Jak włączyć podpisywanie LDAP w systemie Windows Server i na komputerach klienckich?

Podpisywanie LDAP(LDAP signing) to metoda uwierzytelniania w systemie Windows Server(Windows Server) , która może poprawić bezpieczeństwo serwera katalogowego. Po włączeniu odrzuci każde żądanie, które nie prosi o podpisanie lub jeśli żądanie nie jest szyfrowane za pomocą protokołu SSL/TLS. W tym poście przedstawimy, w jaki sposób można włączyć podpisywanie LDAP w (LDAP)systemie Windows Server(Windows Server) i komputerach klienckich. LDAP to(LDAP) skrót od   Lightweight Directory Access Protocol (LDAP).

Jak włączyć podpisywanie LDAP na komputerach z systemem Windows(Windows)

Aby upewnić się, że osoba atakująca nie użyje sfałszowanego klienta LDAP do zmiany konfiguracji i danych serwera, konieczne jest włączenie podpisywania LDAP . Równie ważne jest włączenie go na komputerach klienckich.

  1. Ustaw(Set) wymaganie podpisywania serwera LDAP
  2. Ustaw(Set) wymaganie podpisywania klienta LDAP za pomocą zasad komputera lokalnego(Local)
  3. Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą obiektu zasad grupy domeny(Domain Group Policy Object)
  4. Ustaw(Set) wymaganie podpisywania klienta LDAP za pomocą kluczy rejestru(Registry)
  5. Jak zweryfikować zmiany w konfiguracji
  6. Jak znaleźć klientów, którzy nie korzystają z opcji „ Wymagaj(Require) podpisywania”

Ostatnia sekcja pomaga w ustaleniu klientów, którzy nie mają włączonej opcji Wymagaj podpisywania(do not have Require signing enabled) na komputerze. Jest to przydatne narzędzie dla administratorów IT do izolowania tych komputerów i włączania ustawień zabezpieczeń na komputerach.

1] Ustaw(Set) wymaganie podpisywania serwera LDAP

Jak włączyć podpisywanie LDAP w systemie Windows Server i na komputerach klienckich?

  1. Otwórz konsolę zarządzania Microsoft(Microsoft Management Console) (mmc.exe)
  2. Wybierz Plik >  Dodaj(Add) /Usuń przystawkę > wybierz  Edytor obiektów zasad grupy(Group Policy Object Editor) , a następnie wybierz  Dodaj(Add) .
  3. Otworzy się Kreator zasad grupy(Group Policy Wizard) . Kliknij(Click) przycisk Przeglądaj(Browse) i wybierz  Domyślne zasady domeny(Default Domain Policy) zamiast Komputer lokalny
  4. Kliknij(Click) przycisk OK, a następnie przycisk Zakończ(Finish) i zamknij go.
  5. Wybierz opcję  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , a następnie wybierz Opcje zabezpieczeń.
  6. Kliknij prawym przyciskiem myszy  Kontroler domeny: wymagania podpisywania serwera LDAP(Domain controller: LDAP server signing requirements) , a następnie wybierz Właściwości.
  7. W  oknie  dialogowym  Właściwości(Properties) kontrolera domeny(Domain) : wymagania dotyczące podpisywania serwera LDAP włącz opcję (LDAP)Zdefiniuj(Define) to ustawienie zasad, wybierz opcję  Wymagaj podpisywania na liście Zdefiniuj to ustawienie zasad,(Require signing in the Define this policy setting list,) a następnie wybierz przycisk OK.
  8. Sprawdź ponownie ustawienia i zastosuj je.

2] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą lokalnych zasad komputera

Jak włączyć podpisywanie LDAP w systemie Windows Server i na komputerach klienckich?

  1. Otwórz monit Uruchom(Run) i wpisz gpedit.msc i naciśnij klawisz Enter .
  2. W edytorze zasad grupy przejdź do opcji Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , a następnie wybierz  Opcje zabezpieczeń.(Security Options.)
  3. Kliknij prawym przyciskiem myszy Zabezpieczenia sieci: Wymagania podpisywania klienta LDAP(Network security: LDAP client signing requirements) , a następnie wybierz Właściwości.
  4. W  oknie  dialogowym  Właściwości (Properties)sieci(Network) : wymagania dotyczące podpisywania klienta LDAP wybierz z listy opcję (LDAP)Wymagaj podpisywania(Require signing) , a następnie wybierz przycisk OK.
  5. Potwierdź zmiany i zastosuj je.

3] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą obiektu zasad grupy domeny(Group Policy Object)

  1. Otwórz konsolę zarządzania Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Wybierz  Plik(File)  >  Add/Remove Snap-in >  wybierz  Edytor obiektów zasad grupy(Group Policy Object Editor) , a następnie wybierz  Dodaj(Add) .
  3. Otworzy się Kreator zasad grupy(Group Policy Wizard) . Kliknij(Click) przycisk Przeglądaj(Browse) i wybierz  Domyślne zasady domeny(Default Domain Policy) zamiast Komputer lokalny
  4. Kliknij(Click) przycisk OK, a następnie przycisk Zakończ(Finish) i zamknij go.
  5. Wybierz opcję  Domyślne zasady domeny(Default Domain Policy)  >  Konfiguracja komputera(Computer Configuration)  >  Ustawienia systemu Windows(Windows Settings)  >  Ustawienia zabezpieczeń(Security Settings)  >  Zasady lokalne(Local Policies) , a następnie wybierz  Opcje zabezpieczeń(Security Options) .
  6. W  oknie dialogowym  Właściwości sieci: Wymagania podpisywania klienta LDAP  wybierz z listy opcję (Network security: LDAP client signing requirements Properties )Wymagaj podpisywania (Require signing ) , a następnie wybierz  OK .
  7. Potwierdź(Confirm) zmiany i zastosuj ustawienia.

4] Ustaw wymaganie podpisywania (Set)LDAP klienta za pomocą kluczy rejestru

Pierwszą i najważniejszą rzeczą do zrobienia jest wykonanie kopii zapasowej rejestru

  • Otwórz Edytor rejestru
  • Przejdź do HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Kliknij prawym przyciskiem myszy(Right-click) w prawym okienku i utwórz nowy DWORD o nazwie LDAPServerIntegrity
  • Pozostaw to do wartości domyślnej.

<InstanceName >: nazwa wystąpienia usług AD LDS , które chcesz zmienić.

5] Jak(How) sprawdzić, czy zmiany konfiguracji wymagają teraz zalogowania?

Aby upewnić się, że polityka bezpieczeństwa działa tutaj, należy sprawdzić jej integralność.

  1. Zaloguj się do komputera, na którym zainstalowano narzędzia administracyjne AD DS .(AD DS Admin Tools)
  2. Otwórz monit Uruchom(Run) , wpisz ldp.exe i naciśnij klawisz Enter . Jest to interfejs użytkownika służący do poruszania się po przestrzeni nazw Active Directory
  3. Wybierz Połączenie > Połącz.
  4. W  polu Serwer(Server)  i  port wpisz nazwę serwera i port inny niż SSL/TLS serwera katalogowego, a następnie wybierz przycisk OK.
  5. Po nawiązaniu połączenia wybierz Połączenie > Powiąż.
  6. obszarze(Bind) Typ powiązania wybierz opcję  Powiązanie proste(Simple) .
  7. Wpisz nazwę użytkownika i hasło, a następnie wybierz OK.

Jeśli pojawi się komunikat o błędzie z informacją, że  Ldap_simple_bind_s() nie powiodło się: Wymagane silne uwierzytelnienie(Ldap_simple_bind_s() failed: Strong Authentication Required) , oznacza to, że serwer katalogowy został pomyślnie skonfigurowany.

6] Jak(How) znaleźć klientów, którzy nie korzystają z opcji „ Wymagaj(Require) podpisywania”

Za każdym razem, gdy komputer kliencki łączy się z serwerem przy użyciu niezabezpieczonego protokołu połączenia, generuje identyfikator zdarzenia 2889(Event ID 2889) . Wpis dziennika będzie również zawierał adresy IP klientów. Należy to włączyć, ustawiając  ustawienie diagnostyczne  16  zdarzeń interfejsu LDAP na (LDAP Interface Events)2 (podstawowe). (2 (Basic). )Dowiedz się, jak skonfigurować rejestrowanie zdarzeń diagnostycznych AD i LDS tutaj w firmie Microsoft(here at Microsoft) .

Podpisywanie LDAP(LDAP Signing) ma kluczowe znaczenie i mam nadzieję, że pomogło to w jasnym zrozumieniu, w jaki sposób można włączyć podpisywanie LDAP w (LDAP)systemie Windows Server(Windows Server) i na komputerach klienckich.



Filip Wiśniewski

About the author

Jestem profesjonalnym recenzentem i zwiększającym produktywność. Uwielbiam spędzać czas online, grając w gry wideo, odkrywając nowe rzeczy i pomagając ludziom w ich potrzebach technologicznych. Mam pewne doświadczenie z konsolą Xbox i od 2009 roku pomagam klientom dbać o bezpieczeństwo ich systemów.


Related posts