How to enable LDAP signing in Windows Server

  • 09/08/2020
  • 6 perc olvasás
    • D
    • s

Ez a cikk az LDAP-aláírás engedélyezését ismerteti a Windows Server 2019 rendszerben, Windows Server 2016, Windows Server 2012 R2 és Windows 10 rendszerben.

Eredeti termékverzió: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – minden kiadás
Eredeti KB-szám: 935834

Összefoglaló

Egy címtárkiszolgáló biztonságát jelentősen javíthatja azzal, hogy a kiszolgálót úgy konfigurálja, hogy elutasítsa az egyszerű hitelesítési és biztonsági réteg (SASL) LDAP-kötéseket, amelyek nem kérnek aláírást (integritásellenőrzést), vagy elutasítsa az egyszerű LDAP-kötéseket, amelyek tiszta szövegű (nem SL/TLS-titkosított) kapcsolaton keresztül történnek. A SASL-kötések olyan protokollokat tartalmazhatnak, mint a Negotiate, a Kerberos, az NTLM és a Digest.

A nem aláírt hálózati forgalom érzékeny a visszajátszási támadásokra. Az ilyen támadások során egy behatoló lehallgatja a hitelesítési kísérletet és a jegy kiállítását. A behatoló újra felhasználhatja a jegyet, hogy a legitim felhasználónak adja ki magát. Ezenkívül az aláírás nélküli hálózati forgalom fogékony a man-in-the-middle (MIM) támadásokra, amelyek során a behatoló elfogja az ügyfél és a kiszolgáló közötti csomagokat, megváltoztatja a csomagokat, majd továbbítja azokat a kiszolgálónak. Ha ez egy LDAP-kiszolgálón történik, a támadó arra késztetheti a kiszolgálót, hogy olyan döntéseket hozzon, amelyek az LDAP-ügyféltől származó hamisított kéréseken alapulnak.

Hogyan fedezze fel azokat az ügyfeleket, amelyek nem használják az Aláírás megkövetelése opciót

A konfiguráció módosítását követően az olyan ügyfelek, amelyek az aláírás nélküli SASL (Negotiate, Kerberos, NTLM vagy Digest) LDAP-kötésekre vagy a nem SL/TLS-kapcsolaton keresztüli egyszerű LDAP-kötésekre támaszkodnak, nem működnek. Az ilyen ügyfelek azonosításának megkönnyítése érdekében az Active Directory tartományi szolgáltatások (AD DS) vagy a Lightweight Directory Server (LDS) címtárkiszolgálója 24 óránként egyszer 2887-es eseményazonosítóval naplózza az összefoglaló eseményt, amely jelzi, hogy hány ilyen kötés történt. Javasoljuk, hogy ezeket az ügyfeleket úgy konfigurálja, hogy ne használjanak ilyen kötéseket. Miután hosszabb ideig nem figyelhető meg ilyen esemény, javasoljuk, hogy konfigurálja a kiszolgálót az ilyen kötések elutasítására.

Ha több információra van szüksége az ilyen ügyfelek azonosításához, konfigurálhatja a címtárkiszolgálót részletesebb naplók szolgáltatására. Ez a kiegészítő naplózás 2889-es eseményazonosítóval naplózza, ha egy ügyfél megpróbál aláíratlan LDAP-kötést végrehajtani. A naplóbejegyzés megjeleníti az ügyfél IP-címét és azt az azonosítót, amellyel az ügyfél megpróbált hitelesíteni. Ezt a kiegészítő naplózást a 16 LDAP-interfészesemény diagnosztikai beállítás 2 (Alap) értékére állítva engedélyezheti. A diagnosztikai beállítások módosításával kapcsolatos további információkért lásd: Az Active Directory és az LDS diagnosztikai eseménynaplózásának konfigurálása.

Ha a címtárkiszolgáló úgy van beállítva, hogy elutasítja az aláírás nélküli SASL LDAP-kötéseket vagy a nem SL/TLS-kapcsolaton keresztüli egyszerű LDAP-kötéseket, a címtárkiszolgáló 24 óránként egyszer naplózza a 2888-as eseményazonosítójú összefoglalót, amikor ilyen kötési kísérlet történik.

