Az LDAP-aláírás^{(LDAP signing)} egy hitelesítési módszer a Windows Server rendszerben^{(Windows Server)} , amely javíthatja a címtárkiszolgáló biztonságát. Ha engedélyezve van, akkor elutasít minden olyan kérést, amely nem kér aláírást, vagy ha a kérés nem SSL/TLS-titkosított. Ebben a bejegyzésben megosztjuk, hogyan engedélyezheti az LDAP -bejelentkezést Windows Server- és ügyfélgépeken. Az LDAP^(LDAP) a   Lightweight Directory Access Protocol (LDAP) rövidítése.

Az LDAP -bejelentkezés engedélyezése Windows rendszerű^(Windows) számítógépeken

Annak biztosítása érdekében, hogy a támadó ne használjon hamisított LDAP -ügyfelet a kiszolgáló konfigurációjának és adatainak megváltoztatásához, elengedhetetlen az LDAP - aláírás engedélyezése. Ugyanilyen fontos, hogy engedélyezzük a kliens gépeken.

1. Állítsa be^(Set) a szerver LDAP aláírási követelményét
2. Állítsa be^(Set) az ügyfél LDAP aláírási követelményét a Helyi^(Local) számítógép házirend használatával
3. Állítsa be^(Set) az ügyfél LDAP aláírási követelményét a tartományi csoportházirend-objektum használatával^{(Domain Group Policy Object)}
4. Állítsa be^(Set) az ügyfél LDAP aláírási követelményét a rendszerleíró kulcsok^(Registry) használatával
5. A konfigurációs változások ellenőrzése
6. Hogyan találhat meg olyan ügyfeleket, amelyek nem használják az „ Aláírás szükséges^(Require) ” opciót

Az utolsó rész segít megtalálni azokat az ügyfeleket, amelyeknél nincs engedélyezve^{(do not have Require signing enabled)} az Aláírás megkövetelése a számítógépen. Hasznos eszköz az informatikai rendszergazdák számára, hogy elkülönítsék ezeket a számítógépeket, és engedélyezzék a biztonsági beállításokat a számítógépeken.

1] Állítsa be^(Set) a szerver LDAP aláírási követelményét

1. Nyissa meg a Microsoft Management Console -t (mmc.exe)
2. Válassza a Fájl >  Beépülő modul  hozzáadása /eltávolítása > ^(Add)Csoportházirend-objektumszerkesztő elemet^{(Group Policy Object Editor)} , majd válassza a  Hozzáadás^(Add) lehetőséget .
3. Megnyílik a Csoportházirend varázsló^{(Group Policy Wizard)} . Kattintson^(Click) a Tallózás^(Browse) gombra, és válassza  a Helyi számítógép helyett az Alapértelmezett tartományházirendet^{(Default Domain Policy)}
4. Kattintson^(Click) az OK gombra, majd a Befejezés^(Finish) gombra, és zárja be.
5. Válassza  az Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies lehetőséget, majd válassza a Biztonsági beállítások lehetőséget.
6. Kattintson jobb gombbal  a Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei^{(Domain controller: LDAP server signing requirements)} elemre, majd válassza a Tulajdonságok lehetőséget.
7. A  Tartományvezérlő^(Domain) : LDAP - kiszolgáló aláírási követelményei Tulajdonságok^(Properties)  párbeszédpanelen engedélyezze  a Házirend-beállítás meghatározása^(Define) lehetőséget , válassza  a Bejelentkezés megkövetelése lehetőséget a Házirend-beállítás meghatározása listában,^{(Require signing in the Define this policy setting list,)} majd kattintson az OK gombra.
8. Ellenőrizze újra a beállításokat, és alkalmazza őket.

2] Állítsa be^(Set) az ügyfél LDAP aláírási követelményét a helyi számítógépes házirend segítségével

1. Nyissa meg a Futtatás^(Run) parancssort, írja be a gpedit.msc parancsot, és nyomja meg az Enter billentyűt.
2. A csoportházirend-szerkesztőben lépjen a Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , majd válassza a  Biztonsági beállítások lehetőséget.^{(Security Options.)}
3. Kattintson a jobb gombbal a Hálózati biztonság: LDAP ügyfél aláírási követelmények^{(Network security: LDAP client signing requirements)} elemre, majd válassza a Tulajdonságok lehetőséget.
4. A  Hálózati^(Network) biztonság: LDAP - ügyfél aláírási követelményei Tulajdonságok^(Properties)  párbeszédpanelen válassza  a Bejelentkezés megkövetelése^{(Require signing)} lehetőséget a listában, majd kattintson az OK gombra.
5. Erősítse meg a változtatásokat és alkalmazza azokat.

3] Állítsa be^(Set) az ügyfél LDAP aláírási követelményét egy tartományi csoportházirend-objektum használatával^{(Group Policy Object)}

1. Nyissa meg a Microsoft Management Console-t (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Válassza  a Fájl^(File)  >  Add/Remove Snap-in >Csoportházirend-objektumszerkesztő elemet^{(Group Policy Object Editor)} , majd válassza a   Hozzáadás  lehetőséget^(Add) .
3. Megnyílik a Csoportházirend varázsló^{(Group Policy Wizard)} . Kattintson^(Click) a Tallózás^(Browse) gombra, és válassza  a Helyi számítógép helyett az Alapértelmezett tartományházirendet^{(Default Domain Policy)}
4. Kattintson^(Click) az OK gombra, majd a Befejezés^(Finish) gombra, és zárja be.
5. Válassza  az Alapértelmezett tartományházirend^{(Default Domain Policy)}  >  Számítógép konfigurációja^{(Computer Configuration)}  >  Windows beállítások^{(Windows Settings)}  >  Biztonsági beállítások^{(Security Settings)}  >  Helyi házirendek^{(Local Policies)} lehetőséget , majd válassza a  Biztonsági beállítások lehetőséget^{(Security Options)} .
6. A  Hálózati biztonság: LDAP-ügyfél aláírási követelményei Tulajdonságok ^{(Network security: LDAP client signing requirements Properties )} párbeszédpanelen válassza  a Bejelentkezés megkövetelése ^{(Require signing )} lehetőséget a listában, majd kattintson az  OK gombra^(OK) .
7. Erősítse^(Confirm) meg a változtatásokat és alkalmazza a beállításokat.

