Jak povolit podepisování LDAP ve Windows Serveru

  • 08.09.2020
  • 6 minut čtení
    • D
    • s

Tento článek popisuje, jak povolit podepisování LDAP v systému Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 a Windows 10.

Původní verze produktu: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – všechny edice
Původní číslo KB: 935834

Shrnutí

Zabezpečení adresářového serveru můžete významně zvýšit tím, že server nakonfigurujete tak, aby odmítal vazby LDAP protokolem SASL (Simple Authentication and Security Layer), které nevyžadují podepsání (ověření integrity), nebo aby odmítal jednoduché vazby LDAP, které jsou prováděny pomocí čistě textového (nešifrovaného) připojení. Vazby SASL mohou zahrnovat protokoly jako Negotiate, Kerberos, NTLM a Digest.

Nepodepsaný síťový provoz je náchylný k útokům typu replay. Při těchto útocích narušitel zachytí pokus o ověření a vydání tiketu. Útočník může tiket znovu použít a vydávat se za legitimního uživatele. Kromě toho je nepodepsaný síťový provoz náchylný k útokům typu man-in-the-middle (MIM), při nichž narušitel zachytí pakety mezi klientem a serverem, změní je a poté je předá serveru. Pokud k tomu dojde na serveru LDAP, může útočník způsobit, že server bude přijímat rozhodnutí založená na podvržených požadavcích klienta LDAP.

Jak zjistit klienty, kteří nepoužívají možnost Vyžadovat podepisování

Po provedení této změny konfigurace přestanou fungovat klienti, kteří spoléhají na nepodepsané vazby LDAP SASL (Negotiate, Kerberos, NTLM nebo Digest) nebo na jednoduché vazby LDAP přes připojení jiné než SSL/TLS. Pro usnadnění identifikace těchto klientů zaznamenává adresářový server služby Active Directory Domain Services (AD DS) nebo Lightweight Directory Server (LDS) jednou za 24 hodin souhrnný záznam ID události 2887, který uvádí, kolik takových vazeb proběhlo. Doporučujeme tyto klienty nakonfigurovat tak, aby takové vazby nepoužívali. Poté, co po delší dobu nejsou pozorovány žádné takové události, doporučujeme nakonfigurovat server tak, aby takové vazby odmítal.

Pokud potřebujete k identifikaci takových klientů více informací, můžete adresářový server nakonfigurovat tak, aby poskytoval podrobnější protokoly. Toto dodatečné protokolování zaznamená událost ID 2889, když se klient pokusí vytvořit nepodepsanou vazbu LDAP. Záznam protokolu zobrazuje IP adresu klienta a identitu, kterou se klient pokusil použít k ověření. Toto dodatečné protokolování můžete povolit nastavením diagnostického nastavení 16 LDAP Interface Events na hodnotu 2 (Basic). Další informace o změně diagnostického nastavení naleznete v části Jak konfigurovat protokolování diagnostických událostí služby Active Directory a LDS.

Je-li adresářový server nakonfigurován tak, aby odmítal nepodepsané vazby SASL LDAP nebo jednoduché vazby LDAP přes připojení jiné než SSL/TLS, adresářový server při výskytu takových pokusů o vazbu jednou za 24 hodin zaznamená souhrnný záznam ID události 2888.

Jak nakonfigurovat adresář tak, aby vyžadoval podepisování serveru LDAP pro službu AD DS

Informace o možných dopadech změny nastavení zabezpečení naleznete v části Při změně nastavení zabezpečení a přiřazení uživatelských práv může dojít k problémům s klienty, službami a programy.

Poznámka

Anomálie záznamu ID události 2889

Aplikace, které používají klienty LDAP třetích stran, mohou způsobit, že systém Windows generuje nesprávné záznamy ID události 2889. K tomu dochází při protokolování událostí rozhraní LDAP a v případě, že LDAPServerIntegrity je rovno 2. Použití pečetění (šifrování) splňuje ochranu proti útoku MIM, ale systém Windows přesto protokoluje ID události 2889.

K tomu dochází, pokud klienti LDAP používají pouze pečetění spolu s protokolem SASL. Setkali jsme se s tím v praxi ve spojení s klienty LDAP třetích stran.

Když připojení nepoužívá podepisování ani pečetění, kontrola požadavků na zabezpečení připojení použije příznaky správně a odpojí se. Kontrola vygeneruje chybu 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Použití zásad skupiny

Jak nastavit požadavek serveru LDAP na podepisování

  1. Zvolte Start > Spustit, zadejte mmc.exe a vyberte OK.
  2. Vyberte Soubor > Přidat/odebrat modul snap-in, vyberte Editor správy zásad skupiny a poté vyberte Přidat.
  3. Vyberte Objekt zásad skupiny > Procházet.
  4. V dialogovém okně Procházet objekt zásad skupiny vyberte v oblasti Domény, organizační jednotky a propojené objekty zásad skupiny položku Výchozí zásady řadiče domény a poté vyberte možnost OK.
  5. Zvolte možnost Dokončit.
  6. Zvolte možnost OK.
  7. Zvolte Výchozí zásady řadiče domény > Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady a poté vyberte Možnosti zabezpečení.
  8. Klikněte pravým tlačítkem myši na řadič domény: LDAP a vyberte možnost Vlastnosti.
  9. V poli Řadič domény: V dialogovém okně Vlastnosti serveru LDAP povolte možnost Definovat toto nastavení zásad, v seznamu Definovat toto nastavení zásad vyberte možnost Vyžadovat podepisování a poté vyberte možnost OK.
  10. V dialogovém okně Potvrdit změnu nastavení vyberte možnost Ano.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Zvolte Výchozí zásady domény > Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady a poté vyberte Možnosti zabezpečení.
  10. V části Zabezpečení sítě: V dialogovém okně Potvrdit změnu nastavení vyberte možnost Ano.
  11. V dialogovém okně Potvrdit změnu nastavení vyberte možnost Ano.

Jak nastavit požadavek na podepisování klienta LDAP pomocí klíčů registru

Důležité

Postupujte pečlivě podle pokynů v této části. Při nesprávné úpravě registru by mohlo dojít k vážným problémům. Před úpravou si vytvořte zálohu registru pro případ, že by došlo k problémům.

Ve výchozím nastavení není pro službu AD LDS (Active Directory Lightweight Directory Services) klíč registru k dispozici. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.