Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 973811

Uitgebreide bescherming voor verificatie

Gepubliceerd: dinsdag 11 augustus 2009 | Bijgewerkt: dinsdag 12 april 2011

Versie: 1.12

Microsoft kondigt de beschikbaarheid van een nieuwe functie, Uitgebreide Bescherming voor Verificatie, op het Windows-platform aan. Deze functie verbetert de beveiliging en verwerking van referenties wanneer netwerkverbindingen worden geverifieerd met geïntegreerde Windows-verificatie (IWA).

De update zelf biedt geen rechtstreekse bescherming tegen het specifieke aanvallen zoals het doorsturen van referenties, maar stelt toepassingen in staat Uitgebreide bescherming voor verificatie in te schakelen. Dit advies informeert ontwikkelaars en systeembeheerders over deze nieuwe functionaliteit en beschrijft hoe de functionaliteit kan worden gebruikt om verificatiereferenties te beveiligen.

Beperkende factoren:

  • Internet Explorer zal referenties nooit automatisch naar servers in de internetzone verzenden. Dit vermindert het risico dat referenties door een aanvaller binnen deze zone kunnen worden doorgestuurd.
  • Toepassingen die gebruikmaken van sessieondertekening en -versleuteling (zoals Remote Procedure Call (RPC) met privacy en integriteit, of Server Message Block (SMB) met ingeschakelde ondertekening) worden niet getroffen door het doorsturen van referenties.

Algemene informatie

Doel van het advies: Dit advies werd vrijgegeven om klanten op dehoogte te brengen van de release van een niet-beveiligingsupdate die een nieuwe functie beschikbaar stelt: Uitgebreide Bescherming voor Verificatie, op het Windows-platform.

Status van het advies: Advies gepubliceerd.

Aanbeveling: De voorgestelde acties beoordelen en waar van toepassing configureren.

Meer informatieIdentificatie
Microsoft Knowledge Base-artikel Microsoft Knowledge Base-artikel 973811

Dit advies kondigt de release van deze functie aan voor de volgende platforms:

Software waarin dit probleem optreedt
Windows XP Service Pack 2 en Windows XP Service Pack 3
Windows XP voor x64-systemen Service Pack 2 en Windows XP voor x64-systemen Service Pack 3
Windows Server 2003 Service Pack 2
Windows Server 2003 voor x64-systemen Service Pack 2
Windows Server 2003 voor Itanium-systemen en Windows Server 2003 voor Itanium-systemen Service Pack 2
Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2
Windows Vista voor x64-systemen, Windows Vista voor x64-systemen Service Pack 1 en Windows Vista voor x64-systemen Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2
Software waarin dit probleem niet optreedt
Windows 7 voor 32-bits systemen
Windows 7 voor x64-systemen
Windows Server 2008 R2 voor x64-systemen
Windows Server 2008 R2 voor Itanium-systemen

Wat is de omvang van het advies?
Microsoft gaf dit advies vrij om de release van een nieuwe functie, Uitgebreide Bescherming voor Verificatie aan te kondigen, als een update voor de Windows SSPI om het doorsturen van adresreferenties te verbeteren.

Is dit beveiligingslek dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen?
Nee, dit beveiligingslek is niet dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen. Deze functie is een optionele configuratie die klanten naar keuze kunnen implementeren. Het inschakelen van deze functie is niet geschikt voor alle klanten. Voor meer informatie over deze functie en hoe u deze juist configureert, raadpleegt u Microsoft Knowledge Base-artikel 973811. Deze functie is reeds opgenomen in Windows 7 en Windows Server 2008 R2.

Wat is Uitgebreide bescherming voor Windows-verificatie?
De update in Microsoft Knowledge Base-artikel 968389 wijzigt de SSPI om de manier waarop Windows-verificatie werkt te verbeteren, zodat referentie niet eenvoudig kunnen worden doorgestuurd wanneer geïntegreerde Windows-verificatie (IWA) is ingeschakeld.

Indien Uitgebreide Bescherming voor Verificatie is ingeschakeld worden verificatieaanvragen gekoppeld aan zowel de SPN's (Service Principal Name) van de server waarmee de client verbinding probeert te maken als aan het buitenste TLS-kanaal (Transport Layer Security) waarmee de IWA-verificatie plaatsvindt. Dit is een basis-update die toepassingen in staat stelt de nieuwe functie in te schakelen.

Toekomstige updates brengen wijzigingen aan in afzonderlijke systeemonderdelen die IWA-verificatie uitvoeren, zodat de onderdelen gebruikmaken van dit beschermingsmechanisme. Klanten moeten zowel de niet-beveiligingsupdate van Microsoft Knowledge Base-artikel 968389 als de betreffende beveiligingsupdates voor de client-toepassingen en servers installeren waarop Uitgebreide bescherming voor verificatie moet worden ingeschakeld. Na de installatie wordt Uitgebreide bescherming voor verificatie op de client beheerd door middel van registersleutels. Op de server is de configuratie specifiek voor de toepassing.