A címtár konfigurálása az LDAP-kiszolgáló aláírásának megkövetelésére az AD DS számára

A biztonsági beállítások módosításának lehetséges hatásairól a következő témakörben olvashat: Ügyfél-, szolgáltatás- és programproblémák léphetnek fel a biztonsági beállítások és a felhasználói jogok kiosztásának módosítása esetén.

Megjegyzés

A 2889-es eseményazonosító naplózási anomáliája

A harmadik féltől származó LDAP-klienseket használó alkalmazások miatt a Windows hibás 2889-es eseményazonosítójú bejegyzéseket generálhat. Ez akkor fordul elő, ha az LDAP-interfész eseményeit naplózza, és ha a LDAPServerIntegrity értéke 2. A lezárás (titkosítás) használata kielégíti a MIM-támadás elleni védelmet, de a Windows mégis naplózza a 2889-es eseményazonosítót.

Ez akkor fordul elő, ha az LDAP-kliensek csak lezárást használnak SASL-lel együtt. Ezt a gyakorlatban harmadik féltől származó LDAP-kliensekkel kapcsolatban tapasztaltuk.

Ha egy kapcsolat nem használ aláírást és pecsételést is, a kapcsolat biztonsági követelményeinek ellenőrzése helyesen használja a zászlókat, és megszakítja a kapcsolatot. Az ellenőrzés 8232-es hibát generál (ERROR_DS_STRONG_AUTH_REQUIRED).

Csoportpolitika használata

A kiszolgáló LDAP aláírási követelményének beállítása

  1. Válassza a Start > Futtatás, írja be az mmc.exe, majd válassza az OK lehetőséget.
  2. Válassza a Fájl > Snap-in hozzáadása/eltávolítása lehetőséget, válassza a Csoportházirend-kezelő szerkesztő, majd válassza a Hozzáadás lehetőséget.
  3. Válassza a Csoportházirend-objektum > Tallózás.
  4. A Csoportházirend-objektum keresése párbeszédpanelen válassza ki a Tartományok, OU-k és kapcsolódó csoportházirend-objektumok területen az Alapértelmezett tartományvezérlő házirendjét, majd válassza az OK lehetőséget.
  5. Válassza a Befejezés lehetőséget.
  6. Válassza az OK lehetőséget.
  7. Válassza ki az Alapértelmezett tartományvezérlő házirend > Számítógép konfigurációja > Házirendek > Windows beállítások > Biztonsági beállítások > Helyi házirendek, majd válassza a Biztonsági beállítások lehetőséget.
  8. Kattintson a jobb gombbal a Tartományvezérlőre: LDAP-kiszolgáló aláírási követelményei, majd válassza a Tulajdonságok lehetőséget.
  9. A tartományvezérlőn: LDAP-kiszolgáló aláírási követelményei Tulajdonságok párbeszédpanelen engedélyezze a Házirend beállításának meghatározása lehetőséget, válassza az Aláírás megkövetelése lehetőséget a Házirend beállításának meghatározása listában, majd válassza az OK lehetőséget.
  10. A Beállítás módosításának megerősítése párbeszédpanelen válassza az Igen lehetőséget.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Válassza ki az Alapértelmezett tartományi házirend > Számítógép konfigurációja > Windows beállítások > Biztonsági beállítások > Helyi házirendek, majd válassza a Biztonsági beállítások lehetőséget.
  10. A hálózati biztonság: LDAP-ügyfél aláírási követelményei Tulajdonságok párbeszédpanelen jelölje ki a listából az Aláírás megkövetelése lehetőséget, majd válassza az OK lehetőséget.
  11. A Beállítás módosításának megerősítése párbeszédpanelen válassza az Igen lehetőséget.

Az LDAP-ügyfél aláírási követelményének beállítása a beállításjegyzékkulcsok használatával

Fontos

Figyelmesen kövesse az ebben a részben leírt lépéseket. Súlyos problémák léphetnek fel, ha helytelenül módosítja a beállításjegyzéket. A módosítás előtt készítsen biztonsági másolatot a rendszerleíró adatbázisról a helyreállításhoz, ha problémák merülnek fel.

Az Active Directory Lightweight Directory Services (AD LDS) esetében a rendszerleíró kulcs alapértelmezés szerint nem érhető el. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.