- 09/08/2020
- 6 minuter att läsa
-
- D
- s
Den här artikeln beskriver hur du aktiverar LDAP-signering i Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows 10.
Originell produktversion: Du kan avsevärt förbättra säkerheten för en katalogserver genom att konfigurera servern så att den avvisar LDAP-bindningar med Simple Authentication and Security Layer (SASL) som inte begär signering (integritetsverifiering), eller så att den avvisar LDAP-simple binds som utförs på en klartextanslutning (icke-SSL/TLS-krypterad). SASL-bindningar kan omfatta protokoll som Negotiate, Kerberos, NTLM och Digest.
Osignerad nätverkstrafik är känslig för replay-attacker. Vid sådana attacker avlyssnar en inkräktare autentiseringsförsöket och utfärdandet av en biljett. Inkräktaren kan återanvända biljetten för att utge sig för att vara den legitima användaren. Dessutom är osignerad nätverkstrafik känslig för MIM-attacker (man-in-the-middle) där en inkräktare fångar upp paket mellan klienten och servern, ändrar paketen och sedan vidarebefordrar dem till servern. Om detta sker på en LDAP-server kan en angripare få servern att fatta beslut som baseras på förfalskade förfrågningar från LDAP-klienten.
- Hur man upptäcker klienter som inte använder alternativet Kräv signering
- Hur du konfigurerar katalogen så att LDAP-serverns signering krävs för AD DS
- Användning av grupprinciper
- Hur du ställer in serverns LDAP-signeringskrav
- How to set the client LDAP signing requirement by using local computer policy
- How to set the client LDAP signing requirement by using a domain Group Policy Object
- Sättet att ställa in kravet på LDAP-klientsignering med hjälp av registernycklar
- How to verify configuration changes
Hur man upptäcker klienter som inte använder alternativet Kräv signering
När du har gjort den här konfigurationsändringen slutar klienter som förlitar sig på osignerade SASL-(Negotiate, Kerberos, NTLM eller Digest)-lDAP-bindningar eller på LDAP-simple binds över en icke-SSL/TLS-anslutning att fungera. För att hjälpa till att identifiera dessa klienter loggar katalogservern i Active Directory Domain Services (AD DS) eller Lightweight Directory Server (LDS) en gång var 24:e timme en sammanfattning av händelse-ID 2887 för att ange hur många sådana bindningar som inträffade. Vi rekommenderar att du konfigurerar dessa klienter så att de inte använder sådana bindningar. När inga sådana händelser observerats under en längre tid rekommenderar vi att du konfigurerar servern så att den avvisar sådana bindningar.
Om du behöver mer information för att identifiera sådana klienter kan du konfigurera katalogservern så att den tillhandahåller mer detaljerade loggar. Denna extra loggning kommer att logga ett händelse-ID 2889 när en klient försöker göra en osignerad LDAP-bindning. Loggposten visar klientens IP-adress och den identitet som klienten försökte använda för att autentisera. Du kan aktivera den här extra loggningen genom att ställa in diagnosinställningen 16 LDAP Interface Events till 2 (Basic). Mer information om hur du ändrar diagnosinställningarna finns i Så här konfigurerar du loggning av diagnostiska händelser i Active Directory och LDS.
Om katalogservern är konfigurerad för att avvisa osignerade SASL LDAP-bindningar eller LDAP-simple-bindningar över en icke-SSL/TLS-anslutning loggar katalogservern en sammanfattning av händelse-ID 2888 en gång var 24:e timme när sådana bindningsförsök inträffar.
Hur du konfigurerar katalogen så att LDAP-serverns signering krävs för AD DS
För information om möjliga effekter av att ändra säkerhetsinställningar, se Klient-, tjänste- och programproblem kan uppstå om du ändrar säkerhetsinställningar och tilldelningar av användarrättigheter.
Anomalier i loggningen av Händelse-ID 2889
Användningar som använder LDAP-klienter från tredje part kan leda till att Windows genererar felaktiga poster för Händelse-ID 2889. Detta inträffar när du loggar händelser i LDAP-gränssnittet och om LDAPServerIntegrity
är lika med 2. Användningen av försegling (kryptering) uppfyller skyddet mot MIM-attacken, men Windows loggar ändå Händelse-ID 2889.
