De registervermelding LdapEnforceChannelBinding Gebruik LDAP-verificatie via SSL/TLS om veiliger te maken

Van toepassing: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

Samenvatting


CVE-2017-8563 introduceert een registerinstelling waarmee beheerders kunt LDAP-verificatie via SSL/TLS beter beveiligen.

Meer informatie


Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:

322756 Een back-up maken en het register terugzetten in Windows

 

Beheerders kunnen de volgende registerinstellingen configureren om veiliger maken van LDAP-verificatie via SSL\TLS.

  • Pad voor domeincontrollers voor Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Pad voor servers in Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\< naam LDS-exemplaar >\Parameters
  • DWORD: LdapEnforceChannelBinding
  • DWORD-waarde: 0 betekent uitgeschakeld. Geen kanaal binding wordt niet gevalideerd. Dit is het gedrag van alle servers die niet zijn bijgewerkt.
  • DWORD-waarde: 1 betekent ingeschakeld, indien ondersteund. Alle clients die worden uitgevoerd op een versie van Windows die is bijgewerkt voor de ondersteuning van kanaal binding tokens (CBT) verstrekt informatie over kanaal de binding met de server. Clients waarop een versie van Windows die niet is bijgewerkt ter ondersteuning van CBT hoeft niet te doen. Dit is een tussenliggende optie waarmee de compatibiliteit van toepassingen.
  • DWORD-waarde: 2 geeft aan altijd ingeschakeld. Alle clients verstrekt informatie over de binding van kanaal. De server weigert verificatieaanvragen voor van clients die niet doet.

Opmerkingen

  • Voordat u deze instelling op een domeincontroller inschakelt, moeten clients de beveiligingsupdate die wordt beschreven in CVE-2017-8563installeren. Anders kunnen compatibiliteitsproblemen ontstaan en verificatieaanvragen LDAP via SSL/TLS, die eerder wel werkten niet meer werkt. Deze instelling is standaard uitgeschakeld.
  • De registervermelding LdapEnforceChannelBindings moet expliciet worden gemaakt.
  • LDAP-server reageert dynamisch op wijzigingen in deze registervermelding. Dus hebt niet om de computer opnieuw opstarten nadat u de wijziging in het register.


Voor optimale compatibiliteit met oudere versies van besturingssystemen (Windows Server 2008 en eerdere versies), wordt u aangeraden deze instelling met een waarde van 1in te schakelen.

Om expliciet de instelling is uitgeschakeld, stelt u de vermelding LdapEnforceChannelBinding op 0 (nul).

Windows Server 2008 en oudere systemen vereisen dat Microsoft-beveiligingsadvies 973811, beschikbaar in ' KB 968389 uitgebreide beveiliging voor verificatie ', worden geïnstalleerd voordat de CVE-2017-8563 installeren. Als u CVE-2017-8563 zonder KB 968389 op een domeincontroller of AD LDS-exemplaar installeert, niet alle LDAPS-verbindingen met de LDAP-fout 81 - LDAP_SERVER_DOWN. Bovendien aanbevolen we sterk dat u ook bekijken en installeren van de correcties die zijn beschreven in de sectie bekende problemen van KB 968389.