Cómo habilitar la firma LDAP en Windows Server

by: adminPosted on:
  • 09/08/2020
  • 6 minutos para leer
    • D
    • s

    • Este artículo describe cómo habilitar la firma LDAP en Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows 10.

    Versión original del producto: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – todas las ediciones
    Número de KB original: 935834

    Resumen

    Puede mejorar significativamente la seguridad de un servidor de directorios configurando el servidor para que rechace los enlaces LDAP de Simple Authentication and Security Layer (SASL) que no solicitan la firma (verificación de integridad), o para que rechace los enlaces simples LDAP que se realizan en una conexión de texto claro (no cifrada por SSL/TLS). Los enlaces SASL pueden incluir protocolos como Negotiate, Kerberos, NTLM y Digest.

    El tráfico de red sin firmar es susceptible de sufrir ataques de repetición. En estos ataques, un intruso intercepta el intento de autenticación y la emisión de un ticket. El intruso puede reutilizar el ticket para hacerse pasar por el usuario legítimo. Además, el tráfico de red sin firma es susceptible de sufrir ataques de tipo man-in-the-middle (MIM) en los que un intruso captura los paquetes entre el cliente y el servidor, los modifica y los reenvía al servidor. Si esto ocurre en un servidor LDAP, un atacante puede hacer que un servidor tome decisiones que se basen en solicitudes falsificadas del cliente LDAP.

    Cómo descubrir clientes que no utilizan la opción Require signing

    Después de realizar este cambio de configuración, los clientes que dependen de enlaces LDAP SASL (Negotiate, Kerberos, NTLM o Digest) sin firmar o de enlaces LDAP simples a través de una conexión no SSL/TLS dejan de funcionar. Para ayudar a identificar a estos clientes, el servidor de directorio de Active Directory Domain Services (AD DS) o Lightweight Directory Server (LDS) registra un resumen Event ID 2887 una vez cada 24 horas para indicar cuántos enlaces de este tipo se han producido. Le recomendamos que configure estos clientes para que no utilicen estos enlaces. Después de que no se observen tales eventos durante un período prolongado, le recomendamos que configure el servidor para que rechace tales enlaces.

    Si debe tener más información para identificar a tales clientes, puede configurar el servidor de directorio para que proporcione registros más detallados. Este registro adicional registrará un ID de evento 2889 cuando un cliente intente realizar un enlace LDAP no firmado. La entrada del registro muestra la dirección IP del cliente y la identidad que el cliente intentó utilizar para autenticarse. Puede habilitar este registro adicional configurando el ajuste de diagnóstico 16 Eventos de interfaz LDAP en 2 (Básico). Para obtener más información sobre cómo cambiar la configuración de diagnóstico, consulte Cómo configurar el registro de eventos de diagnóstico de Active Directory y LDS.

    Si el servidor de directorios está configurado para rechazar los enlaces LDAP SASL sin firma o los enlaces simples LDAP a través de una conexión no SSL/TLS, el servidor de directorios registra un ID de evento 2888 de resumen una vez cada 24 horas cuando se producen dichos intentos de enlace.

    Cómo configurar el directorio para requerir la firma del servidor LDAP para AD DS

    Para obtener información sobre los posibles efectos de cambiar la configuración de seguridad, consulte Pueden producirse problemas de clientes, servicios y programas si se cambia la configuración de seguridad y la asignación de derechos de usuario.

    Anomalía de registro del ID de evento 2889

    Las aplicaciones que utilizan clientes LDAP de terceros pueden hacer que Windows genere entradas incorrectas del ID de evento 2889. Esto ocurre cuando se registra de eventos de la interfaz LDAP y si LDAPServerIntegrity es igual a 2. El uso de sellado (cifrado) satisface la protección contra el ataque MIM, pero Windows registra el Event ID 2889 de todos modos.

