Jak włączyć podpisywanie LDAP w systemie Windows Server i na komputerach klienckich?
Podpisywanie LDAP(LDAP signing) to metoda uwierzytelniania w systemie Windows Server(Windows Server) , która może poprawić bezpieczeństwo serwera katalogowego. Po włączeniu odrzuci każde żądanie, które nie prosi o podpisanie lub jeśli żądanie nie jest szyfrowane za pomocą protokołu SSL/TLS. W tym poście przedstawimy, w jaki sposób można włączyć podpisywanie LDAP w (LDAP)systemie Windows Server(Windows Server) i komputerach klienckich. LDAP to(LDAP) skrót od Lightweight Directory Access Protocol (LDAP).
Jak włączyć podpisywanie LDAP na komputerach z systemem Windows(Windows)
Aby upewnić się, że osoba atakująca nie użyje sfałszowanego klienta LDAP do zmiany konfiguracji i danych serwera, konieczne jest włączenie podpisywania LDAP . Równie ważne jest włączenie go na komputerach klienckich.
- Ustaw(Set) wymaganie podpisywania serwera LDAP
- Ustaw(Set) wymaganie podpisywania klienta LDAP za pomocą zasad komputera lokalnego(Local)
- Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą obiektu zasad grupy domeny(Domain Group Policy Object)
- Ustaw(Set) wymaganie podpisywania klienta LDAP za pomocą kluczy rejestru(Registry)
- Jak zweryfikować zmiany w konfiguracji
- Jak znaleźć klientów, którzy nie korzystają z opcji „ Wymagaj(Require) podpisywania”
Ostatnia sekcja pomaga w ustaleniu klientów, którzy nie mają włączonej opcji Wymagaj podpisywania(do not have Require signing enabled) na komputerze. Jest to przydatne narzędzie dla administratorów IT do izolowania tych komputerów i włączania ustawień zabezpieczeń na komputerach.
1] Ustaw(Set) wymaganie podpisywania serwera LDAP
- Otwórz konsolę zarządzania Microsoft(Microsoft Management Console) (mmc.exe)
- Wybierz Plik > Dodaj(Add) /Usuń przystawkę > wybierz Edytor obiektów zasad grupy(Group Policy Object Editor) , a następnie wybierz Dodaj(Add) .
- Otworzy się Kreator zasad grupy(Group Policy Wizard) . Kliknij(Click) przycisk Przeglądaj(Browse) i wybierz Domyślne zasady domeny(Default Domain Policy) zamiast Komputer lokalny
- Kliknij(Click) przycisk OK, a następnie przycisk Zakończ(Finish) i zamknij go.
- Wybierz opcję Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , a następnie wybierz Opcje zabezpieczeń.
- Kliknij prawym przyciskiem myszy Kontroler domeny: wymagania podpisywania serwera LDAP(Domain controller: LDAP server signing requirements) , a następnie wybierz Właściwości.
- W oknie dialogowym Właściwości(Properties) kontrolera domeny(Domain) : wymagania dotyczące podpisywania serwera LDAP włącz opcję (LDAP)Zdefiniuj(Define) to ustawienie zasad, wybierz opcję Wymagaj podpisywania na liście Zdefiniuj to ustawienie zasad,(Require signing in the Define this policy setting list,) a następnie wybierz przycisk OK.
- Sprawdź ponownie ustawienia i zastosuj je.
2] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą lokalnych zasad komputera
- Otwórz monit Uruchom(Run) i wpisz gpedit.msc i naciśnij klawisz Enter .
- W edytorze zasad grupy przejdź do opcji Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , a następnie wybierz Opcje zabezpieczeń.(Security Options.)
- Kliknij prawym przyciskiem myszy Zabezpieczenia sieci: Wymagania podpisywania klienta LDAP(Network security: LDAP client signing requirements) , a następnie wybierz Właściwości.
- W oknie dialogowym Właściwości (Properties)sieci(Network) : wymagania dotyczące podpisywania klienta LDAP wybierz z listy opcję (LDAP)Wymagaj podpisywania(Require signing) , a następnie wybierz przycisk OK.
- Potwierdź zmiany i zastosuj je.
3] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą obiektu zasad grupy domeny(Group Policy Object)
- Otwórz konsolę zarządzania Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Wybierz Plik(File) > Add/Remove Snap-in > wybierz Edytor obiektów zasad grupy(Group Policy Object Editor) , a następnie wybierz Dodaj(Add) .
- Otworzy się Kreator zasad grupy(Group Policy Wizard) . Kliknij(Click) przycisk Przeglądaj(Browse) i wybierz Domyślne zasady domeny(Default Domain Policy) zamiast Komputer lokalny
- Kliknij(Click) przycisk OK, a następnie przycisk Zakończ(Finish) i zamknij go.
