LDAP-signering^{(LDAP signing)} er en godkendelsesmetode i Windows Server , der kan forbedre sikkerheden på en biblioteksserver. Når den er aktiveret, vil den afvise enhver anmodning, der ikke beder om underskrift, eller hvis anmodningen bruger ikke-SSL/TLS-krypteret. I dette indlæg vil vi dele, hvordan du kan aktivere LDAP- signering i Windows Server og klientmaskiner. LDAP står for   Lightweight Directory Access Protocol (LDAP).

Sådan aktiverer du LDAP - signering på Windows -computere

For at sikre, at angriberen ikke bruger en forfalsket LDAP -klient til at ændre serverkonfiguration og data, er det vigtigt at aktivere LDAP - signering. Det er lige så vigtigt at aktivere det på klientmaskinerne.

1. Indstil^(Set) serverens LDAP - signeringskrav
2. Indstil^(Set) klientens LDAP - signeringskrav ved hjælp af en lokal^(Local) computerpolitik
3. Indstil^(Set) klientens LDAP - signeringskrav ved at bruge domænegruppepolitikobjektet^{(Domain Group Policy Object)}
4. Indstil^(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler^(Registry)
5. Sådan bekræfter du konfigurationsændringer
6. Sådan finder du klienter, der ikke bruger muligheden " Kræv^(Require) signering" .

Det sidste afsnit hjælper dig med at finde ud af klienter, der ikke har Kræv signering aktiveret^{(do not have Require signing enabled)} på computeren. Det er et nyttigt værktøj for IT-administratorer til at isolere disse computere og aktivere sikkerhedsindstillingerne på computerne.

1] Indstil^(Set) serverens LDAP - signeringskrav

1. Åbn Microsoft Management Console (mmc.exe)
2. Vælg Filer >  Tilføj^(Add) /fjern snap-in > vælg  Group Policy Object Editor , og vælg derefter  Tilføj^(Add) .
3. Det åbner Group Policy Wizard . Klik^(Click) på knappen Gennemse^(Browse) , og vælg  Standard domænepolitik^{(Default Domain Policy)} i stedet for lokal computer
4. Klik^(Click) på knappen OK, og derefter på knappen Udfør^(Finish) , og luk den.
5. Vælg  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , og vælg derefter Sikkerhedsindstillinger.
6. Højreklik på  Domænecontroller: LDAP-serversigneringskrav^{(Domain controller: LDAP server signing requirements)} , og vælg derefter Egenskaber.
7. I dialogboksen  Domænecontroller^(Domain) : LDAP -serversigneringskrav Egenskaber^(Properties)  skal du aktivere  Definer^(Define) denne politikindstilling, vælge  Kræv signering på listen Definer denne politikindstilling,^{(Require signing in the Define this policy setting list,)} og vælg derefter OK.
8. Kontroller indstillingerne igen, og anvend dem.

2] Indstil^(Set) klientens LDAP -signeringskrav ved at bruge lokal computerpolitik

1. Åbn Kør^(Run) -prompten, og skriv gpedit.msc, og tryk på Enter - tasten.
2. I gruppepolitikeditoren skal du navigere til Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies og derefter vælge  Sikkerhedsindstillinger.^{(Security Options.)}
3. Højreklik på Netværkssikkerhed: LDAP-klientsigneringskrav^{(Network security: LDAP client signing requirements)} , og vælg derefter Egenskaber.
4. I dialogboksen  Netværkssikkerhed^(Network) : LDAP - klientsigneringskrav Egenskaber^(Properties)  skal du vælge  Kræv signering^{(Require signing)} på listen og derefter vælge OK.
5. Bekræft ændringer og anvend dem.

3] Indstil^(Set) klientens LDAP - signeringskrav ved at bruge et domænegruppepolitikobjekt^{(Group Policy Object)}

1. Åbn Microsoft Management Console (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Vælg  Filer^(File)  >  Add/Remove Snap-in >  vælg  Group Policy Object Editor , og vælg derefter  Tilføj^(Add) .
3. Det åbner Group Policy Wizard . Klik^(Click) på knappen Gennemse^(Browse) , og vælg  Standard domænepolitik^{(Default Domain Policy)} i stedet for lokal computer
4. Klik^(Click) på knappen OK, og derefter på knappen Udfør^(Finish) , og luk den.
5. Vælg  Standard domænepolitik^{(Default Domain Policy)}  >  Computerkonfiguration^{(Computer Configuration)}  >  Windows-indstillinger^{(Windows Settings)}  >  Sikkerhedsindstillinger^{(Security Settings)}  >  Lokale politikker^{(Local Policies)} , og vælg derefter  Sikkerhedsindstillinger^{(Security Options)} .
6. I dialogboksen  Netværkssikkerhed: LDAP-klientsigneringskrav Egenskaber ^{(Network security: LDAP client signing requirements Properties )} skal du vælge  Kræv signering ^{(Require signing )} på listen og derefter vælge  OK .
7. Bekræft^(Confirm) ændringer og anvend indstillingerne.

