Microsoft-beveiligingsadvies (973811)

Uitgebreide bescherming voor verificatie

Gepubliceerd op 11 aug 2009 | Bijgewerkt op 14 okt 2009

Versie: 1.1

Microsoft kondigt de beschikbaarheid van een nieuwe functie, Uitgebreide Bescherming voor Verificatie, op het Windows-platform aan. Deze functie verbetert de beveiliging en verwerking van referenties wanneer netwerkverbindingen worden geverifieerd met geïntegreerde Windows-verificatie (IWA).

De update zelf biedt geen rechtstreekse bescherming tegen het specifieke aanvallen zoals het doorsturen van referenties, maar stelt toepassingen in staat Uitgebreide bescherming voor verificatie in te schakelen. Dit advies informeert ontwikkelaars en systeembeheerders over deze nieuwe functionaliteit en beschrijft hoe de functionaliteit kan worden gebruikt om verificatiereferenties te beveiligen.

Beperkende factoren:

•	Internet Explorer zal referenties nooit automatisch naar servers in de internetzone verzenden. Dit vermindert het risico dat referenties door een aanvaller binnen deze zone kunnen worden doorgestuurd.
•	Toepassingen die gebruikmaken van sessieondertekening en -versleuteling (zoals Remote Procedure Call (RPC) met privacy en integriteit, of Server Message Block (SMB) met ingeschakelde ondertekening) worden niet getroffen door het doorsturen van referenties.

Algemene informatie

Overzicht

Doel van het advies: Dit advies werd vrijgegeven om klanten op dehoogte te brengen van de release van een niet-beveiligingsupdate die een nieuwe functie beschikbaar stelt: Uitgebreide Bescherming voor Verificatie, op het Windows-platform.

Status van het advies: Advies gepubliceerd.

Aanbeveling:beoordeel de voorgestelde acties en configureer deze waar van toepassing.

Meer informatie	Identificatie
Microsoft Knowledge Base-artikel	Microsoft Knowledge Base-artikel 973811

Dit advies kondigt de release van deze functie aan voor de volgende platforms:

Software waarin het probleem optreedt
Windows XP Service Pack 2 en Windows XP Service Pack 3 Windows XP voor x64-systemen Service Pack 2 en Windows XP voor x64-systemen Service Pack 3
Windows Server 2003 Service Pack 2 Windows Server 2003 voor x64-systemen Service Pack 2 Windows Server 2003 voor Itanium-systemen en Windows Server 2003 voor Itanium-systemen Service Pack 2
Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 Windows Vista voor x64-systemen, Windows Vista voor x64-systemen Service Pack 1 en Windows Vista voor x64-systemen Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2 Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2 Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2
Software waarin dit probleem niet optreedt
Windows 7 voor 32-bits systemen Windows 7 voor x64-systemen
Windows Server 2008 R2 voor x64-systemen Windows Server 2008 R2 voor Itanium-systemen

Top of section

Veelgestelde vragen

Wat is de omvang van het advies?
Microsoft gaf dit advies vrij om de release van een nieuwe functie, Uitgebreide Bescherming voor Verificatie aan te kondigen, als een update voor de Windows SSPI om het doorsturen van adresreferenties te verbeteren.

Is dit beveiligingslek dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen?
Nee, dit beveiligingslek is niet dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen. Deze functie is een optionele configuratie die klanten naar keuze kunnen implementeren. Het inschakelen van deze functie is niet geschikt voor alle klanten. Voor meer informatie over deze functie en hoe u deze juist configureert, raadpleegt u Microsoft Knowledge Base-artikel 973811. Deze functie is reeds opgenomen in Windows 7 en Windows Server 2008 R2.

Wat is Uitgebreide bescherming voor Windows-verificatie?
De update in Microsoft Knowledge Base-artikel 968389 wijzigt de SSPI om de manier waarop Windows-verificatie werkt te verbeteren, zodat referentie niet eenvoudig kunnen worden doorgestuurd wanneer geïntegreerde Windows-verificatie (IWA) is ingeschakeld.

Indien Uitgebreide Bescherming voor Verificatie is ingeschakeld worden verificatieaanvragen gekoppeld aan zowel de SPN's (Service Principal Name) van de server waarmee de client verbinding probeert te maken als aan het buitenste TLS-kanaal (Transport Layer Security) waarmee de IWA-verificatie plaatsvindt. Dit is een basis-update die toepassingen in staat stelt de nieuwe functie in te schakelen.

Toekomstige updates brengen wijzigingen aan in afzonderlijke systeemonderdelen die IWA-verificatie uitvoeren, zodat de onderdelen gebruikmaken van dit beschermingsmechanisme. Klanten moeten zowel de niet-beveiligingsupdate van Microsoft Knowledge Base-artikel 968389 als de betreffende beveiligingsupdates voor de client-toepassingen en servers installeren waarop Uitgebreide bescherming voor verificatie moet worden ingeschakeld. Na de installatie wordt Uitgebreide bescherming voor verificatie op de client beheerd door middel van registersleutels. Op de server is de configuratie specifiek voor de toepassing.

Welke andere acties onderneemt Microsoft om deze functie in te voeren?