Welke andere acties onderneemt Microsoft om deze functie in te voeren?

Wijzigingen worden aangebracht in de specifieke server- en client-toepassingen waarin geïntegreerde Windows-verificatie (IWA) wordt toegepast, zodat zij gebruik gaan maken van deze nieuwe beveiligingstechnologie.

De updates die op 11 augustus 2009 zijn uitgebracht, zijn als volgt:

  • Microsoft Knowledge Base-artikel 968389 voert Verlengde Bescherming voor Verificatie in de Windows Security Support Provider Interface (SSPI) in. Deze update staat toepassingen in staat gebruik te maken van Uitgebreide bescherming voor verificatie.
  • Microsoft-beveiligingsbulletin MS09-042 bevat ook een ingrijpende niet-beveiligingsupdate die de Telnet-client en -server in staat stelt gebruik te maken van Uitgebreide beveiliging voor verificatie.

De door Microsoft op 13 oktober 2009 uitgegeven update is:

De updates die op 8 december 2009 zijn uitgebracht, zijn als volgt:

De updates die op 8 juni 2010 zijn uitgebracht, zijn als volgt:

  • Microsoft Knowledge Base-artikel 982532 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 op Windows Vista Service Pack 1 gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • Microsoft Knowledge Base-artikel 982533 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 op Windows Vista Service Pack 2 gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • Microsoft Knowledge Base-artikel 982535 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 op Windows Vista Service Pack 1 gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • Microsoft Knowledge Base-artikel 982536 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 op Windows Vista Service Pack 2 gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • Microsoft Knowledge Base-artikel 982167 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 op Windows XP en Windows Server 2003 gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • Microsoft Knowledge Base-artikel 982168 bevat een niet-beveiligingsupdate waardoor .NET Framework 2.0 Service Pack 2 + 3.0 Service Pack 2 op Windows XP en Windows Server 2003 gebruik kan maken van Uitgebreide beveiliging voor verificatie.

De door Microsoft op 14 september 2010 uitgegeven update is:

De door Microsoft op 12 oktober 2010 uitgegeven update is:

De door Microsoft op 29 december 2010 uitgegeven update is:

De door Microsoft op 12 april 2011 uitgegeven update is:

Microsoft wil de dekking uitbreiden door toekomstige updates uit te brengen die aanvullende Microsoft-server en -clienttoepassingen in deze beschermingsmechanismen zullen bevatten. Dit beveiligingsadvies zal worden gereviseerd met bijgewerkte informatie zodra dergelijke updates worden uitgebracht.

Hoe kunnen ontwikkelaars deze beveiligingstechnologie in hun toepassingen opnemen?

Ontwikkelaars kunnen meer informatie over het gebruik van de technologie van Uitgebreide bescherming voor verificatie vinden in het MSDN-artikel Integrated Windows Authentication with Extended Protection.

Hoe schakel ik deze functie in?

Op de client moeten klanten de volgende registersleutelinstellingen implementeren.

Gedetailleerde instructies over het inschakelen van deze registersleutel vindt u in Microsoft Knowledge Base-artikel 968389.

  • Stel de sleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection in op 0 om beschermingstechnologie in te schakelen. Standaard wordt deze sleutel na de installatie op 1 ingesteld, waardoor de bescherming wordt uitgeschakeld.
  • Stel de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel in op 3. Dit is niet de standaardinstelling op Windows XP en Windows Server 2003. Dit is een bestaande sleutel waarmee NTLMv2-verificatie wordt ingeschakeld. Uitgebreide bescherming voor Windows verificatie is alleen van toepassing op de NTLMv2 en Kerberos verificatieprotocollen en niet op NTLMv1.

    Meer informatie over het forceren van NTLMv2-verificatie en deze sleutel vindt u in Microsoft Knowledge Base-artikel 239869.