    Esto ocurre cuando los clientes LDAP utilizan sólo sellado junto con SASL. Hemos visto esto en el campo en asociación con clientes LDAP de terceros.

    Cuando una conexión no utiliza tanto la firma como el sellado, la comprobación de los requisitos de seguridad de la conexión utiliza los indicadores correctamente y se desconecta. La comprobación genera el error 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

    Usando la directiva de grupo

    Cómo establecer el requisito de firma LDAP del servidor

    1. Seleccione Iniciar > Ejecutar, escriba mmc.exe y, a continuación, seleccione Aceptar.
    2. Seleccione Archivo > Añadir/Quitar complemento, seleccione Editor de administración de directivas de grupo y, a continuación, seleccione Añadir.
    3. Seleccione Objeto de directiva de grupo > Examinar.
    4. En el cuadro de diálogo Buscar un objeto de directiva de grupo, seleccione Directiva del controlador de dominio predeterminado en el área Dominios, OU y objetos de directiva de grupo vinculados y, a continuación, seleccione Aceptar.
    5. Seleccione Finalizar.
    6. Seleccione Aceptar.
    7. Seleccione Política de controlador de dominio predeterminada > Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales, y luego seleccione Opciones de seguridad.
    8. Haga clic con el botón derecho en Controlador de dominio: Requisitos de firma del servidor LDAP y, a continuación, seleccione Propiedades.
    9. En el cuadro de diálogo Controlador de dominio: Requisitos de firma del servidor LDAP cuadro de diálogo, active Definir esta configuración de directiva, seleccione Requerir firma en la lista Definir esta configuración de directiva y, a continuación, seleccione Aceptar.
    10. En el cuadro de diálogo Confirmar cambio de configuración, seleccione Sí.

    How to set the client LDAP signing requirement by using local computer policy

    1. Select Start > Run, type mmc.exe, and then select OK.
    2. Select File > Add/Remove Snap-in.
    3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
    4. Select Finish.
    5. Select OK.
    6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
    7. Right-click Network security: LDAP client signing requirements, and then select Properties.
    8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
    9. In the Confirm Setting Change dialog box, select Yes.

    How to set the client LDAP signing requirement by using a domain Group Policy Object

    1. Select Start > Run, type mmc.exe, and then select OK.
    2. Select File > Add/Remove Snap-in.
    3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
    4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
    5. Select OK.
    6. Select Finish.
    7. Select Close.
    8. Select OK.
    9. Seleccione Política de dominio predeterminada > Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales y, a continuación, seleccione Opciones de seguridad.
    10. En el cuadro de diálogo Seguridad de red: Requisitos de firma del cliente LDAP Cuadro de diálogo, seleccione Requerir firma en la lista y, a continuación, seleccione Aceptar.
    11. En el cuadro de diálogo Confirmar cambio de configuración, seleccione Sí.

        12. Cómo establecer el requisito de firma del cliente LDAP mediante el uso de claves de registro

        Importante

        Siga cuidadosamente los pasos de esta sección. Podrían producirse graves problemas si modifica el registro de forma incorrecta. Antes de modificarlo, haga una copia de seguridad del registro para restaurarlo en caso de que se produzcan problemas.

        Por defecto, para Active Directory Lightweight Directory Services (AD LDS), la clave del registro no está disponible. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

        Note

        The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

        How to verify configuration changes

        1. Sign in to a computer that has the AD DS Admin Tools installed.

        2. Select Start > Run, type ldp.exe, and then select OK.

        3. Select Connection > Connect.

        4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

          Note

          For an Active Directory Domain Controller, the applicable port is 389.

        5. After a connection is established, select Connection > Bind.

        6. Under Bind type, select Simple bind.

        7. Type the user name and password, and then select OK.

          If you receive the following error message, you have successfully configured your directory server:

          Ldap_simple_bind_s() failed: Strong Authentication Required

Deja una respuesta

Tu dirección de correo electrónico no será publicada.