LDAP-Signierung in Windows Server aktivieren

  • 09/08/2020
  • 6 Minuten zu lesen
    • D
    • s

Dieser Artikel beschreibt, wie man die LDAP-Signierung in Windows Server 2019 aktiviert, Windows Server 2016, Windows Server 2012 R2 und Windows 10 zu aktivieren.

Originalproduktversion: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – alle Editionen
Original-KB-Nummer: 935834

Zusammenfassung

Sie können die Sicherheit eines Verzeichnisservers erheblich verbessern, indem Sie den Server so konfigurieren, dass SASL-LDAP-Binds (Simple Authentication and Security Layer) abgelehnt werden, die keine Signierung (Integritätsprüfung) anfordern, oder dass einfache LDAP-Binds abgelehnt werden, die über eine Klartextverbindung (nicht-SSL/TLS-verschlüsselt) durchgeführt werden. SASL-Binds können Protokolle wie Negotiate, Kerberos, NTLM und Digest umfassen.

Unsignierter Netzwerkverkehr ist anfällig für Replay-Angriffe. Bei solchen Angriffen fängt ein Eindringling den Authentifizierungsversuch und die Ausstellung eines Tickets ab. Der Eindringling kann das Ticket wiederverwenden, um sich als rechtmäßiger Benutzer auszugeben. Darüber hinaus ist unsignierter Netzwerkverkehr anfällig für MIM-Angriffe (Man-in-the-Middle), bei denen ein Eindringling Pakete zwischen dem Client und dem Server abfängt, die Pakete verändert und dann an den Server weiterleitet. Wenn dies auf einem LDAP-Server geschieht, kann ein Angreifer einen Server dazu bringen, Entscheidungen zu treffen, die auf gefälschten Anfragen des LDAP-Clients basieren.

So erkennen Sie Clients, die die Option „Signieren erforderlich“ nicht verwenden

Nach dieser Konfigurationsänderung funktionieren Clients nicht mehr, die sich auf unsignierte SASL (Negotiate, Kerberos, NTLM oder Digest) LDAP-Bindungen oder auf einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung verlassen. Um diese Clients zu identifizieren, protokolliert der Verzeichnisserver von Active Directory Domain Services (AD DS) oder Lightweight Directory Server (LDS) einmal alle 24 Stunden eine zusammenfassende Ereignis-ID 2887, um anzuzeigen, wie viele solcher Bindungen aufgetreten sind. Wir empfehlen Ihnen, diese Clients so zu konfigurieren, dass sie solche Bindungen nicht verwenden. Wenn über einen längeren Zeitraum keine derartigen Ereignisse beobachtet werden, empfehlen wir, den Server so zu konfigurieren, dass er solche Bindungen zurückweist.

Wenn Sie mehr Informationen benötigen, um solche Clients zu identifizieren, können Sie den Verzeichnisserver so konfigurieren, dass er detailliertere Protokolle erstellt. Diese zusätzliche Protokollierung protokolliert die Ereignis-ID 2889, wenn ein Client versucht, eine unsignierte LDAP-Verbindung herzustellen. Der Protokolleintrag zeigt die IP-Adresse des Clients und die Identität an, mit der der Client versucht hat, sich zu authentifizieren. Sie können diese zusätzliche Protokollierung aktivieren, indem Sie die Diagnoseeinstellung 16 LDAP-Schnittstellenereignisse auf 2 (Basis) setzen. Weitere Informationen zum Ändern der Diagnoseeinstellungen finden Sie unter Konfigurieren der Active Directory- und LDS-Diagnose-Ereignisprotokollierung.

Wenn der Verzeichnisserver so konfiguriert ist, dass er unsignierte SASL-LDAP-Bindungen oder einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung ablehnt, protokolliert der Verzeichnisserver einmal alle 24 Stunden eine Zusammenfassung mit der Ereignis-ID 2888, wenn solche Bindungsversuche auftreten.

