Gebruik de registervermelding LdapEnforceChannelBinding om LDAP-verificatie via SSL/TLS veiliger te maken

Van toepassing: Windows Server 2016 DatacenterWindows Server 2016 EssentialsWindows Server 2016 Standard

Samenvatting


Met CVE-2017-8563 wordt een registerinstelling geïntroduceerd waarmee beheerders de authenticatie van LDAP via SSL/TLS veiliger kunnen maken.

Meer informatie


Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

322756 Een back-up nemen en het herstellen van het register in Windows

 

Beheerders kunnen de volgende registerinstellingen configureren, zodat u de verificatie via SSL\TLS veilig kunt uitvoeren.

  • Pad voor Active Directory Domain Services (AD DS)-domeincontrollers: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  • Pad voor Active Directory Lightweight Directory Services (AD LDS)-servers: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\<LDS-exemplaarnaam>\Parameters
  • BITS LdapEnforceChannelBinding
  • DWORD-waarde:0 betekent uitgeschakeld. Validatie van kanaalbinding wordt uitgevoerd. Dit is het gedrag van alle servers die niet zijn bijgewerkt.
  • DWORD-waarde:1 betekent ingeschakeld, indien ondersteund. Alle clients die worden uitgevoerd op een versie van Windows die zijn bijgewerkt met kanaalbinding tokens (CBT), moeten kanaal bindingsinformatie verschaffen aan de server. Clients met een versie van Windows die niet is bijgewerkt voor de ondersteuning van CBT, hoeven dit niet te doen. Dit is een Intermediate optie die compatibiliteit met toepassingen mogelijk maakt.
  • DWORD-waarde:2 betekent ingeschakeld, altijd. Alle klanten moeten gegevens voor kanaalbinding invoeren. De server negeert verificatieaanvragen van clients die dit niet doen.

Opmerkingen

  • Voordat u deze instelling inschakelt op een domein controller, moet de client de beveiligingsupdate installeren die wordt beschreven in CVE-2017-8563. Anders zijn er compatibiliteitsproblemen opgetreden en aanvragen van LDAP-authenticatie via SSL/TLS die eerder werkte, werken mogelijk niet meer. Deze instelling is standaard uitgeschakeld.
  • De LdapEnforceChannelBindings-registervermelding moet expliciet worden gemaakt.
  • De LDAP-server reageert dynamisch, zodat deze registervermelding wordt gewijzigd. Daarom hoeft u de computer niet opnieuw op te starten na het toepassen van de registerwijziging.

Om de compatibiliteit met oudere besturingssysteemversies (Windows Server 2008 en eerdere versies) te maximaliseren, wordt u aangeraden deze instelling in te stellen met de waarde 1.Als u de instelling expliciet wilt uitschakelen, stelt u de waarde voor LdapEnforceChannelBinding in op 0 (nul).

Voor Windows Server 2008 en oudere systemen moet Microsoft Security Advisor 973811zijn geïnstalleerd in ' KB 968389 Extended Protection for Authentication ', worden geïnstalleerd voordat u CVE-2017-8563 installeert. Als u CVE-2017-8563 zonder KB 968389 installeert op een domeincontroller of een AD LDS-exemplaar, MISLUKKEN alle LDAPS-verbindingen met LDAP-fout 81-LDAP_SERVER_DOWN. Daarnaast adviseren we u om ook de correcties te bekijken en te installeren die worden beschreven in de sectie bekende problemen van KB 968389.