4] Állítsa be^(Set) az ügyfél LDAP aláírási követelményét rendszerleíró kulcsok használatával

Az első és legfontosabb tennivaló az, hogy biztonsági másolatot készítsen a rendszerleíró adatbázisáról

• Nyissa meg a Rendszerleíróadatbázis-szerkesztőt
• Navigáljon a HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Kattintson a jobb gombbal^{(Right-click)} a jobb oldali ablaktáblára, és hozzon létre egy új duplaszót ^(DWORD)LDAPServerIntegrity néven
• Hagyja az alapértelmezett értékre.

<InstanceName >: A módosítani kívánt AD LDS- példány neve.^{(AD LDS)}

5] Hogyan^(How) ellenőrizhető, hogy a konfigurációs változások most bejelentkezést igényelnek

Annak érdekében, hogy megbizonyosodjon arról, hogy a biztonsági szabályzat működik, itt ellenőrizheti annak integritását.

1. Jelentkezzen be egy olyan számítógépre, amelyen telepítve vannak az AD DS felügyeleti eszközök^{(AD DS Admin Tools)} .
2. Nyissa meg a Futtatás^(Run) parancsot, írja be az ldp.exe parancsot, és nyomja meg az Enter billentyűt. Ez egy olyan felhasználói felület, amely az Active Directory^{(Active Directory)} névterében való navigálásra szolgál
3. Válassza a Kapcsolat > Csatlakozás lehetőséget.
4. A  Kiszolgáló^(Server)  és  port mezőbe írja be a kiszolgáló nevét és a címtárszerver nem SSL/TLS portját, majd kattintson az OK gombra.
5. A kapcsolat létrejötte után válassza a Kapcsolat > Összerendelés menüpontot.
6. A  Kötés^(Bind) típusa alatt válassza az  Egyszerű^(Simple) kötés lehetőséget.
7. Írja be a felhasználónevet és a jelszót, majd kattintson az OK gombra.

Ha hibaüzenetet kap arról, hogy  Ldap_simple_bind_s() failed: Erős hitelesítés szükséges^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , akkor sikeresen konfigurálta a címtárkiszolgálót.

6] Hogyan^(How) találhatunk olyan ügyfeleket, amelyek nem használják az „ Aláírás szükséges^(Require) ” opciót

Minden alkalommal, amikor egy kliensgép nem biztonságos kapcsolati protokoll használatával csatlakozik a kiszolgálóhoz, a 2889-es eseményazonosítót^{(Event ID 2889)} generálja . A naplóbejegyzés tartalmazza majd az ügyfelek IP-címeit is. Ezt úgy kell engedélyeznie, hogy a 16  LDAP interfész esemény^{(LDAP Interface Events)}  diagnosztikai beállítását  2-re (alap) értékre állítja. ^{(2 (Basic). )}Itt megtudhatja, hogyan konfigurálhatja az AD- és LDS - diagnosztikai eseménynaplózást a Microsoft webhelyén^{(here at Microsoft)} .

Az LDAP-aláírás^{(LDAP Signing)} kulcsfontosságú, és remélem, segített megérteni, hogyan engedélyezheti az LDAP -aláírást a Windows Server rendszerben^{(Windows Server)} és az ügyfélgépeken.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Konfigurálja a távelérési ügyfélfiók zárolását a Windows Server rendszerben

• A Windows Server rendszergazdai megosztásainak letiltása

• Az Iperius Backup egy ingyenes biztonsági mentési szoftver a Windows Server rendszerhez

• Hogyan lehet tömöríteni a duzzadt rendszerleíró adatbázis-kiütéseket a Windows Server rendszerben

• A DNS-öregedés és -tisztítás engedélyezése és konfigurálása a Windows Server rendszerben

• Javítsa ki a DNS-kiszolgálót. Előfordulhat, hogy nem érhető el hiba

• Nyilvános VPN-kiszolgáló létrehozása Windows 10 rendszeren

• Hozzáférés az FTP-kiszolgálóhoz a Parancssor segítségével a Windows 10 rendszerben

• Javítsa ki a Windows Media Player Server sikertelen végrehajtási hibáját

• Javítás: Az ARK nem tudja lekérdezni a kiszolgálóinformációkat a meghíváshoz

• A Windows Server biztonsági mentésének automatizálása az Amazon S3-ra

• Előfordulhat, hogy a DNS-kiszolgáló nem érhető el a Windows 11/10 rendszerben

• A DHCP-ügyfélszolgáltatás hozzáférés megtagadva hibát ad a Windows 11/10 rendszerben

• Javítsa ki a Windows Server 0xc004f069 aktiválási hibáját

• Javítsa ki a Windows Server Update Services 0x80072EE6 hibakódot

• A Filezilla szerver és kliens beállítása: Képernyőkép és oktatóvideó

• VMware virtuális gépek biztonsági mentése az Azure Backup Server segítségével

• Az IIS telepítése és a webszerver konfigurálása XP alatt

• A Public DNS Server Tool egy ingyenes DNS-váltó a Windows 10 rendszerhez

• A Windows Camera Frame Server szolgáltatás váratlanul leállt