KB4034879: Gebruik de registervermelding LdapEnforceChannelBinding om LDAP-verificatie via SSL/TLS veiliger te maken

Van toepassing op
Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows 10, version 1703, all editions Windows Server 2022 Windows Server 2019

Overzicht

CVE-2017-8563 introduceert een registerinstelling die beheerders kunnen gebruiken om LDAP-verificatie via SSL/TLS veiliger te maken.

Meer informatie

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Er kunnen echter ernstige problemen optreden als u het register verkeerd wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Zorg er als extra beveiligingsmaatregel voor dat u een back-up van het register maakt voordat u hierin wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

322756 Een back-up maken van het register en het herstellen in Windows

Beheerders kunnen de volgende registerinstellingen configureren om LDAP-verificatie via SSL\TLS veiliger te maken:

  • Pad voor Active Directory Domain Services-domeincontrollers (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Pad voor AD LDS-servers (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\naam van <LDS-exemplaar>\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD-waarde:0 geeft uitgeschakeld aan. Er wordt geen kanaalbindingsvalidatie uitgevoerd. Dit is het gedrag van alle servers die niet zijn bijgewerkt.
  • DWORD-waarde:1 geeft ingeschakeld aan, indien ondersteund. Alle clients die worden uitgevoerd op een versie van Windows die is bijgewerkt om CBT (channel binding tokens) te ondersteunen, moeten informatie over kanaalbinding doorgeven aan de server. Clients met een versie van Windows die niet is bijgewerkt om CBT te ondersteunen, hoeven dit niet te doen. Dit is een tussenliggende optie die toepassingscompatibiliteit mogelijk maakt.
  • DWORD-waarde:2 geeft ingeschakeld aan, altijd. Alle klanten moeten bindende informatie over kanalen verstrekken. De server weigert verificatieaanvragen van clients die dit niet doen.

Opmerkingen

  • Voordat u deze instelling inschakelt op een domeincontroller, moeten clients de beveiligingsupdate installeren die wordt beschreven in CVE-2017-8563. Anders kunnen er compatibiliteitsproblemen ontstaan en werken aanvragen voor LDAP-verificatie via SSL/TLS die voorheen wel werkten, mogelijk niet meer. Deze instelling is standaard uitgeschakeld.
  • De registervermelding LdapEnforceChannelBindings moet expliciet worden gemaakt.
  • De LDAP-server reageert dynamisch op wijzigingen in deze registervermelding. U hoeft de computer dus niet opnieuw op te starten nadat u de registerwijziging hebt doorgevoerd.

Voor een maximale compatibiliteit met oudere versies van het besturingssysteem (Windows Server 2008 en eerdere versies), wordt u aangeraden deze instelling in te schakelen met de waarde 1.

Als u de instelling expliciet wilt uitschakelen, stelt u de vermelding LdapEnforceChannelBinding in op 0 (nul).

Windows Server systemen van 2008 en ouder moeten Microsoft Beveiliging Advisory 973811, beschikbaar in 'KB5021989 Extended Protection for Authentication', worden geïnstalleerd voordat CVE-2017-8563 wordt geïnstalleerd. Als u CVE-2017-8563 zonder KB5021989 installeert op een domeincontroller of AD LDS-exemplaar, mislukken alle LDAPS-verbindingen met LDAP-fout 81 - LDAP_SERVER_DOWN.

Zie KB4520412 voor meer informatie.