Detta inträffar när LDAP-klienter endast använder försegling tillsammans med SASL. Vi har sett detta på fältet i samband med LDAP-klienter från tredje part.
När en anslutning inte använder både signering och försegling använder kontrollen av anslutningens säkerhetskrav flaggorna på rätt sätt och avbryter anslutningen. Kontrollen genererar fel 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).
Användning av grupprinciper
Hur du ställer in serverns LDAP-signeringskrav
- Välj Start > Kör, skriv mmc.exe och välj OK.
- Välj File > Add/Remove Snap-in (Lägg till/ta bort snapin-moduler), välj Group Policy Management Editor (Redigeraren för hantering av grupprinciper) och välj Add (Lägg till).
- Välj Group Policy Object (Objekt för grupprinciper) > Browse.
- I dialogrutan Bläddra efter ett grupprincipobjekt väljer du Standardpolicy för domänkontrollant under området Domäner, organisationsenheter och länkade grupprincipobjekt och väljer sedan OK.
- Välj Slutför.
- Välj OK.
- Välj Standardpolicy för domänkontrollant > Datorkonfiguration > Principer > Windowsinställningar > Säkerhetsinställningar > Lokala principer och välj sedan Säkerhetsalternativ.
- Högerklicka på Domänkontrollant: LDAP-serverns signeringskrav och välj sedan Egenskaper.
- I domänkontrollant: LDAP-serverns signeringskrav och välj sedan Egenskaper.
- I domänkontrollant: Aktivera Definiera den här principinställningen, välj Krav på signering i listan Definiera den här principinställningen och välj sedan OK.
- I dialogrutan Bekräfta ändring av inställning väljer du Ja i dialogrutan Bekräfta ändring av inställning.
How to set the client LDAP signing requirement by using local computer policy
- Select Start > Run, type mmc.exe, and then select OK.
- Select File > Add/Remove Snap-in.
- In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
- Select Finish.
- Select OK.
- Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
- Right-click Network security: LDAP client signing requirements, and then select Properties.
- In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
- In the Confirm Setting Change dialog box, select Yes.
How to set the client LDAP signing requirement by using a domain Group Policy Object
- Select Start > Run, type mmc.exe, and then select OK.
- Select File > Add/Remove Snap-in.
- In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
- Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
- Select OK.
- Select Finish.
- Select Close.
- Select OK.
- Välj Standarddomänpolicy > Datorkonfiguration > Windowsinställningar > Säkerhetsinställningar > Lokala policyer och välj sedan Säkerhetsalternativ.
- I Nätverkssäkerhet:
- I dialogrutan Egenskaper för LDAP-klientsigneringskrav väljer du Krav på signering i listan och väljer sedan OK.
- I dialogrutan Bekräfta ändring av inställning väljer du Ja.
Sättet att ställa in kravet på LDAP-klientsignering med hjälp av registernycklar
Viktigt
Följ stegen i det här avsnittet noggrant. Allvarliga problem kan uppstå om du ändrar registret felaktigt. Innan du ändrar det ska du säkerhetskopiera registret för återställning om problem uppstår.
För Active Directory Lightweight Directory Services (AD LDS) är registernyckeln som standard inte tillgänglig. Therefore, you must create a LDAPServerIntegrity
registry entry of the REG_DWORD type under the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Note
The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.
How to verify configuration changes
-
Sign in to a computer that has the AD DS Admin Tools installed.
-
Select Start > Run, type ldp.exe, and then select OK.
-
Select Connection > Connect.
-
In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
Note
For an Active Directory Domain Controller, the applicable port is 389.
-
After a connection is established, select Connection > Bind.
-
Under Bind type, select Simple bind.
-
Type the user name and password, and then select OK.
If you receive the following error message, you have successfully configured your directory server:
Ldap_simple_bind_s() failed: Strong Authentication Required