Overzicht
CVE-2017-8563 introduceert een registerinstelling die beheerders kunnen gebruiken om LDAP-verificatie via SSL/TLS veiliger te maken.
Meer informatie
Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Er kunnen echter ernstige problemen optreden als u het register verkeerd wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Zorg er als extra beveiligingsmaatregel voor dat u een back-up van het register maakt voordat u hierin wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
322756 Een back-up maken van het register en het herstellen in Windows
Beheerders kunnen de volgende registerinstellingen configureren om LDAP-verificatie via SSL\TLS veiliger te maken:
- Pad voor Active Directory Domain Services-domeincontrollers (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Pad voor AD LDS-servers (Active Directory Lightweight Directory Services): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\naam van <LDS-exemplaar>\Parameters
- DWORD: LdapEnforceChannelBinding
- DWORD-waarde:0 geeft uitgeschakeld aan. Er wordt geen kanaalbindingsvalidatie uitgevoerd. Dit is het gedrag van alle servers die niet zijn bijgewerkt.
- DWORD-waarde:1 geeft ingeschakeld aan, indien ondersteund. Alle clients die worden uitgevoerd op een versie van Windows die is bijgewerkt om CBT (channel binding tokens) te ondersteunen, moeten informatie over kanaalbinding doorgeven aan de server. Clients met een versie van Windows die niet is bijgewerkt om CBT te ondersteunen, hoeven dit niet te doen. Dit is een tussenliggende optie die toepassingscompatibiliteit mogelijk maakt.
- DWORD-waarde:2 geeft ingeschakeld aan, altijd. Alle klanten moeten bindende informatie over kanalen verstrekken. De server weigert verificatieaanvragen van clients die dit niet doen.
Opmerkingen
- Voordat u deze instelling inschakelt op een domeincontroller, moeten clients de beveiligingsupdate installeren die wordt beschreven in CVE-2017-8563. Anders kunnen er compatibiliteitsproblemen ontstaan en werken aanvragen voor LDAP-verificatie via SSL/TLS die voorheen wel werkten, mogelijk niet meer. Deze instelling is standaard uitgeschakeld.
- De registervermelding LdapEnforceChannelBindings moet expliciet worden gemaakt.
- De LDAP-server reageert dynamisch op wijzigingen in deze registervermelding. U hoeft de computer dus niet opnieuw op te starten nadat u de registerwijziging hebt doorgevoerd.
Voor een maximale compatibiliteit met oudere versies van het besturingssysteem (Windows Server 2008 en eerdere versies), wordt u aangeraden deze instelling in te schakelen met de waarde 1.
Als u de instelling expliciet wilt uitschakelen, stelt u de vermelding LdapEnforceChannelBinding in op 0 (nul).
Windows Server systemen van 2008 en ouder moeten Microsoft Beveiliging Advisory 973811, beschikbaar in 'KB5021989 Extended Protection for Authentication', worden geïnstalleerd voordat CVE-2017-8563 wordt geïnstalleerd. Als u CVE-2017-8563 zonder KB5021989 installeert op een domeincontroller of AD LDS-exemplaar, mislukken alle LDAPS-verbindingen met LDAP-fout 81 - LDAP_SERVER_DOWN.
Gerelateerde informatie
Zie KB4520412 voor meer informatie.