisiert wurden, müssen dies nicht tun. Diese Kompromisslösung kann verwendet werden, um die Anwendungskompatibilität zu verbessern.
-
DWORD-Wert: 2 bedeutet aktiviert, immer. Alle Clients müssen Kanalbindungsinformationen vorlegen. Der Server lehnt Authentifizierungsanfragen von Clients ab, die dies nicht beachten.
Hinweise
-
Bevor Sie diese Einstellung auf einem Domänencontroller aktivieren, müssen Sie auf den Clients das in CVE-2017-8563 beschriebene Sicherheitsupdate installieren. Andernfalls können Kompatibilitätsprobleme auftreten, und es kann passieren, dass LDAP-Authentifizierungsanfragen über SSL/TLS, die bisher funktioniert haben, abgelehnt werden. Diese Einstellung ist standardmäßig deaktiviert.
-
Der Registrierungseintrag LdapEnforceChannelBindings muss explizit erstellt werden.
-
Der LDAP-Server reagiert dynamisch auf Änderungen an diesem Registrierungseintrag. Daher müssen Sie den Computer nicht neu starten, nachdem Sie die Registrierungsänderung vorgenommen haben.
Um die Kompatibilität mit älteren Betriebssystemversionen (Windows Server 2008 und ältere Versionen) zu optimieren, empfehlen wir, diese Einstellung mit dem Wert 1 zu aktivieren.
Legen Sie den Wert für den Eintrag LdapEnforceChannelBinding auf 0 (Null) fest, um diese Einstellung explizit zu deaktivieren.
Für Windows Server 2008 und ältere Systeme muss die Microsoft-Sicherheitsempfehlung 973811, die in „KB 968389 Erweiterter Schutz für die Authentifizierung“ verfügbar ist, vor dem Installieren von CVE-2017-8563 installiert werden. Wenn Sie CVE-2017-8563 ohne KB 968389 auf einem Domänencontroller oder einer AD LDS-Instanz installieren, schlagen alle LDAPS-Verbindungen mit der LDAP-Fehlermeldung „81 - LDAP_SERVER_DOWN“ fehl. Darüber hinaus empfehlen wir dringend, auch die im Abschnitt „Bekannte Probleme“ von KB 968389 dokumentierten Fehlerbehebungen zu prüfen und zu installieren.