Hur du aktiverar LDAP-signering i Windows Server

• 09/08/2020
• 6 minuter att läsa
• • D
  • s

Den här artikeln beskriver hur du aktiverar LDAP-signering i Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows 10.

Originell produktversion: Du kan avsevärt förbättra säkerheten för en katalogserver genom att konfigurera servern så att den avvisar LDAP-bindningar med Simple Authentication and Security Layer (SASL) som inte begär signering (integritetsverifiering), eller så att den avvisar LDAP-simple binds som utförs på en klartextanslutning (icke-SSL/TLS-krypterad). SASL-bindningar kan omfatta protokoll som Negotiate, Kerberos, NTLM och Digest.

Osignerad nätverkstrafik är känslig för replay-attacker. Vid sådana attacker avlyssnar en inkräktare autentiseringsförsöket och utfärdandet av en biljett. Inkräktaren kan återanvända biljetten för att utge sig för att vara den legitima användaren. Dessutom är osignerad nätverkstrafik känslig för MIM-attacker (man-in-the-middle) där en inkräktare fångar upp paket mellan klienten och servern, ändrar paketen och sedan vidarebefordrar dem till servern. Om detta sker på en LDAP-server kan en angripare få servern att fatta beslut som baseras på förfalskade förfrågningar från LDAP-klienten.

Hur man upptäcker klienter som inte använder alternativet Kräv signering

När du har gjort den här konfigurationsändringen slutar klienter som förlitar sig på osignerade SASL-(Negotiate, Kerberos, NTLM eller Digest)-lDAP-bindningar eller på LDAP-simple binds över en icke-SSL/TLS-anslutning att fungera. För att hjälpa till att identifiera dessa klienter loggar katalogservern i Active Directory Domain Services (AD DS) eller Lightweight Directory Server (LDS) en gång var 24:e timme en sammanfattning av händelse-ID 2887 för att ange hur många sådana bindningar som inträffade. Vi rekommenderar att du konfigurerar dessa klienter så att de inte använder sådana bindningar. När inga sådana händelser observerats under en längre tid rekommenderar vi att du konfigurerar servern så att den avvisar sådana bindningar.

Om du behöver mer information för att identifiera sådana klienter kan du konfigurera katalogservern så att den tillhandahåller mer detaljerade loggar. Denna extra loggning kommer att logga ett händelse-ID 2889 när en klient försöker göra en osignerad LDAP-bindning. Loggposten visar klientens IP-adress och den identitet som klienten försökte använda för att autentisera. Du kan aktivera den här extra loggningen genom att ställa in diagnosinställningen 16 LDAP Interface Events till 2 (Basic). Mer information om hur du ändrar diagnosinställningarna finns i Så här konfigurerar du loggning av diagnostiska händelser i Active Directory och LDS.

Om katalogservern är konfigurerad för att avvisa osignerade SASL LDAP-bindningar eller LDAP-simple-bindningar över en icke-SSL/TLS-anslutning loggar katalogservern en sammanfattning av händelse-ID 2888 en gång var 24:e timme när sådana bindningsförsök inträffar.

Hur du konfigurerar katalogen så att LDAP-serverns signering krävs för AD DS

För information om möjliga effekter av att ändra säkerhetsinställningar, se Klient-, tjänste- och programproblem kan uppstå om du ändrar säkerhetsinställningar och tilldelningar av användarrättigheter.

Användning av grupprinciper

Hur du ställer in serverns LDAP-signeringskrav

1. Välj Start > Kör, skriv mmc.exe och välj OK.
3. Välj File > Add/Remove Snap-in (Lägg till/ta bort snapin-moduler), välj Group Policy Management Editor (Redigeraren för hantering av grupprinciper) och välj Add (Lägg till).
5. Välj Group Policy Object (Objekt för grupprinciper) > Browse.
6. I dialogrutan Bläddra efter ett grupprincipobjekt väljer du Standardpolicy för domänkontrollant under området Domäner, organisationsenheter och länkade grupprincipobjekt och väljer sedan OK.
7. Välj Slutför.
8. Välj OK.
9. Välj Standardpolicy för domänkontrollant > Datorkonfiguration > Principer > Windowsinställningar > Säkerhetsinställningar > Lokala principer och välj sedan Säkerhetsalternativ.
10. Högerklicka på Domänkontrollant: LDAP-serverns signeringskrav och välj sedan Egenskaper.
11. I domänkontrollant: LDAP-serverns signeringskrav och välj sedan Egenskaper.
12. I domänkontrollant: Aktivera Definiera den här principinställningen, välj Krav på signering i listan Definiera den här principinställningen och välj sedan OK.
13. I dialogrutan Bekräfta ändring av inställning väljer du Ja i dialogrutan Bekräfta ändring av inställning.

How to set the client LDAP signing requirement by using local computer policy

1. Select Start > Run, type mmc.exe, and then select OK.
2. Select File > Add/Remove Snap-in.
3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
4. Select Finish.
5. Select OK.
6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
7. Right-click Network security: LDAP client signing requirements, and then select Properties.
8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

1. Select Start > Run, type mmc.exe, and then select OK.
2. Select File > Add/Remove Snap-in.
3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
5. Select OK.
6. Select Finish.
7. Select Close.
8. Select OK.
9. Välj Standarddomänpolicy > Datorkonfiguration > Windowsinställningar > Säkerhetsinställningar > Lokala policyer och välj sedan Säkerhetsalternativ.
10. I Nätverkssäkerhet:
12. I dialogrutan Egenskaper för LDAP-klientsigneringskrav väljer du Krav på signering i listan och väljer sedan OK.
13. I dialogrutan Bekräfta ändring av inställning väljer du Ja.

Sättet att ställa in kravet på LDAP-klientsignering med hjälp av registernycklar

För Active Directory Lightweight Directory Services (AD LDS) är registernyckeln som standard inte tillgänglig. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

How to verify configuration changes

1. Sign in to a computer that has the AD DS Admin Tools installed.

2. Select Start > Run, type ldp.exe, and then select OK.

3. Select Connection > Connect.

4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

   Note

   For an Active Directory Domain Controller, the applicable port is 389.

5. After a connection is established, select Connection > Bind.

6. Under Bind type, select Simple bind.

7. Type the user name and password, and then select OK.

   If you receive the following error message, you have successfully configured your directory server:

   Ldap_simple_bind_s() failed: Strong Authentication Required