Wijzigingen worden aangebracht in de specifieke server- en client-toepassingen waarin geïntegreerde Windows-verificatie (IWA) wordt toegepast, zodat zij gebruik gaan maken van deze nieuwe beveiligingstechnologie.

De updates die op 11 augustus 2009 zijn uitgebracht, zijn als volgt:

•	Microsoft Knowledge Base-artikel 968389 voert Verlengde Bescherming voor Verificatie in de Windows Security Support Provider Interface (SSPI) in. Deze update staat toepassingen in staat gebruik te maken van Uitgebreide bescherming voor verificatie.
•	Microsoft-beveiligingsbulletin MS09-042 bevat ook een ingrijpende niet-beveiligingsupdate die de Telnet-client en -server in staat stelt gebruik te maken van Uitgebreide bescherming voor verificatie.

De door Microsoft op 13 oktober 2009 uitgegeven update is:

•	Microsoft-beveiligingsbulletin MS09-054 bevat een ingrijpende niet-beveiligingsupdate waardoor WinINET gebruik kan maken van Uitgebreide bescherming voor verificatie.

Microsoft wil de dekking uitbreiden door toekomstige updates uit te brengen die aanvullende Microsoft-server en -clienttoepassingen in deze beschermingsmechanismen zullen bevatten. Dit beveiligingsadvies zal worden gereviseerd met bijgewerkte informatie zodra dergelijke updates worden uitgebracht.

Hoe kunnen ontwikkelaars deze beveiligingstechnologie in hun toepassingen opnemen?

Ontwikkelaars kunnen meer informatie over het gebruik van de technologie van Uitgebreide bescherming voor Verificatie vinden in het MSDN-artikel "Extended Protection for Authentication Overview" (Overzicht van Uitgebreide bescherming voor verificatie).

Hoe schakel ik deze functie in?

Op de client moeten klanten de volgende registersleutelinstellingen implementeren.

Gedetailleerde instructies over het inschakelen van deze registersleutel vindt u in Microsoft Knowledge Base-artikel 968389.

•

Stel de sleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection in op 0 om beschermingstechnologie in te schakelen. Standaard wordt deze sleutel na de installatie op 1 ingesteld, waardoor de bescherming wordt uitgeschakeld.

•

Stel de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel in op 3. Dit is niet de standaardinstelling op Windows XP en Windows Server 2003. Dit is een bestaande sleutel waarmee NTLMv2-verificatie wordt ingeschakeld. Uitgebreide bescherming voor Windows verificatie is alleen van toepassing op de NTLMv2 en Kerberos verificatieprotocollen en niet op NTLMv1.

Meer informatie over het forceren van NTLMv2-verificatie en deze sleutel vindt u in Microsoft Knowledge Base-artikel 239869.

Op de server moet Uitgebreide bescherming voor verificatie per service worden ingeschakeld. In het volgende overzicht ziet u hoe u Uitgebreide bescherming voor verificatie inschakelt voor de algemene protocollen waarvoor het mechanisme momenteel beschikbaar is:

Telnet (KB 960859)

Voor Telnet kan Uitgebreide bescherming voor verificatie op de server worden ingeschakeld door de DWORD-registersleutel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection te maken. De standaardwaarde van deze sleutel is Legacy. Stel de sleutel in op een van de volgende waarden:

•	Legacy: door de DWORD-waarde op 0 in te stellen, wordt Uitgebreide Bescherming voor Verificatie uitgeschakeld voor de server en worden er geen verbindingen, zelfs die van bijgewerkte en juist geconfigureerde clients, beschermd tegen aanvallen door het doorsturen van referenties.
•	Allow Extended Protection: door de DWORD-waarde op 1 in te stellen, beschermt de server de clientcomputers die zijn geconfigureerd voor het gebruik van Uitgebreide bescherming voor verificatie tegen aanvallen met het doorgeven van referenties. Clients die niet niet zijn bijgewerkt en correct geconfigureerd zullen worden beschermd.
•	Require Extended Protection: door de DWORD-waarde op 2 in te stellen, vereist de server dat clients Uitgebreide bescherming voor verificatie ondersteunen, want anders wordt de verificatie geweigerd. Clients waarop uitgebreide bescherming niet is ingeschakeld, kunnen niet bij de server worden geverifieerd.

Gedetailleerde instructies over het maken van deze registersleutel vindt u in Microsoft Knowledge Base-artikel 960859.

Waarvan moet ik me bewust zijn bij het implementeren van Uitgebreide bescherming voor verificatie?

Klanten moeten de update van Microsoft Knowledge Base-artikel 960859 installeren, de betreffende toepassings-updates op client- en servercomputers installeren en beide computers correct configureren om het beschermingsmechanisme tegen aanvallen met het doorsturen van verificatiegegevens te gebruiken.

Als Uitgebreide bescherming voor verificatie wordt ingeschakeld op de clientzijde, wordt dit ingeschakeld voor alle toepassingen die gebruikmaken van IWA. Op de server moet het mechanisme echter per toepassing worden ingeschakeld.

