Ako povoliť podpisovanie LDAP v počítačoch Windows Server & Client Machines

Podpisovanie LDAP(LDAP signing) je metóda overovania v systéme Windows Server(Windows Server) , ktorá môže zlepšiť bezpečnosť adresárového servera. Po povolení odmietne každú žiadosť, ktorá nepožaduje podpísanie alebo ak žiadosť nepoužíva šifrovanie SSL/TLS. V tomto príspevku sa podelíme o to, ako môžete povoliť prihlasovanie LDAP na (LDAP)Windows Server a klientskych počítačoch. LDAP je skratka pre   Lightweight Directory Access Protocol (LDAP).

Ako povoliť prihlasovanie LDAP na počítačoch so systémom Windows(Windows)

Aby ste sa uistili, že útočník nepoužije falošného klienta LDAP na zmenu konfigurácie a údajov servera, je nevyhnutné povoliť podpisovanie LDAP . Rovnako dôležité je povoliť ho na klientskych počítačoch.

  1. Nastavte(Set) požiadavku na podpis servera LDAP
  2. Nastavte(Set) požiadavku na podpis klienta LDAP pomocou politiky lokálneho(Local) počítača
  3. Nastavte(Set) požiadavku na podpis klienta LDAP pomocou objektu Domain Group Policy Object(Domain Group Policy Object)
  4. Nastavte(Set) požiadavku na podpis klienta LDAP pomocou kľúčov databázy Registry(Registry)
  5. Ako overiť zmeny konfigurácie
  6. Ako nájsť klientov, ktorí nepoužívajú možnosť „ Vyžadovať(Require) podpis“ .

Posledná časť vám pomôže zistiť klientov, ktorí nemajú(do not have Require signing enabled) v počítači povolenú možnosť Vyžadovať podpis. Je to užitočný nástroj pre správcov IT na izoláciu týchto počítačov a povolenie nastavení zabezpečenia na počítačoch.

1] Nastavte(Set) požiadavku na podpis servera LDAP

Ako povoliť podpisovanie LDAP v počítačoch Windows Server & Client Machines

  1. Otvorte konzolu Microsoft Management Console(Microsoft Management Console) (mmc.exe)
  2. Vyberte Súbor >  Pridať(Add) /odstrániť modul > vyberte  Editor objektov politiky skupiny(Group Policy Object Editor) a potom vyberte  Pridať(Add) .
  3. Otvorí sa Sprievodca zásadami skupiny(Group Policy Wizard) . Kliknite(Click) na tlačidlo Prehľadávať(Browse) a vyberte  Predvolenú politiku domény(Default Domain Policy) namiesto Lokálny počítač
  4. Kliknite(Click) na tlačidlo OK a potom na tlačidlo Dokončiť(Finish) a zatvorte ho.
  5. Vyberte položku  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies a potom vyberte položku Možnosti zabezpečenia.
  6. Kliknite pravým tlačidlom myši na  Radič domény: Požiadavky(Domain controller: LDAP server signing requirements) na podpis servera LDAP a potom vyberte Vlastnosti.
  7. V   dialógovom okne  Radič domény(Domain) : Požiadavky na podpisovanie servera LDAP – vlastnosti povoľte nastavenie (Properties)Definovať toto nastavenie politiky, (Define)v zozname Definovať toto nastavenie(Require signing in the Define this policy setting list,) politiky vyberte možnosť  Vyžadovať podpisovanie a potom vyberte položku OK.
  8. Znova skontrolujte nastavenia a použite ich.

2] Nastavte(Set) požiadavku na podpis klienta LDAP pomocou politiky lokálneho počítača

Ako povoliť podpisovanie LDAP v počítačoch Windows Server & Client Machines

  1. Otvorte výzvu Spustiť(Run) , zadajte príkaz gpedit.msc a stlačte kláves Enter(Enter) .
  2. V editore skupinovej politiky prejdite do časti Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies a potom vyberte položku  Možnosti zabezpečenia.(Security Options.)
  3. Kliknite pravým tlačidlom myši na Zabezpečenie siete: Požiadavky na podpis klienta LDAP(Network security: LDAP client signing requirements) a potom vyberte Vlastnosti.
  4. V   dialógovom okne  Zabezpečenie siete : (Network)Vlastnosti(Properties) požiadavky na podpis klienta LDAP vyberte v zozname možnosť Vyžadovať podpísanie a potom kliknite na tlačidlo OK.(Require signing)
  5. Potvrďte zmeny a použite ich.

