如何在 Windows 服务器和客户端计算机中启用 LDAP 签名

LDAP 签名(LDAP signing)Windows Server中的一种身份验证方法,可以提高目录服务器的安全性。一旦启用,它将拒绝任何不要求签名或请求使用非 SSL/TLS 加密的请求。在这篇文章中,我们将分享如何在Windows Server和客户端计算机中启用LDAP签名。LDAP代表  轻量级目录访问协议(Lightweight Directory Access Protocol)(LDAP)。

如何在Windows计算机中启用LDAP签名

为了确保攻击者不使用伪造的LDAP客户端来更改服务器配置和数据,启用(LDAP)LDAP签名至关重要。在客户端机器上启用它同样重要。

  1. 设置(Set)服务器LDAP签名要求
  2. (Set)使用本地(Local)计算机策略设置客户端LDAP签名要求(LDAP)
  3. (Set)使用域组策略对象(Domain Group Policy Object)设置客户端LDAP签名要求(LDAP)
  4. (Set)使用注册表(Registry)设置客户端LDAP签名要求(LDAP)
  5. 如何验证配置更改
  6. 如何找到不使用“需要(Require)签名”选项的客户

最后一部分帮助您找出未在计算机上启用“要求签名”的客户端。(do not have Require signing enabled)它是 IT 管理员隔离这些计算机并在计算机上启用安全设置的有用工具。

1]设置(Set)服务器LDAP签名要求

如何在 Windows 服务器和客户端计算机中启用 LDAP 签名

  1. 打开Microsoft 管理控制台(Microsoft Management Console)(mmc.exe)
  2. 选择文件 > 添加(Add)/删除管理单元 > 选择 组策略对象编辑器(Group Policy Object Editor),然后选择 添加(Add)
  3. 它将打开组策略向导(Group Policy Wizard)单击(Click)浏览按钮,然后选择 默认(Browse)域策略(Default Domain Policy)而不是本地计算机
  4. 单击(Click)确定按钮,然后单击完成(Finish)按钮,然后将其关闭。
  5. 选择 Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies,然后选择安全选项。
  6. 右键单击 域控制器:LDAP 服务器签名要求(Domain controller: LDAP server signing requirements),然后选择属性。
  7. 在 (Domain)控制器:LDAP服务器签名要求属性(Properties) 对话框中,启用 定义(Define)此策略设置, 在定义此策略设置列表中选择要求签名,(Require signing in the Define this policy setting list,)然后选择确定。
  8. 重新检查设置并应用它们。

2]使用本地计算机策略设置(Set)客户端LDAP签名要求(LDAP)

如何在 Windows 服务器和客户端计算机中启用 LDAP 签名

  1. 打开运行(Run)提示,输入 gpedit.msc,然后按Enter键。
  2. 在组策略编辑器中,导航到 Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies,然后选择 安全选项。(Security Options.)
  3. 右键单击网络安全:LDAP 客户端签名要求(Network security: LDAP client signing requirements),然后选择属性。
  4. 在 网络(Network)安全:LDAP客户端签名要求属性(Properties) 对话框中,选择 列表中的要求签名(Require signing),然后选择确定。
  5. 确认更改并应用它们。

3]使用域组策略对象(Group Policy Object)设置(Set)客户端LDAP签名要求(LDAP)

  1. 打开 Microsoft 管理控制台 (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. 选择 文件(File) > Add/Remove Snap-in > 选择 组策略对象编辑器(Group Policy Object Editor),然后选择 添加(Add)
  3. 它将打开组策略向导(Group Policy Wizard)单击(Click)浏览按钮,然后选择 默认(Browse)域策略(Default Domain Policy)而不是本地计算机
  4. 单击(Click)确定按钮,然后单击完成(Finish)按钮,然后将其关闭。
  5. 选择 默认域策略(Default Domain Policy) > 计算机配置(Computer Configuration) >  Windows 设置(Windows Settings) > 安全设置(Security Settings) > 本地策略(Local Policies),然后选择 安全选项(Security Options)
  6. 在 网络安全:LDAP 客户端签名要求属性 (Network security: LDAP client signing requirements Properties )对话框中,选择 列表中的要求签名 (Require signing ),然后选择 确定(OK)
  7. 确认(Confirm)更改并应用设置。

4]使用注册表项设置(Set)客户端LDAP签名要求(LDAP)

首先要做的就是备份您的注册表

  • 打开注册表编辑器
  • 导航到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • 右键单击(Right-click)右侧窗格,然后创建一个名为LDAPServerIntegrity的新(LDAPServerIntegrity)DWORD
  • 将其保留为默认值。

<InstanceName >:要更改的AD LDS实例的名称。(AD LDS)

5]如何(How)验证配置更改现在是否需要登录

为了确保安全策略在这里起作用是如何检查其完整性。

  1. 登录到安装了AD DS 管理工具(AD DS Admin Tools)的计算机。
  2. 打开运行(Run)提示符,键入 ldp.exe,然后按Enter键。它是用于在Active Directory(Active Directory)命名空间中导航的 UI
  3. 选择连接 > 连接。
  4. 在 服务器(Server) 和 端口(Port)中,键入目录服务器的服务器名称和非 SSL/TLS 端口,然后选择确定。
  5. 建立连接后,选择连接 > 绑定。
  6. 在 绑定(Bind)类型下,选择 简单(Simple)绑定。
  7. 键入用户名和密码,然后选择确定。

如果您收到一条错误消息说  Ldap_simple_bind_s() failed: Strong Authentication Required,那么您已经成功配置了目录服务器。

6]如何(How)找到不使用“要求(Require)签名”选项的客户

每次客户端计算机使用不安全的连接协议连接到服务器时,它都会生成事件 ID 2889(Event ID 2889)。日志条目还将包含客户端的 IP 地址。您需要通过将16  LDAP Interface Events 诊断设置设置为 2(基本)来启用此功能。(2 (Basic). )在 Microsoft(here at Microsoft)了解如何配置 AD 和LDS诊断事件日志记录。

LDAP 签名(LDAP Signing)至关重要,我希望能够帮助您清楚地了解如何在Windows Server和客户端计算机上启用LDAP签名。



刚 朱

About the author

我是一位经验丰富的软件工程师,在 Windows Phone 和 Office Space 行业拥有超过 10 年的经验。我的技能包括使用传统的文本和图像格式,以及为最新的移动设备进行开发。我在提供优质服务方面有着良好的记录,并且我总是愿意帮助他人实现他们的目标。


Related posts