So konfigurieren Sie das Verzeichnis so, dass eine LDAP-Serversignierung für AD DS erforderlich ist

Informationen zu möglichen Auswirkungen einer Änderung der Sicherheitseinstellungen finden Sie unter Client-, Dienst- und Programmprobleme können auftreten, wenn Sie die Sicherheitseinstellungen und die Zuweisung von Benutzerrechten ändern.

Hinweis

Protokollierungsanomalie der Ereignis-ID 2889

Anwendungen, die LDAP-Clients von Drittanbietern verwenden, können dazu führen, dass Windows falsche Einträge der Ereignis-ID 2889 erzeugt. Dies tritt auf, wenn Sie LDAP-Schnittstellenereignisse protokollieren und LDAPServerIntegrity gleich 2 ist. Die Verwendung von Versiegelung (Verschlüsselung) erfüllt den Schutz gegen den MIM-Angriff, aber Windows protokolliert die Ereignis-ID 2889 trotzdem.

Dies geschieht, wenn LDAP-Clients nur Versiegelung zusammen mit SASL verwenden. Wir haben dies in der Praxis in Verbindung mit LDAP-Clients von Drittanbietern gesehen.

Wenn eine Verbindung nicht sowohl Signieren als auch Versiegeln verwendet, verwendet die Prüfung der Sicherheitsanforderungen für die Verbindung die Flaggen korrekt und trennt die Verbindung. Die Prüfung erzeugt den Fehler 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Verwenden von Gruppenrichtlinien

So legen Sie die Server-LDAP-Signieranforderungen fest

  1. Wählen Sie Start > Ausführen, geben Sie mmc.exe ein, und wählen Sie dann OK.
  2. Wählen Sie Datei > Snap-In hinzufügen/entfernen, wählen Sie Gruppenrichtlinien-Verwaltungseditor, und wählen Sie dann Hinzufügen.
  3. Wählen Sie Gruppenrichtlinienobjekt > Durchsuchen.
  4. Wählen Sie im Dialogfeld Nach einem Gruppenrichtlinienobjekt suchen im Bereich Domänen, OUs und verknüpfte Gruppenrichtlinienobjekte die Option Standard-Domänencontroller-Richtlinie aus, und wählen Sie dann OK.
  5. Wählen Sie Fertigstellen.
  6. Wählen Sie OK.
  7. Wählen Sie Standard-Domänencontroller-Richtlinie > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien, und wählen Sie anschließend Sicherheitsoptionen.
  8. Klicken Sie mit der rechten Maustaste auf Domänencontroller: LDAP-Server-Signaturanforderungen und wählen Sie dann Eigenschaften.
  9. Im Dialogfeld Domänencontroller: LDAP-Server-Signierungsanforderungen aktivieren Sie die Option Diese Richtlinieneinstellung definieren, wählen Sie in der Liste Diese Richtlinieneinstellung definieren die Option Signierung erforderlich aus, und wählen Sie dann OK.
  10. Wählen Sie im Dialogfeld Änderung der Einstellung bestätigen die Option Ja aus.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Wählen Sie Standarddomänenrichtlinie > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien, und wählen Sie dann Sicherheitsoptionen.
  10. Im Dialogfeld Netzwerksicherheit: LDAP-Client-Signierungsanforderungen Eigenschaften wählen Sie in der Liste die Option Signierung erforderlich aus, und wählen Sie dann OK.
  11. Im Dialogfeld Änderung der Einstellung bestätigen wählen Sie Ja.

So legen Sie die Client-LDAP-Signierungsanforderungen mithilfe von Registrierungsschlüsseln fest

Wichtig

Befolgen Sie die Schritte in diesem Abschnitt sorgfältig. Es können schwerwiegende Probleme auftreten, wenn Sie die Registrierung nicht korrekt ändern. Sichern Sie die Registrierung, bevor Sie sie ändern, um sie im Falle von Problemen wiederherstellen zu können.

Standardmäßig ist der Registrierungsschlüssel für Active Directory Lightweight Directory Services (AD LDS) nicht verfügbar. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.