Cum se activează semnarea LDAP în Windows Server

by: adminPosted on:
  • 09/08/2020
  • 6 minute de citit
    • D
    • s

Acest articol descrie cum să activați semnarea LDAP în Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 și Windows 10.

Versiunea originală a produsului: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – toate edițiile
Numărul KB original: 935834

Rezumat

Puteți îmbunătăți semnificativ securitatea unui server de directoare prin configurarea serverului pentru a respinge legăturile LDAP Simple Authentication and Security Layer (SASL) care nu solicită semnarea (verificarea integrității) sau pentru a respinge legăturile LDAP simple care sunt efectuate pe o conexiune în text clar (necriptată SSL/TLS). Legăturile SASL pot include protocoale precum Negotiate, Kerberos, NTLM și Digest.

Traficul de rețea nesemnat este susceptibil la atacuri de reluare. În astfel de atacuri, un intrus interceptează încercarea de autentificare și emiterea unui bilet. Intrusul poate refolosi biletul pentru a se da drept utilizator legitim. În plus, traficul de rețea nesemnat este susceptibil la atacuri de tip „man-in-the-middle” (MIM), în care un intrus captează pachetele dintre client și server, modifică pachetele și apoi le transmite către server. Dacă acest lucru se întâmplă pe un server LDAP, un atacator poate determina un server să ia decizii care se bazează pe cereri falsificate de la clientul LDAP.

Cum să descoperiți clienții care nu utilizează opțiunea Require signing

După ce efectuați această modificare de configurare, clienții care se bazează pe legături LDAP SASL (Negotiate, Kerberos, NTLM sau Digest) nesemnate sau pe legături LDAP simple prin intermediul unei conexiuni non-SSL/TLS nu mai funcționează. Pentru a ajuta la identificarea acestor clienți, serverul de directoare al Active Directory Domain Services (AD DS) sau Lightweight Directory Server (LDS) înregistrează un rezumat Event ID 2887 o dată la 24 de ore pentru a indica câte astfel de legături au avut loc. Vă recomandăm să configurați acești clienți pentru a nu utiliza astfel de legături. După ce nu sunt observate astfel de evenimente pentru o perioadă îndelungată, vă recomandăm să configurați serverul pentru a respinge astfel de legături.

Dacă trebuie să aveți mai multe informații pentru a identifica astfel de clienți, puteți configura serverul de directoare pentru a furniza jurnale mai detaliate. Acest jurnal suplimentar va înregistra un ID de eveniment 2889 atunci când un client încearcă să facă o legătură LDAP nesemnată. Intrarea din jurnal afișează adresa IP a clientului și identitatea pe care clientul a încercat să o folosească pentru a se autentifica. Puteți activa această logare suplimentară prin setarea setării de diagnosticare 16 LDAP Interface Events (16 evenimente de interfață LDAP) la 2 (Basic). Pentru mai multe informații despre modul de modificare a setărilor de diagnosticare, consultați Cum se configurează jurnalizarea evenimentelor de diagnosticare Active Directory și LDS.

Dacă serverul de directoare este configurat să respingă legăturile LDAP SASL fără semnătură sau legăturile LDAP simple prin intermediul unei conexiuni non-SSL/TLS, serverul de directoare înregistrează un ID de eveniment sumar 2888 o dată la fiecare 24 de ore atunci când au loc astfel de încercări de legare.

Cum se configurează directorul pentru a solicita semnarea serverului LDAP pentru AD DS

Pentru informații despre posibilele efecte ale modificării setărilor de securitate, consultați Probleme ale clienților, serviciilor și programelor pot apărea dacă modificați setările de securitate și atribuirile de drepturi ale utilizatorilor.

Nota

Anomalie de logare a ID-ului de eveniment 2889

Aplicațiile care utilizează clienți LDAP de la terți pot face ca Windows să genereze intrări incorecte ale ID-ului de eveniment 2889. Acest lucru se întâmplă atunci când înregistrați evenimente ale interfeței LDAP și dacă LDAPServerIntegrity este egal cu 2. Utilizarea sigilării (criptare) satisface protecția împotriva atacului MIM, dar Windows înregistrează oricum Event ID 2889.

Acest lucru se întâmplă atunci când clienții LDAP utilizează numai sigilarea împreună cu SASL. Am văzut acest lucru pe teren în asociere cu clienți LDAP de la terți.

Când o conexiune nu utilizează atât semnarea, cât și sigilarea, verificarea cerințelor de securitate a conexiunii utilizează corect stegulețele și se deconectează. Verificarea generează eroarea 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Utilizarea Politicii de grup

Cum se stabilește cerința de semnare LDAP a serverului

  1. Selectați Start > Run, tastați mmc.exe, apoi selectați OK.
  2. Select File > Add/Remove Snap-in, selectați Group Policy Management Editor și apoi selectați Add.
  3. Select Group Policy Object > Browse.
  4. În caseta de dialog Browse for a Group Policy Object, selectați Default Domain Controller Policy în zona Domains, OUs, and linked Group Policy Objects, apoi selectați OK.
  5. Select Finish.
  6. Select OK.
  7. Select Default Domain Controller Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, apoi selectați Security Options.
  8. Click dreapta pe Controler de domeniu: Cerințe de semnare a serverului LDAP, apoi selectați Properties.
  9. În Controler de domeniu: LDAP server signing requirements Properties (Cerințe de semnare a serverului LDAP), activați Define this policy setting (Definiți această setare de politică), selectați Require signing (Necesită semnare) în lista Define this policy setting (Definiți această setare de politică) și apoi selectați OK.
  10. În caseta de dialog Confirmarea modificării setărilor, selectați Yes (Da).

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Selectați Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, și apoi selectați Security Options.
  10. În Network security: LDAP client signing requirements Properties (Cerințe de semnare a clientului LDAP), selectați Require signing (Necesită semnare) din listă, apoi selectați OK.
  11. În caseta de dialog Confirmarea modificării setărilor, selectați Yes (Da).

Cum setați cerința de semnare a clientului LDAP prin utilizarea cheilor de registru

Important

Să urmați cu atenție pașii din această secțiune. Pot apărea probleme serioase dacă modificați registrul în mod incorect. Înainte de a-l modifica, faceți o copie de rezervă a registrului pentru restaurare în cazul în care apar probleme.

În mod implicit, pentru Active Directory Lightweight Directory Services (AD LDS), cheia de registru nu este disponibilă. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Lasă un răspuns

Adresa ta de email nu va fi publicată.