Wijzigen van de registervermelding RequireAsChecksum na installatie van beveiligingsupdate 899587

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Maak eerst een reservekopie van het register voordat u dit gaat bewerken. Ga eerst na of u weet hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of wijzigen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986 Beschrijving van het Microsoft Windows-register
Inleiding
Dit artikel bevat informatie over het bewerken van de registervermelding RequireAsChecksum. Deze registervermelding biedt extra beveiliging na installatie van beveiligingsupdate 899587. Deze beveiligingsupdate wordt beschreven in Microsoft Beveiligingsbulletin MS05-042.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
899587 MS05-042: Beveiligingsproblemen in Kerberos kunnen leiden tot denial-of-service, vrijgeven van informatie en spoofing
Meer informatie
Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

Beveiligingsupdate 899587 bevat enkele functionaliteitswijzigingen in de beveiliging. Met beveiligingsbulletin MS05-042 worden de extern gemelde beveiligingsproblemen opgelost. Maar naast de wijzigingen die worden vermeld in elke sectie 'Informatie over de beveiligingsproblemen' van beveiligingsbulletin MS05-042, bevat beveiligingsupdate 899587 nog een andere functionaliteitswijziging. Er is een optionele, maar wel aanbevolen, registervermelding (RequireAsChecksum) toegevoegd ten behoeve van extra beveiliging voor eventuele toekomstige PKINIT-gerelateerde beveiligingsproblemen. De registervermelding RequireAsChecksum bevindt zich onder de volgende registersubsleutels:
  • Microsoft Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\RequireAsChecksum
  • Microsoft Windows 2000 en Microsoft Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters\RequireAsChecksum

Dit zijn de mogelijke waarden voor registervermelding RequireAsChecksum:
  • RequireAsChecksum = 1 of elke andere waarde dan nul
    Wanneer deze instelling wordt ingeschakeld, accepteert de client alleen reacties die voldoen aan de laatste PKINIT-revisie (PKINIT-27) van de domeincontroller voor smartcard-aanmelding.
  • RequireAsChecksum = 0
    Wanneer deze instelling wordt uitgeschakeld, accepteert de client reacties die voldoen aan zowel de nieuwe revisie als de oudere revisies.
Opmerking Wanneer de registervermelding niet aanwezig is, reageert de computer alsof de instelling is uitgeschakeld.

De smartcard-aanmelding mislukt wanneer alle volgende punten van toepassing zijn:
  • De aanmelding wordt geactiveerd door de client.
  • Beveiligingsupdate 899587 is geïnstalleerd op de client.
  • De waarde van registervermelding RequireAsChecksum is op de client ingesteld op 1.
  • Op de domeincontroller die reageert op de verificatieaanvraag, is beveiligingsupdate 899587 niet geïnstalleerd.
Wij raden u aan de registerinstelling op clientcomputers alleen in te schakelen nadat beveiligingsupdate 899587 op alle domeincontrollers in het domein is geïmplementeerd.

Opmerking U moet een Windows 2000-computer opnieuw opstarten nadat u deze registervermelding hebt gewijzigd. Opnieuw opstarten is echter niet nodig voor computers met Windows XP of Windows Server 2003.
Eigenschappen

Artikel-id: 904766 - Laatst bijgewerkt: 01/16/2015 16:38:55 - Revisie: 1.1

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto kbinfo kbsecurity KB904766
Feedback