- Wybierz opcję Domyślne zasady domeny(Default Domain Policy) > Konfiguracja komputera(Computer Configuration) > Ustawienia systemu Windows(Windows Settings) > Ustawienia zabezpieczeń(Security Settings) > Zasady lokalne(Local Policies) , a następnie wybierz Opcje zabezpieczeń(Security Options) .
- W oknie dialogowym Właściwości sieci: Wymagania podpisywania klienta LDAP wybierz z listy opcję (Network security: LDAP client signing requirements Properties )Wymagaj podpisywania (Require signing ) , a następnie wybierz OK .
- Potwierdź(Confirm) zmiany i zastosuj ustawienia.
4] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą kluczy rejestru
Pierwszą i najważniejszą rzeczą do zrobienia jest wykonanie kopii zapasowej rejestru
- Otwórz Edytor rejestru
- Przejdź do HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Kliknij prawym przyciskiem myszy(Right-click) w prawym okienku i utwórz nowy DWORD o nazwie LDAPServerIntegrity
- Pozostaw to do wartości domyślnej.
<InstanceName >: nazwa wystąpienia usług AD LDS , które chcesz zmienić.
5] Jak(How) sprawdzić, czy zmiany konfiguracji wymagają teraz zalogowania?
Aby upewnić się, że polityka bezpieczeństwa działa tutaj, należy sprawdzić jej integralność.
- Zaloguj się do komputera, na którym zainstalowano narzędzia administracyjne AD DS .(AD DS Admin Tools)
- Otwórz monit Uruchom(Run) , wpisz ldp.exe i naciśnij klawisz Enter . Jest to interfejs użytkownika służący do poruszania się po przestrzeni nazw Active Directory
- Wybierz Połączenie > Połącz.
- W polu Serwer(Server) i port wpisz nazwę serwera i port inny niż SSL/TLS serwera katalogowego, a następnie wybierz przycisk OK.
- Po nawiązaniu połączenia wybierz Połączenie > Powiąż.
- W obszarze(Bind) Typ powiązania wybierz opcję Powiązanie proste(Simple) .
- Wpisz nazwę użytkownika i hasło, a następnie wybierz OK.
Jeśli pojawi się komunikat o błędzie z informacją, że Ldap_simple_bind_s() nie powiodło się: Wymagane silne uwierzytelnienie(Ldap_simple_bind_s() failed: Strong Authentication Required) , oznacza to, że serwer katalogowy został pomyślnie skonfigurowany.
6] Jak(How) znaleźć klientów, którzy nie korzystają z opcji „ Wymagaj(Require) podpisywania”
Za każdym razem, gdy komputer kliencki łączy się z serwerem przy użyciu niezabezpieczonego protokołu połączenia, generuje identyfikator zdarzenia 2889(Event ID 2889) . Wpis dziennika będzie również zawierał adresy IP klientów. Należy to włączyć, ustawiając ustawienie diagnostyczne 16 zdarzeń interfejsu LDAP na (LDAP Interface Events)2 (podstawowe). (2 (Basic). )Dowiedz się, jak skonfigurować rejestrowanie zdarzeń diagnostycznych AD i LDS tutaj w firmie Microsoft(here at Microsoft) .
Podpisywanie LDAP(LDAP Signing) ma kluczowe znaczenie i mam nadzieję, że pomogło to w jasnym zrozumieniu, w jaki sposób można włączyć podpisywanie LDAP w (LDAP)systemie Windows Server(Windows Server) i na komputerach klienckich.
Related posts
Skonfiguruj blokadę konta klienta dostępu zdalnego w systemie Windows Server
Wyłącz udziały administracyjne z systemu Windows Server
Iperius Backup to darmowe oprogramowanie do tworzenia kopii zapasowych dla systemu Windows Server
Jak skompresować nadęte gałęzie rejestru w systemie Windows Server?
Jak włączyć i skonfigurować starzenie i oczyszczanie DNS w systemie Windows Server?
Jak usunąć role i funkcje w systemie Windows Server
RSAT brakuje narzędzi serwera DNS w systemie Windows 10
Klient Windows Update nie wykrył z błędem 0x8024001f
Zdalny dostęp do komputera z systemem Windows XP lub Windows Server 2003
Napraw błąd Sklepu Windows Serwer potknął się
Rozwiązywanie problemów z łącznością w sieci Windows Server za pomocą programu PowerShell
Usługa klienta DHCP daje błąd odmowy dostępu w systemie Windows 11/10
Twój serwer DNS może być niedostępny w systemie Windows 11/10
Jak zautomatyzować tworzenie kopii zapasowych systemu Windows Server w Amazon S3
Jak zmienić serwer DNS w systemie Windows 11?
Skąd pobrać kompilacje Windows Server Insider Preview?
Zresetuj klienta Windows Update za pomocą skryptu PowerShell
Jak naprawić błąd „Serwer RPC jest niedostępny” w systemie Windows
Jak dodać lub zmienić serwer czasu w systemie Windows 11/10?
Narzędzie publicznego serwera DNS to darmowy zmieniacz DNS dla systemu Windows 10