Op de server moet Uitgebreide bescherming voor verificatie per service worden ingeschakeld. In het volgende overzicht ziet u hoe u Uitgebreide bescherming voor verificatie inschakelt voor de algemene protocollen waarvoor het mechanisme momenteel beschikbaar is:

Telnet (KB960859)

Voor Telnet kan Uitgebreide bescherming voor verificatie op de server worden ingeschakeld door de DWORD-registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection te maken. De standaardwaarde van deze sleutel is Legacy. Stel de sleutel in op een van de volgende waarden:

  • Legacy: door de DWORD-waarde op 0 in te stellen, wordt Uitgebreide Bescherming voor Verificatie uitgeschakeld voor de server en worden er geen verbindingen, zelfs die van bijgewerkte en juist geconfigureerde clients, beschermd tegen aanvallen door het doorsturen van referenties.
  • Allow Extended Protection: door de DWORD-waarde op 1 in te stellen, beschermt de server de clientcomputers die zijn geconfigureerd voor het gebruik van Uitgebreide bescherming voor verificatie tegen aanvallen met het doorgeven van referenties. Clients die niet niet zijn bijgewerkt en correct geconfigureerd zullen worden beschermd.
  • Require Extended Protection: door de DWORD-waarde op 2 in te stellen, vereist de server dat clients Uitgebreide bescherming voor verificatie ondersteunen, want anders wordt de verificatie geweigerd. Clients waarop uitgebreide bescherming niet is ingeschakeld, kunnen niet bij de server worden geverifieerd.

Gedetailleerde instructies over het maken van deze registersleutel vindt u in Microsoft Knowledge Base-artikel 960859.

Internet Information Services (KB973917)

Voor Internet Information Services kan Uitgebreide bescherming voor verificatie worden ingeschakeld op de server met de IIS Configuration Manager of via rechtstreekse bewerking van het configuratiebestand ApplicationHost.Config. Zie Microsoft Knowledge Base-artikel 973917 voor meer informatie over het configureren van IIS.

Waarvan moet ik me bewust zijn bij het implementeren van Uitgebreide bescherming voor verificatie?

Klanten moeten de update van Microsoft Knowledge Base-artikel 968389 installeren, de betreffende toepassingsupdates op client- en servercomputers installeren en beide computers correct configureren om het beschermingsmechanisme tegen aanvallen met het doorsturen van verificatiegegevens te gebruiken.

Als Uitgebreide bescherming voor verificatie wordt ingeschakeld op de clientzijde, wordt dit ingeschakeld voor alle toepassingen die gebruikmaken van IWA. Op de server moet het mechanisme echter per toepassing worden ingeschakeld.

Waarom is dit geen beveiligingsupdate die in een beveiligingsbulletin wordt aangekondigd?  
Deze update voert een nieuwe functie uit die niet voor alle klanten geschikt is om in te schakelen. Het biedt een extra beveiligingsfunctie waarvoor klanten kunnen kiezen op basis van hun specifieke scenario.

Dit is een beveiligingsadvies over een update die geen beveiligingsupdate is. Spreekt dat zichzelf niet tegen?  
In beveiligingsadviezen worden wijzigingen in de beveiliging besproken waarvoor waarschijnlijk geen beveiligingsbulletin nodig is, maar die wel betrekking hebben op de beveiliging van computers. Via beveiligingsadviezen geeft Microsoft haar klanten informatie over problemen die doorgaans geen beveiligingslekken zijn en waarvoor naar alle waarschijnlijkheid geen beveiligingsbulletin nodig is, of informatie over problemen waarvoor geen beveiligingsbulletin is uitgegeven. In dit geval vertellen wij u over de beschikbaarheid van een update die geen specifiek beveiligingslek oplost; maar uw totale beveiliging bespreekt.

Hoe wordt deze update aangeboden?  
Deze beveiligingsupdates zijn verkrijgbaar via het Microsoft Downloadcentrum. In de sectie Overzicht staan directe koppelingen naar de updates voor bepaalde software in de tabel Software waarin dit probleem optreedt. Zie Microsoft Knowledge Base-artikel 968389 voor meer informatie over de update en de gevolgen op de werking van de functie.

Wordt deze update via Automatische updates aangeboden?  
Ja. Deze updates worden niet via de Automatische updates aangeboden.

Voor welke versies van Windows geldt dit advies?  
De functie behandeld in dit advies wordt beschikbaar gesteld voor alle platforms van de lijst met software waarin dit probleem optreedt. Deze functie is aanwezig in alle versies van Windows 7 en Windows Server 2008 R2.

  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

    Klanten die meer willen weten over deze functie, wordt aangeraden Microsoft Knowledge Base-artikel 973811 door te nemen.

  • Pas de niet-beveiligingsupdates in dit beveiligingsbulletin toe

    Klanten moeten de lijst met niet-beveiligings- en beveiligingsupdates die Microsoft heeft uitgegeven als onderdeel van deze beveiligingsupdate bekijken en zo nodig updates toepassen en configureren. De lijst met beschikbare updates staat onder Welke andere acties onderneemt Microsoft om deze functie in te voeren? in de sectie Veelgestelde vragen van dit advies.

  • Beveilig uw pc

    Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.

    Voor meer informatie over veilig surfen verwijzen wij gebruikers naar de website van het beveiligingscentrum van Microsoft.

