Come abilitare la firma LDAP in Windows Server

  • 09/08/2020
  • 6 minuti per leggere
    • D
    • s

Questo articolo descrive come abilitare la firma LDAP in Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows 10.

Versione originale del prodotto: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – tutte le edizioni
Numero originale della KB: 935834

Sommario

È possibile migliorare significativamente la sicurezza di un server di directory configurando il server per rifiutare i binding LDAP Simple Authentication and Security Layer (SASL) che non richiedono la firma (verifica di integrità), o per rifiutare i binding LDAP semplici che vengono eseguiti su una connessione in chiaro (non-SSL/TLS-crittografata). I binding SASL possono includere protocolli come Negotiate, Kerberos, NTLM e Digest.

Il traffico di rete non firmato è suscettibile di attacchi replay. In tali attacchi, un intruso intercetta il tentativo di autenticazione e l’emissione di un ticket. L’intruso può riutilizzare il ticket per impersonare l’utente legittimo. Inoltre, il traffico di rete non firmato è suscettibile di attacchi man-in-the-middle (MIM) in cui un intruso cattura i pacchetti tra il client e il server, modifica i pacchetti e poi li inoltra al server. Se questo avviene su un server LDAP, un aggressore può far sì che il server prenda decisioni basate su richieste falsificate dal client LDAP.

Come scoprire i client che non usano l’opzione Richiedi firma

Dopo aver apportato questa modifica alla configurazione, i client che si basano su legami LDAP SASL (Negotiate, Kerberos, NTLM o Digest) non firmati o su legami LDAP semplici su una connessione non-SSL/TLS smettono di funzionare. Per aiutare a identificare questi client, il server di directory di Active Directory Domain Services (AD DS) o Lightweight Directory Server (LDS) registra un evento riassuntivo ID 2887 una volta ogni 24 ore per indicare quanti binding di questo tipo si sono verificati. Si consiglia di configurare questi client per non utilizzare tali collegamenti. Dopo che nessun evento di questo tipo è stato osservato per un lungo periodo, si raccomanda di configurare il server per rifiutare tali collegamenti.

Se è necessario avere più informazioni per identificare tali client, è possibile configurare il server delle directory per fornire registri più dettagliati. Questo log aggiuntivo registrerà un ID evento 2889 quando un client cerca di effettuare un bind LDAP non firmato. La voce di registro mostra l’indirizzo IP del client e l’identità che il client ha cercato di usare per autenticarsi. Puoi abilitare questa registrazione aggiuntiva impostando l’impostazione diagnostica 16 LDAP Interface Events a 2 (Basic). Per ulteriori informazioni su come modificare le impostazioni di diagnostica, vedere Come configurare la registrazione degli eventi diagnostici di Active Directory e LDS.

Se il server delle directory è configurato per rifiutare i binding LDAP SASL non firmati o i binding LDAP semplici su una connessione non-SSL/TLS, il server delle directory registra un ID evento riepilogativo 2888 una volta ogni 24 ore quando si verificano tali tentativi di binding.

Come configurare la directory per richiedere la firma del server LDAP per AD DS

Per informazioni sui possibili effetti della modifica delle impostazioni di sicurezza, consultare Problemi di client, servizi e programmi possono verificarsi se si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente.

Nota

Anomalia di registrazione dell’ID evento 2889

Le applicazioni che utilizzano client LDAP di terze parti possono causare la generazione da parte di Windows di voci di ID evento 2889 errate. Questo accade quando si registra degli eventi dell’interfaccia LDAP e se LDAPServerIntegrity è uguale a 2. L’uso della sigillatura (crittografia) soddisfa la protezione contro l’attacco MIM, ma Windows registra comunque l’ID evento 2889.

Questo accade quando i client LDAP usano solo la sigillatura insieme a SASL. Lo abbiamo visto sul campo in associazione con client LDAP di terze parti.

Quando una connessione non usa sia la firma che il sigillo, il controllo dei requisiti di sicurezza della connessione usa correttamente i flag e si disconnette. Il controllo genera l’errore 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Utilizzando i criteri di gruppo

Come impostare il requisito di firma del server LDAP

  1. Seleziona Start > Run, digita mmc.exe, quindi selezionare OK.
  2. Selezionare File > Aggiungi/Rimuovi Snap-in, selezionare Editor gestione criteri di gruppo, quindi selezionare Aggiungi.
  3. Selezionare Oggetto criteri di gruppo > Sfoglia.
  4. Nella finestra di dialogo Sfoglia per un oggetto criteri di gruppo, selezionare Criteri di controllo di dominio predefiniti nell’area Domini, UO e oggetti criteri di gruppo collegati, quindi selezionare OK.
  5. Selezionare Fine.
  6. Selezionare OK.
  7. Selezionare Politica predefinita del controller di dominio > Configurazione computer > Politiche > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali, e quindi selezionare Opzioni di sicurezza.
  8. Clicca con il tasto destro del mouse su Controller di dominio: Requisiti di firma del server LDAP, e poi selezionare Proprietà.
  9. Nel controller di dominio: Requisiti di firma del server LDAP Proprietà, abilitare l’impostazione di questo criterio, selezionare Richiedi la firma nell’elenco Definisci questa impostazione di criterio, quindi selezionare OK.
  10. Nella finestra di dialogo Conferma modifica impostazione, selezionare Sì.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Selezionare Criteri di dominio predefiniti > Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali, quindi selezionare Opzioni di sicurezza.
  10. Nella finestra di dialogo Sicurezza di rete: Requisiti di firma del client LDAP Proprietà, selezionare Richiedi firma nell’elenco, quindi selezionare OK.
  11. Nella finestra di dialogo Conferma modifica impostazione, selezionare Sì.

Come impostare il requisito di firma del client LDAP utilizzando le chiavi di registro

Importante

Seguire attentamente i passaggi di questa sezione. Potrebbero verificarsi seri problemi se modifichi il registro di sistema in modo errato. Prima di modificarlo, fai un backup del registro per ripristinarlo in caso di problemi.

Di default, per Active Directory Lightweight Directory Services (AD LDS), la chiave di registro non è disponibile. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.