How to enable LDAP signing in Windows Server

by: adminPosted on:
  • 09/08/2020
  • 6 minutes to read
    • D
    • s

この記事では、Windows Server 2019 で LDAP 署名を有効にする方法について説明します。 Windows Server 2016、Windows Server 2012 R2、およびWindows 10。

元の製品バージョンです。 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10 – すべてのエディション
元の KB 番号: 935834

概要

サーバーを設定して、署名(整合性検証)を要求しない単純認証およびセキュリティ レイヤー(SASL)LDAP バインを拒否したり、クリア テキスト(非 SSL/TLS 暗号)接続で実行する LDAP 単純バインを拒否することにより、ディレクトリ サーバーのセキュリティを大幅に改善することが可能です。 SASL バインドには、Negotiate、Kerberos、NTLM、Digest などのプロトコルが含まれます。

署名されていないネットワーク トラフィックは、リプレイ攻撃の影響を受けやすいと言われています。 このような攻撃では、侵入者は認証の試みとチケットの発行を傍受する。 侵入者は、正規のユーザーになりすますために、そのチケットを再利用することができます。 さらに、署名されていないネットワークトラフィックは、侵入者がクライアントとサーバー間のパケットをキャプチャし、パケットを変更し、サーバーに転送する中間者(MIM)攻撃の影響を受けやすくなっています。 これが LDAP サーバー上で発生すると、攻撃者は LDAP クライアントからの偽造された要求に基づいてサーバーに決定を下させることができます。

署名を要求するオプションを使用しないクライアントを検出する方法

この構成変更を行うと、署名なしの SASL (Negotiate, Kerberos, NTLM または Digest) LDAP 結合または非 SSL/TLS 接続上の LDAP 単純結合に依存していたクライアントが機能を停止します。 これらのクライアントを識別するために、Active Directory Domain Services(AD DS)またはLightweight Directory Server(LDS)のディレクトリサーバーは、24時間ごとにイベントID 2887を記録し、このようなバインドが何回発生したかを知らせます。 これらのクライアントは、このようなバインドを使用しないように設定することをお勧めします。

そのようなクライアントを識別するために、より多くの情報が必要な場合は、より詳細なログを提供するようにディレクトリ サーバーを構成することができます。 この追加のログは、クライアントが署名されていない LDAP バインドを行おうとすると、イベント ID 2889 を記録します。 ログエントリには、クライアントのIPアドレスと、クライアントが認証に使用しようとしたIDが表示されます。 この追加ログを有効にするには、16 LDAP Interface Eventsの診断設定を2(Basic)に設定します。 診断設定の変更方法の詳細については、Active DirectoryおよびLDS診断イベントログの構成方法を参照してください。

ディレクトリサーバーが、非SSL/TLS接続での署名なしLDAPバインドまたはLDAPシンプルバインドを拒否するように構成されている場合、ディレクトリサーバーはそのようなバインド試行が起こると24時間に一度、イベントID 2888を要約ログとして記録します。

AD DS で LDAP サーバーの署名を要求するようにディレクトリを構成する方法

セキュリティ設定を変更した場合に考えられる影響については、セキュリティ設定およびユーザー権限の割り当てを変更するとクライアント、サービス、およびプログラムの問題が発生することがあります。

Note

Logging anomaly of Event ID 2889

他社製のLDAPクライアントを使用するアプリケーションによりWindowsが誤ったイベントID 2889エントリーを生成している可能性があります。 封印 (暗号化) の使用は MIM 攻撃に対する保護を満たしますが、Windows はイベント ID 2889 をとにかく記録します。

これは、LDAP クライアントが SASL とともに封印のみを使用する場合に発生します。

接続が署名と封印の両方を使用しない場合、接続セキュリティ要件チェックはフラグを正しく使用し、接続を解除します。 このチェックでは、エラー 8232 (ERROR_DS_STRONG_AUTH_REQUIRED) が発生します。

グループ ポリシーの使用

How to set the server LDAP signing requirement

  1. [start] を選択し、実行ファイルに mmc.TXT と入力します。exe と入力し、OK を選択します。
  2. ファイル > スナップインの追加と削除を選択し、グループ ポリシー管理エディターを選択し、追加します。
  3. グループ ポリシー オブジェクト > 探索を選択します。
  4. [Browse for a Group Policy Object] ダイアログ ボックスで、[Domains, OUs, and linked Group Policy Objects] 領域の [Default Domain Controller Policy] を選択し、[OK] を選択します
  5. Finish を選択します
  6. OK を選択します

  7. Default Domain Controller Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies を選択してから、セキュリティ オプションを選択する。
  8. Domain controller を右クリックします。 LDAP サーバー署名要件] を右クリックし、[プロパティ] を選択します。
  9. Domain controller: LDAP サーバーの署名の要件のプロパティ] ダイアログ ボックスで、[このポリシー設定の定義] を有効にし、[このポリシー設定の定義] リストで [署名を要求] を選択し、[OK] を選択します
  10. [settings change] の確認ダイアログ ボックスで [Yes]を選択します。

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies を選択し、次に Security Options.
  10. In the Network Security.Default ドメインポリシーを選択し、次に Security Options を選択して、最後に OK を選択します。
  11. [Network security: LDAP client signing requirements Properties] ダイアログ ボックスで、リストから [Require signing] を選択し、[OK] を選択します。

レジストリ キーによるクライアント LDAP 署名要件の設定方法

重要

このセクションの手順を慎重に実行します。 レジストリを間違って変更すると、深刻な問題が発生する可能性があります。

デフォルトでは、Active Directory Lightweight Directory Services (AD LDS) の場合、レジストリ キーは使用できません。 Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

コメントを残す

メールアドレスが公開されることはありません。