- 09/08/2020
- 6 minutos para ler
- ul>
- D
- s
/li>
Este artigo descreve como habilitar a assinatura do LDAP no Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, e Windows 10.
Versão do produto original: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – todas as edições
Número original KB: 935834
- Resumo
- Como descobrir clientes que não usam a opção de assinatura de Requisitos
- Como configurar o diretório para requerer a assinatura do servidor LDAP para AD DS
- Using Group Policy
- Como definir o requisito de assinatura do servidor LDAP
- How to set the client LDAP signing requirement by using local computer policy
- How to set the client LDAP signing requirement by using a domain Group Policy Object
- Como definir o requerimento de assinatura do cliente LDAP usando chaves de registro
- How to verify configuration changes
Resumo
P>P>Pode melhorar significativamente a segurança de um servidor de directório configurando o servidor para rejeitar a camada de autenticação simples e de segurança (SASL) LDAP binds que não requerem assinatura (verificação de integridade), ou para rejeitar binds simples LDAP que são executados numa ligação de texto claro (não encriptado em SSL/TLS). Os binds SASL podem incluir protocolos como Negotiate, Kerberos, NTLM, e Digest.
Tráfego de rede não assinado é suscetível a replay de ataques. Nesses ataques, um intruso intercepta a tentativa de autenticação e a emissão de um ticket. O intruso pode reutilizar o ticket para imitar o usuário legítimo. Além disso, o tráfego de rede não assinado é suscetível a ataques man-in-the-middle (MIM) nos quais um intruso captura pacotes entre o cliente e o servidor, muda os pacotes e depois os encaminha para o servidor. Se isso ocorrer em um servidor LDAP, um atacante pode fazer com que um servidor tome decisões baseadas em pedidos forjados do cliente LDAP.
Como descobrir clientes que não usam a opção de assinatura de Requisitos
Após fazer essa mudança de configuração, clientes que dependem de SASL (Negotiate, Kerberos, NTLM, ou Digest) não assinados, o LDAP faz binds ou em binds simples LDAP sobre uma conexão não-SSL/TLS param de funcionar. Para ajudar a identificar esses clientes, o servidor de diretório do Active Directory Domain Services (AD DS) ou Lightweight Directory Server (LDS) registra um resumo do Event ID 2887 uma vez a cada 24 horas para indicar quantos desses binds ocorreram. Nós recomendamos que você configure esses clientes para não usar tais binds. Após nenhum evento desse tipo ser observado por um período prolongado, recomendamos que você configure o servidor para rejeitar tais binds.
Se você precisar ter mais informações para identificar tais clientes, você pode configurar o servidor de diretório para fornecer logs mais detalhados. Este registo adicional irá registar um Event ID 2889 quando um cliente tentar fazer um bind LDAP não assinado. A entrada do registro exibe o endereço IP do cliente e a identidade que o cliente tentou usar para autenticar. Você pode ativar este registro adicional definindo a configuração de diagnóstico de 16 eventos da interface LDAP para 2 (Básico). Para obter mais informações sobre como alterar as configurações de diagnóstico, consulte Como configurar o registro de eventos de diagnóstico Active Directory e LDS.
Se o servidor de diretório estiver configurado para rejeitar binds SASL LDAP não assinados ou binds LDAP simples através de uma conexão não-SSL/TLS, o servidor de diretório registra um resumo do ID de evento 2888 uma vez a cada 24 horas quando tais tentativas de bind ocorrem.
Como configurar o diretório para requerer a assinatura do servidor LDAP para AD DS
Para informações sobre possíveis efeitos da mudança de configurações de segurança, veja Cliente, serviço e problemas com o programa podem ocorrer se você mudar as configurações de segurança e atribuições de direitos de usuário.
Nota
Anomalia de registro do Event ID 2889
Aplicações que usam clientes LDAP de terceiros podem fazer com que o Windows gere entradas incorretas no Event ID 2889. Isso ocorre quando você registra eventos da interface LDAP e se LDAPServerIntegrity
é igual a 2. O uso de selagem (criptografia) satisfaz a proteção contra o ataque MIM, mas o Windows registra o Event ID 2889 de qualquer forma.
Isso acontece quando clientes LDAP usam somente selagem junto com o SASL. Nós vimos isso no campo em associação com clientes LDAP de terceiros.
Quando uma conexão não usa tanto a assinatura quanto o selamento, a verificação dos requisitos de segurança da conexão usa as bandeiras corretamente e desconecta. A verificação gera Error 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).
Using Group Policy
Como definir o requisito de assinatura do servidor LDAP
- Select Start Run, digite mmc.exe, e então selecione OK.
- Na caixa de diálogo Procurar por um Objeto de Política de Grupo, selecione Política controladora de domínio padrão sob a área Domínios, OUs e objetos de política de grupo vinculados e, em seguida, selecione OK.
- Selecionar OK.
- Select Default Domain Controller Policy Computer Configuration Policies Windows Settings Security Settings Local Policies, e depois seleccione Security Options.
- Controlador de domínio com clique direito: Requisitos de assinatura do servidor LDAP, e depois selecione Properties.
- In the Domain controller: Na caixa de diálogo Propriedades dos requisitos de assinatura do servidor LDAP, ative Definir esta configuração de política, selecione Exigir assinatura na lista Definir esta configuração de política e, em seguida, selecione OK.
- Na caixa de diálogo Confirmar alteração de configuração, selecione Sim.
li>Select File Add/Remove Snap-in, selecione Group Policy Management Editor, e então selecione Add.li>Select Group Policy Object Browse.
Selecionar Concluir.
How to set the client LDAP signing requirement by using local computer policy
- Select Start > Run, type mmc.exe, and then select OK.
- Select File > Add/Remove Snap-in.
- In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
- Select Finish.
- Select OK.
- Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
- Right-click Network security: LDAP client signing requirements, and then select Properties.
- In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
- In the Confirm Setting Change dialog box, select Yes.
How to set the client LDAP signing requirement by using a domain Group Policy Object
- Select Start > Run, type mmc.exe, and then select OK.
- Select File > Add/Remove Snap-in.
- In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
- Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
- Select OK.
- Select Finish.
- Select Close.
- Select OK.
- Select Default Domain Policy Computer Configuration Windows Settings Security Settings Local Policies, and then select Security Options.
- In the Network security: na caixa de diálogo Propriedades de assinatura do cliente LDAP, selecione Requirements signing requirements na lista e, em seguida, selecione OK.
- na caixa de diálogo Confirmar Alteração de Configuração, selecione Yes.
Como definir o requerimento de assinatura do cliente LDAP usando chaves de registro
Important
Seguir cuidadosamente os passos nesta seção. Problemas sérios podem ocorrer se você modificar o registro incorretamente. Antes de modificá-lo, faça backup do registro para restauração caso ocorram problemas.
Por padrão, para Active Directory Lightweight Directory Services (AD LDS), a chave de registro não está disponível. Therefore, you must create a LDAPServerIntegrity
registry entry of the REG_DWORD type under the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Note
The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.
How to verify configuration changes
-
Sign in to a computer that has the AD DS Admin Tools installed.
-
Select Start > Run, type ldp.exe, and then select OK.
-
Select Connection > Connect.
-
In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
Note
For an Active Directory Domain Controller, the applicable port is 389.
-
After a connection is established, select Connection > Bind.
-
Under Bind type, select Simple bind.
-
Type the user name and password, and then select OK.
If you receive the following error message, you have successfully configured your directory server:
Ldap_simple_bind_s() failed: Strong Authentication Required