Waarom is dit geen beveiligingsupdate die in een beveiligingsbulletin wordt aangekondigd?
Deze update voert een nieuwe functie uit die niet voor alle klanten geschikt is om in te schakelen. Het biedt een extra beveiligingsfunctie waarvoor klanten kunnen kiezen op basis van hun specifieke scenario.

Dit is een beveiligingsadvies over een update die geen beveiligingsupdate is. Spreekt dat zichzelf niet tegen?
In beveiligingsadviezen worden wijzigingen in de beveiliging besproken waarvoor waarschijnlijk geen beveiligingsbulletin nodig is, maar die wel betrekking hebben op de beveiliging van computers. Via beveiligingsadviezen geeft Microsoft haar klanten informatie over problemen die doorgaans geen beveiligingslekken zijn en waarvoor naar alle waarschijnlijkheid geen beveiligingsbulletin nodig is, of informatie over problemen waarvoor geen beveiligingsbulletin is uitgegeven. In dit geval vertellen wij u over de beschikbaarheid van een update die geen specifiek beveiligingslek oplost; maar uw totale beveiliging bespreekt.

Hoe wordt deze update aangeboden?
Deze beveiligingsupdates zijn verkrijgbaar via het Microsoft Downloadcentrum. In de sectie Overzicht staan directe koppelingen naar de updates voor bepaalde software in de tabel Software waarin dit probleem optreedt. Zie Microsoft Knowledge Base-artikel 968389 voor meer informatie over de update en de gevolgen op de werking van de functie.

Wordt deze update via Automatische updates aangeboden?
Ja. Deze updates worden niet via de Automatische updates aangeboden.

Voor welke versies van Windows geldt dit advies?
De functie behandeld in dit advies wordt beschikbaar gesteld voor alle platforms van de lijst met software waarin dit probleem optreedt. Deze functie is aanwezig in alle versies van Windows 7 en Windows Server 2008 R2.

Top of section

Voorgestelde acties

•	Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort Klanten die meer willen weten over deze functie, wordt aangeraden Microsoft Knowledge Base-artikel 973811 door te nemen.
•	Pas de updates voor beveiligingsbulletin MS09-042 toe Klanten met getroffen systemen kunnen de update downloaden via Microsoft Knowledge Base-artikel 968389. Deze update wijzigt de manier waarop de Telnet-service verificatieantwoorden valideert om het doorgeven van referenties te voorkomen.
•	Beveilig uw pc Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.
•	Voor meer informatie over veilig surfen verwijzen wij gebruikers naar de website van het beveiligingscentrum van Microsoft.
•	Houd Windows up-to-date Alle gebruikers van Windows wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Windows Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Als u Automatische updates hebt ingeschakeld, worden de updates naar u toegestuurd zodra ze zijn vrijgegeven, maar u moet ze wel nog installeren.

Tijdelijke oplossingen

Er is een aantal tijdelijke oplossingen die systemen beschermen tegen het reflecteren of doorsturen van referenties. Microsoft heeft een aantal methoden getest om het probleem te omzeilen. Het probleem wordt er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een oplossing, wordt dat aangegeven in het volgende gedeelte.

SMB-ondertekening inschakelen

Als u SMB op de server inschakelt, wordt voorkomen dat de aanvaller toegang krijgt tot de server in de context van de aangemelde gebruiker. Zo wordt voorkomen dat referenties naar de SMB-service worden doorgestuurd. Microsoft raadt aan Groepsbeleid te gebruiken om SMB-ondertekening te configureren.

Zie Microsoft Knowledge Base-artikel 887429 voor gedetailleerde instructies over het gebruik van Groepsbeleid om SMB-ondertekening in en uit te schakelen voor Microsoft Windows 2000, Windows XP en Windows Server 2003. De instructies in Microsoft Knowledge Base-artikel 887429 voor Windows XP en Windows Server 2003 zijn ook van toepassing op Windows Vista en Windows Server 2008.

Gevolgen van de tijdelijke oplossing: Het inschakelen van SMB-ondertekening kan de prestaties met SMBv1 bij bestandsservicetransacties verminderen. Computers waarvoor dit beleid is ingesteld, communiceren niet met computers waarvoor pakketondertekening op de client niet is ingeschakeld. Zie voor meer informatie over SMB-ondertekening en potentiële gevolgen het MSDN-artikel "Microsoft netwok server: Digitally sign communications (always)".

Top of section

Informatiebronnen:

•	U kunt feedback geven door het formulier in te vullen dat u vindt bij Hulp en ondersteuning van Microsoft: Contact opnemen.
•	Technische ondersteuning van Security Support is beschikbaar via 020-500 1005. Zie Hulp en ondersteuning van Microsoft voor meer informatie over de beschikbare ondersteuningsopties.
•	Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuning.
•	Microsoft TechNet Security biedt extra informatie over beveiliging in Microsoft-producten.

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

•	V1.0 (11 augustus 2009): Advies gepubliceerd.
•	V1.1 (14 oktober 2009): De sectie met veelgestelde vragen is bijgewerkt met informatie over een niet-beveiligingsupdate in MS09-054 met betrekking tot WinINET.

Begin van pagina