3] Nastavte(Set) požiadavku na podpis klienta LDAP pomocou objektu skupinovej politiky domény(Group Policy Object)

  1. Otvorte konzolu Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Vyberte  Súbor(File)  >  Add/Remove Snap-in >  vyberte  Editor objektov politiky skupiny(Group Policy Object Editor) a potom vyberte  Pridať(Add) .
  3. Otvorí sa Sprievodca zásadami skupiny(Group Policy Wizard) . Kliknite(Click) na tlačidlo Prehľadávať(Browse) a vyberte  Predvolenú politiku domény(Default Domain Policy) namiesto Lokálny počítač
  4. Kliknite(Click) na tlačidlo OK a potom na tlačidlo Dokončiť(Finish) a zatvorte ho.
  5. Vyberte položku  Predvolená politika domény(Default Domain Policy)  >  Konfigurácia počítača(Computer Configuration)  >  Nastavenia systému Windows(Windows Settings)  >  Nastavenia zabezpečenia(Security Settings)  >  Miestne zásady(Local Policies) a potom vyberte položku  Možnosti zabezpečenia(Security Options) .
  6. V  dialógovom okne  Zabezpečenie siete: Vlastnosti požiadavky na podpis klienta LDAP (Network security: LDAP client signing requirements Properties ) vyberte v zozname  možnosť Vyžadovať podpísanie  a potom kliknite na (Require signing )tlačidlo OK(OK) .
  7. Potvrďte(Confirm) zmeny a použite nastavenia.

4] Nastavte(Set) požiadavku na podpis klienta LDAP pomocou kľúčov databázy Registry

Prvá a najdôležitejšia vec, ktorú musíte urobiť, je zálohovať váš register

  • Otvorte Editor databázy Registry
  • Prejdite na HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Kliknite pravým tlačidlom myši(Right-click) na pravú tablu a vytvorte nový DWORD s názvom LDAPServerIntegrity
  • Ponechajte predvolenú hodnotu.

<InstanceName >: Názov inštancie služby AD LDS , ktorú chcete zmeniť.

5] Ako(How) overiť, či zmeny konfigurácie teraz vyžadujú prihlásenie

Aby ste sa uistili, že bezpečnostná politika tu funguje, skontrolujte jej integritu.

  1. Prihláste sa do počítača, v ktorom sú nainštalované nástroje AD DS Admin Tools .(AD DS Admin Tools)
  2. Otvorte príkazový riadok Run a zadajte ldp.exe a stlačte kláves Enter(Enter) . Je to používateľské rozhranie používané na navigáciu v priestore názvov Active Directory
  3. Vyberte položku Pripojenie > Pripojiť.
  4. Do  poľa Server  a  port zadajte názov servera a port vášho adresárového servera, ktorý nie je SSL/TLS, a potom vyberte položku OK.
  5. Po nadviazaní spojenia vyberte Connection > Bind.
  6. V  časti Typ väzby(Bind) vyberte možnosť  Jednoduchá(Simple) väzba.
  7. Zadajte meno používateľa a heslo a potom vyberte OK.

Ak sa zobrazí chybové hlásenie, že  Ldap_simple_bind_s() zlyhalo: Vyžaduje sa silné overenie(Ldap_simple_bind_s() failed: Strong Authentication Required) , potom ste úspešne nakonfigurovali svoj adresárový server.

6] Ako(How) nájsť klientov, ktorí nepoužívajú možnosť „ Vyžadovať(Require) podpis“ .

Zakaždým, keď sa klientsky počítač pripojí k serveru pomocou protokolu nezabezpečeného pripojenia, vygeneruje ID udalosti 2889(Event ID 2889) . Záznam protokolu bude obsahovať aj adresy IP klientov. Budete to musieť povoliť nastavením  diagnostického nastavenia  16  udalostí rozhrania LDAP na (LDAP Interface Events)2 (základné). (2 (Basic). )Zistite, ako nakonfigurovať protokolovanie diagnostických udalostí AD a LDS tu na stránke Microsoft(here at Microsoft) .

Podpisovanie LDAP(LDAP Signing) je kľúčové a dúfam, že vám to pomohlo jasne pochopiť, ako môžete povoliť podpisovanie LDAP v (LDAP)systéme Windows Server(Windows Server) a na klientskych počítačoch.



Melinda Balogová

About the author

Som Windows MVP a pracujem s Windows od roku 2007. Moje skúsenosti zahŕňajú vývoj softvéru, hardvéru a zvuku a aplikácií pre Windows. Vždy hľadám najlepšie spôsoby, ako zlepšiť používateľskú skúsenosť pri mojej práci, takže ak potrebujete pomôcť s návrhom alebo vývojom softvérovej aplikácie, určite môžem ponúknuť svoje služby.


Related posts