4] Indstil^(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler

Den første og vigtigste ting at gøre er at tage en sikkerhedskopi af dit register

• Åbn Registreringseditor
• Naviger til HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Højreklik^{(Right-click)} på den højre rude, og opret en ny DWORD med navnet LDAPServerIntegrity
• Lad den stå til standardværdien.

<InstanceName >: Navnet på den AD LDS- instans, som du vil ændre.

5] Sådan^(How) bekræfter du, om konfigurationsændringer nu kræver login

For at sikre, at sikkerhedspolitikken fungerer her, er hvordan man kontrollerer dens integritet.

1. Log ind på en computer, der har AD DS Admin Tools installeret.
2. Åbn Kør^(Run) -prompten, og skriv ldp.exe, og tryk på Enter - tasten. Det er en brugergrænseflade, der bruges til at navigere gennem Active Directory- navneområdet
3. Vælg Forbindelse > Forbind.
4. I  Server  og  port skal du skrive servernavnet og ikke-SSL/TLS-porten på din biblioteksserver, og vælg derefter OK.
5. Når en forbindelse er etableret, skal du vælge Forbindelse > Bind.
6. Under  Indbindingstype^(Bind) skal du vælge  Simpel^(Simple) binding.
7. Indtast brugernavnet og adgangskoden, og vælg derefter OK.

Hvis du modtager en fejlmeddelelse, der siger  Ldap_simple_bind_s() failed: Strong Authentication Required , så har du konfigureret din biblioteksserver.

6] Sådan^(How) finder du klienter, der ikke bruger muligheden " Kræv^(Require) signering" .

Hver gang en klientmaskine opretter forbindelse til serveren ved hjælp af en usikker forbindelsesprotokol, genererer den Event ID 2889 . Logposten vil også indeholde klienternes IP-adresser. Du skal aktivere dette ved at indstille  diagnosticeringsindstillingen  16  LDAP Interface Events til ^{(LDAP Interface Events)}2 (Basic). Lær, hvordan du konfigurerer AD- og LDS- diagnosehændelseslogning her hos Microsoft^{(here at Microsoft)} .

LDAP-signering^{(LDAP Signing)} er afgørende, og jeg håber, at det var i stand til at hjælpe dig med tydeligt at forstå, hvordan du kan aktivere LDAP- signering i Windows Server og på klientmaskinerne.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Konfigurer Remote Access Client Account Lockout i Windows Server

• Deaktiver Administrative Shares fra Windows Server

• Iperius Backup er en gratis sikkerhedskopieringssoftware til Windows Server

• Sådan komprimeres Bloated Registry Hives i Windows Server

• Sådan aktiverer og konfigurerer du DNS-aldring og -oprensning i Windows Server

• Din DNS-server er muligvis ikke tilgængelig i Windows 11/10

• Sådan aktiverer du DNS Client Service, hvis den er nedtonet i Windows 10

• Få adgang til FTP-server ved hjælp af kommandoprompt i Windows 10

• Fix Kan ikke nå VPN-serverfejlen på PIA på Windows 11

• DHCP Client Service giver adgang nægtet fejl i Windows 11/10

• Sådan installeres og ses fjernserveradministrationsværktøjer (RSAT) i Windows 11

• Hvor kan man downloade Windows Server Insider Preview Builds?

• Ret server ikke fundet fejl i Firefox

• Sådan automatiseres Windows Server backup til Amazon S3

• Sikkerhedskopier VMware virtuelle maskiner med Azure Backup Server

• Ret din DNS-server kan være utilgængelig fejl

• Sådan opretter du en offentlig VPN-server på Windows 10

• Windows Update-klienten kunne ikke registrere med fejlen 0x8024001f

• Brug Vssadmin-kommandolinjen til at administrere VSS i Windows 11/10

• Public DNS Server Tool er en gratis DNS-skifter til Windows 10