Hoe LDAP ondertekening inschakelen in Windows Server

by: adminPosted on:
  • 09/08/2020
  • 6 minuten om te lezen
    • D
    • s

Dit artikel beschrijft hoe u LDAP-signering inschakelt in Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 en Windows 10.

Oorspronkelijke productversie: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – alle edities
Oorspronkelijk KB-nummer: 935834

Samenvatting

U kunt de beveiliging van een directoryserver aanzienlijk verbeteren door de server te configureren om Simple Authentication and Security Layer (SASL) LDAP-bindingen te weigeren die niet om ondertekening (integriteitsverificatie) vragen, of om LDAP simple binds te weigeren die worden uitgevoerd op een verbinding met duidelijke tekst (niet-SSL/TLS-encrypted). SASL-bindingen kunnen protocollen als Negotiate, Kerberos, NTLM en Digest omvatten.

Onondertekend netwerkverkeer is gevoelig voor replay-aanvallen. Bij dergelijke aanvallen onderschept een indringer de authenticatiepoging en de uitgifte van een ticket. De indringer kan het ticket hergebruiken om zich voor te doen als de legitieme gebruiker. Bovendien is niet-ondertekend netwerkverkeer vatbaar voor “man-in-the-middle”-aanvallen (MIM), waarbij een indringer pakketten tussen de client en de server onderschept, de pakketten wijzigt en ze vervolgens naar de server doorstuurt. Als dit op een LDAP-server gebeurt, kan een aanvaller ervoor zorgen dat een server beslissingen neemt die zijn gebaseerd op vervalste verzoeken van de LDAP-client.

Hoe cliënten te ontdekken die de optie Ondertekening vereisen

Nadat u deze configuratiewijziging hebt aangebracht, werken cliënten die vertrouwen op niet-ondertekende SASL (Negotiate, Kerberos, NTLM of Digest) LDAP-bindingen of op LDAP simple binds over een niet-SSL/TLS-verbinding niet meer. Om deze clients te helpen identificeren, logt de directoryserver van Active Directory Domain Services (AD DS) of Lightweight Directory Server (LDS) één keer per 24 uur een samenvatting van Event ID 2887 om aan te geven hoeveel van dergelijke bindingen hebben plaatsgevonden. We raden aan dat u deze clients configureert om dergelijke bindingen niet te gebruiken. Nadat er gedurende een langere periode geen dergelijke gebeurtenissen zijn waargenomen, wordt aanbevolen om de server te configureren om dergelijke bindingen te weigeren.

Als u meer informatie nodig heeft om dergelijke clients te identificeren, kunt u de directory server configureren om meer gedetailleerde logs te leveren. Deze extra logging zal een Event ID 2889 loggen wanneer een client probeert een niet-ondertekende LDAP-binding te maken. De logboekvermelding toont het IP-adres van de client en de identiteit die de client probeerde te gebruiken om te authenticeren. U kunt deze extra logboekregistratie inschakelen door de diagnostische instelling 16 LDAP-interfacegebeurtenissen op 2 (Basis) in te stellen. Zie Active Directory en LDS diagnostic event logging configureren voor meer informatie over het wijzigen van de diagnostische instellingen.

Als de directoryserver is geconfigureerd om niet-ondertekende SASL LDAP-bindingen of LDAP simple binds over een niet-SSL/TLS-verbinding te weigeren, logt de directoryserver één keer per 24 uur een samenvattend Event ID 2888 wanneer dergelijke bindingspogingen zich voordoen.

Hoe configureert u de directory om LDAP-serverhandtekeningen voor AD DS te vereisen

Voor informatie over mogelijke gevolgen van het wijzigen van beveiligingsinstellingen, raadpleegt u Client-, service- en programmaproblemen kunnen optreden als u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigt.

Note

Logging anomalie van Event ID 2889

Applicaties die LDAP-clients van derden gebruiken, kunnen ertoe leiden dat Windows onjuiste Event ID 2889-vermeldingen genereert. Dit gebeurt wanneer u LDAP-interface-events logt en als LDAPServerIntegrity gelijk is aan 2. Het gebruik van verzegeling (encryptie) voldoet aan de beveiliging tegen de MIM-aanval, maar Windows logt Event ID 2889 toch.

Dit gebeurt wanneer LDAP-clients alleen verzegeling gebruiken in combinatie met SASL. We hebben dit in het veld gezien in combinatie met LDAP-clients van derden.

Wanneer een verbinding niet zowel ondertekenen als verzegelen gebruikt, maakt de controle van de beveiligingseisen voor de verbinding correct gebruik van de vlaggen en verbreekt de verbinding. De controle genereert Error 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Groepsbeleid gebruiken

Hoe stel je de server LDAP signing requirement

  1. Selecteer Start > Run, type mmc.exe, en selecteer OK.
  2. Selecteer Bestand > Snap-in toevoegen/verwijderen, selecteer Beheer-editor groepsbeleid, en selecteer vervolgens Toevoegen.
  3. Selecteer Groepsbeleidobject > Bladeren.
  4. In het dialoogvenster Bladeren naar een Groepsbeleidobject selecteert u Standaardbeleid voor domeincontroller in het gebied Domeinen, systeemeenheden en gekoppelde Groepsbeleidobjecten en vervolgens selecteert u OK.
  5. Selecteer Voltooien.
  6. Selecteer OK.
  7. Selecteer Standaard Domain Controller-beleid > Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid, en selecteer vervolgens Beveiligingsopties.
  8. Klik met de rechtermuisknop op Domeincontroller: LDAP-server ondertekeningsvereisten, en selecteer vervolgens Eigenschappen.
  9. In het dialoogvenster Eigenschappen van de domeincontroller: LDAP-server ondertekeningsvereisten Eigenschappen dialoogvenster, schakelt u Deze beleidsinstelling definiëren in, selecteert u Ondertekening vereisen in de lijst Deze beleidsinstelling definiëren en selecteert u OK.
  10. In het dialoogvenster Wijziging instelling bevestigen selecteert u Ja.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Selecteer Standaard domeinbeleid > Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid, en selecteer vervolgens Beveiligingsopties.
  10. In het dialoogvenster Netwerkbeveiliging: LDAP client signing requirements Properties dialoogvenster, selecteer je Require signing in de lijst en selecteer je OK.
  11. In het dialoogvenster Confirm Setting Change selecteer je Yes.

Hoe stel je de client LDAP signing requirement in door registersleutels te gebruiken

Important

Volg de stappen in dit gedeelte zorgvuldig. Er kunnen ernstige problemen optreden als u het register onjuist wijzigt. Maak een back-up van het register voordat u het wijzigt, zodat het kan worden hersteld als er problemen optreden.

Voor Active Directory Lightweight Directory Services (AD LDS) is de registersleutel standaard niet beschikbaar. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.