  • Houd Windows up-to-date

    Alle gebruikers van Windows wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Windows Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Als u Automatische updates hebt ingeschakeld, worden de updates naar u toegestuurd zodra ze zijn vrijgegeven, maar u moet ze wel nog installeren.

Tijdelijke oplossingen

Er is een aantal tijdelijke oplossingen die systemen beschermen tegen het reflecteren of doorsturen van referenties. Microsoft heeft een aantal methoden getest om het probleem te omzeilen. Het probleem wordt er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een oplossing, wordt dat aangegeven in het volgende gedeelte.

SMB-ondertekening inschakelen

Als u SMB op de server inschakelt, wordt voorkomen dat de aanvaller toegang krijgt tot de server in de context van de aangemelde gebruiker. Zo wordt voorkomen dat referenties naar de SMB-service worden doorgestuurd. Microsoft raadt aan Groepsbeleid te gebruiken om SMB-ondertekening te configureren.

Zie Microsoft Knowledge Base-artikel 887429 voor gedetailleerde instructies over het gebruik van Groepsbeleid om SMB-ondertekening in en uit te schakelen voor Microsoft Windows 2000, Windows XP en Windows Server 2003. De instructies in Microsoft Knowledge Base-artikel 887429 voor Windows XP en Windows Server 2003 zijn ook van toepassing op Windows Vista en Windows Server 2008.

Gevolgen van de tijdelijke oplossing: Het inschakelen van SMB-ondertekening kan de prestaties met SMBv1 bij bestandsservicetransacties verminderen. Computers waarvoor dit beleid is ingesteld, communiceren niet met computers waarvoor pakketondertekening op de client niet is ingeschakeld. Zie voor meer informatie over SMB-ondertekening en potentiële gevolgen het MSDN-artikel "Microsoft netwok server: Digitally sign communications (always)".

Overige informatie

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (11 augustus 2009): Advies gepubliceerd.
  • V1.1 (14 oktober 2009): De sectie met veelgestelde vragen is bijgewerkt met informatie over een niet-beveiligingsupdate in MS09-054 met betrekking tot WinINET.
  • V1.2 (8 december 2009): De sectie met veelgestelde vragen is bijgewerkt met informatie over drie niet-beveiligingsupdates met betrekking tot Windows HTTP Services, HTTP Protocol Stack en Internet Information Services.
  • V1.3 (9 maart 2010): De sectie met Veelgestelde vragen is bijgewerkt met informatie over het opnieuw uitbrengen van de update waardoor Internet Information Services gebruik kan maken van Uitgebreide bescherming voor verificatie. Zie Bekende problemen in Microsoft Knowledge Base-artikel 973917 voor meer informatie.
  • V1.4 (14 april 2010): De sectie Voorgestelde acties is bijgewerkt met een verwijzing naar de vraag "Welke andere acties onderneemt Microsoft om deze functie in te voeren?" in de sectie Veelgestelde vragen.
  • V1.5 (8 juni 2010): De veelgestelde vragen zijn bijgewerkt met informatie over zes niet-beveiligingsupdates waardoor .NET Framework gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • V1.6 (14 september 2010): De veelgestelde vragen zijn bijgewerkt met informatie over een niet-beveiligingsupdate waardoor Outlook Express en Windows Mail gebruik kunnen maken van Uitgebreide beveiliging voor verificatie.
  • V1.7 (12 oktober 2010): De veelgestelde vragen zijn bijgewerkt met informatie over een niet-beveiligingsupdate waardoor Windows Server Message Block (SMB) gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • V1.8 (14 december 2010): De veelgestelde vragen zijn bijgewerkt met informatie over een niet-beveiligingsupdate waardoor Microsoft Outlook Express gebruik kan maken van Uitgebreide beveiliging voor verificatie.
  • V1.9 (17 december 2010): Er is een item uit de Veelgestelde vragen verwijderd, dat oorspronkelijk op 14 december 2010 was toegevoegd, over een niet-beveiligingsupdate die Microsoft Outlook de mogelijkheid geeft om te kiezen voor Uitgebreide beveiliging voor verificatie.
  • V1.10 (11 januari 2011): Het onderdeel "Veelgestelde vragen" is bijgewerkt met informatie over een nieuwe release waarbij in Microsoft Office Live Meeting Service Portal kan worden gekozen voor Uitgebreide beveiliging voor verificatie.
  • V1.11 (12 januari 2011): De koppeling naar de release-opmerkingen voor Microsoft Office Live Meeting Service Portal in de veelgestelde vragen is gecorrigeerd.
  • V1.12 (12 april 2011): De veelgestelde vragen zijn bijgewerkt met informatie over een niet-beveiligingsupdate waardoor Microsoft Outlook Express gebruik kan maken van Uitgebreide beveiliging voor verificatie.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft