Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken
Diese Sicherheitseinstellung bestimmt, ob der LDAP-Server die Validierung von Kanalbindungstoken in empfangenen LDAP-Bindungsanforderungen erzwingt, die über LDAPS-Verbindungen gesendet wurden.
- Nie: Es wird keine Überprüfung der Kanalbindung durchgeführt. Dies ist das Verhalten aller Server, die nicht aktualisiert wurden.
- Wenn unterstützt: Clients, die Unterstützung von Kanalbindungstoken anbieten, müssen bei der Authentifizierung über TLS/SSL-Verbindungen das richtige Token bereitstellen. Clients, die keinen solchen Support anbieten und/oder keine TLS/SSL-Verbindungen verwenden, sind nicht betroffen. Dies ist eine Zwischenoption, die Anwendungskompatibilität ermöglicht.
- Immer: Alle Clients müssen Informationen zur Kanalbindung über LDAPS bereitstellen. Der Server lehnt LDAPS-Authentifizierungsanforderungen von anderen Clients ab.
Standard: Diese Richtlinie ist nicht definiert. Dies hat die gleichen Auswirkungen wie "Wenn unterstützt".
Weitere Details und Informationen zu dieser Konfigurationseinstellung finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
Hinweis:
Die Option "Wenn unterstützt" schützt nur die Clients, die den erweiterten Authentifizierungsschutz unterstützen. Andere Clients sind möglicherweise solange gefährdet, bis sie gepatcht und/oder konfiguriert werden. Wenn diese Richtlinie auf "Immer" festgelegt ist, können XP/2k3/Vista/Server 2008-Systeme standardmäßig nur dann über TLS/SSL-Verbindungen authentifizieren, wenn der erweiterte Schutz für die Authentifizierung gemäß https://docs.microsoft.com/en-us/security-updates/securityadvisories/2009/973811 aktiviert ist.
Regsitry Key: HKLM\System\CurrentControlSet\Services\NTDS\Parameters
Registry Value: LdapEnforceChannelBinding
Secedit: n/a