Sådan aktiverer du LDAP-signering i Windows Server & Client Machines

LDAP-signering(LDAP signing) er en godkendelsesmetode i Windows Server , der kan forbedre sikkerheden på en biblioteksserver. Når den er aktiveret, vil den afvise enhver anmodning, der ikke beder om underskrift, eller hvis anmodningen bruger ikke-SSL/TLS-krypteret. I dette indlæg vil vi dele, hvordan du kan aktivere LDAP- signering i Windows Server og klientmaskiner. LDAP står for   Lightweight Directory Access Protocol (LDAP).

Sådan aktiverer du LDAP - signering på Windows -computere

For at sikre, at angriberen ikke bruger en forfalsket LDAP -klient til at ændre serverkonfiguration og data, er det vigtigt at aktivere LDAP - signering. Det er lige så vigtigt at aktivere det på klientmaskinerne.

  1. Indstil(Set) serverens LDAP - signeringskrav
  2. Indstil(Set) klientens LDAP - signeringskrav ved hjælp af en lokal(Local) computerpolitik
  3. Indstil(Set) klientens LDAP - signeringskrav ved at bruge domænegruppepolitikobjektet(Domain Group Policy Object)
  4. Indstil(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler(Registry)
  5. Sådan bekræfter du konfigurationsændringer
  6. Sådan finder du klienter, der ikke bruger muligheden " Kræv(Require) signering" .

Det sidste afsnit hjælper dig med at finde ud af klienter, der ikke har Kræv signering aktiveret(do not have Require signing enabled) på computeren. Det er et nyttigt værktøj for IT-administratorer til at isolere disse computere og aktivere sikkerhedsindstillingerne på computerne.

1] Indstil(Set) serverens LDAP - signeringskrav

Sådan aktiverer du LDAP-signering i Windows Server & Client Machines

  1. Åbn Microsoft Management Console (mmc.exe)
  2. Vælg Filer >  Tilføj(Add) /fjern snap-in > vælg  Group Policy Object Editor , og vælg derefter  Tilføj(Add) .
  3. Det åbner Group Policy Wizard . Klik(Click) på knappen Gennemse(Browse) , og vælg  Standard domænepolitik(Default Domain Policy) i stedet for lokal computer
  4. Klik(Click) på knappen OK, og derefter på knappen Udfør(Finish) , og luk den.
  5. Vælg  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , og vælg derefter Sikkerhedsindstillinger.
  6. Højreklik på  Domænecontroller: LDAP-serversigneringskrav(Domain controller: LDAP server signing requirements) , og vælg derefter Egenskaber.
  7. I dialogboksen  Domænecontroller(Domain) : LDAP -serversigneringskrav Egenskaber(Properties)  skal du aktivere  Definer(Define) denne politikindstilling, vælge  Kræv signering på listen Definer denne politikindstilling,(Require signing in the Define this policy setting list,) og vælg derefter OK.
  8. Kontroller indstillingerne igen, og anvend dem.

2] Indstil(Set) klientens LDAP -signeringskrav ved at bruge lokal computerpolitik

Sådan aktiverer du LDAP-signering i Windows Server & Client Machines

  1. Åbn Kør(Run) -prompten, og skriv gpedit.msc, og tryk på Enter - tasten.
  2. I gruppepolitikeditoren skal du navigere til Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies og derefter vælge  Sikkerhedsindstillinger.(Security Options.)
  3. Højreklik på Netværkssikkerhed: LDAP-klientsigneringskrav(Network security: LDAP client signing requirements) , og vælg derefter Egenskaber.
  4. I dialogboksen  Netværkssikkerhed(Network) : LDAP - klientsigneringskrav Egenskaber(Properties)  skal du vælge  Kræv signering(Require signing) på listen og derefter vælge OK.
  5. Bekræft ændringer og anvend dem.

3] Indstil(Set) klientens LDAP - signeringskrav ved at bruge et domænegruppepolitikobjekt(Group Policy Object)

  1. Åbn Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Vælg  Filer(File)  >  Add/Remove Snap-in >  vælg  Group Policy Object Editor , og vælg derefter  Tilføj(Add) .
  3. Det åbner Group Policy Wizard . Klik(Click) på knappen Gennemse(Browse) , og vælg  Standard domænepolitik(Default Domain Policy) i stedet for lokal computer
  4. Klik(Click) på knappen OK, og derefter på knappen Udfør(Finish) , og luk den.
  5. Vælg  Standard domænepolitik(Default Domain Policy)  >  Computerkonfiguration(Computer Configuration)  >  Windows-indstillinger(Windows Settings)  >  Sikkerhedsindstillinger(Security Settings)  >  Lokale politikker(Local Policies) , og vælg derefter  Sikkerhedsindstillinger(Security Options) .
  6. I dialogboksen  Netværkssikkerhed: LDAP-klientsigneringskrav Egenskaber (Network security: LDAP client signing requirements Properties ) skal du vælge  Kræv signering (Require signing ) på listen og derefter vælge  OK .
  7. Bekræft(Confirm) ændringer og anvend indstillingerne.

4] Indstil(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler

Den første og vigtigste ting at gøre er at tage en sikkerhedskopi af dit register

  • Åbn Registreringseditor
  • Naviger til HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Højreklik(Right-click) på den højre rude, og opret en ny DWORD med navnet LDAPServerIntegrity
  • Lad den stå til standardværdien.

<InstanceName >: Navnet på den AD LDS- instans, som du vil ændre.

5] Sådan(How) bekræfter du, om konfigurationsændringer nu kræver login

For at sikre, at sikkerhedspolitikken fungerer her, er hvordan man kontrollerer dens integritet.

  1. Log ind på en computer, der har AD DS Admin Tools installeret.
  2. Åbn Kør(Run) -prompten, og skriv ldp.exe, og tryk på Enter - tasten. Det er en brugergrænseflade, der bruges til at navigere gennem Active Directory- navneområdet
  3. Vælg Forbindelse > Forbind.
  4. Server  og  port skal du skrive servernavnet og ikke-SSL/TLS-porten på din biblioteksserver, og vælg derefter OK.
  5. Når en forbindelse er etableret, skal du vælge Forbindelse > Bind.
  6. Under  Indbindingstype(Bind) skal du vælge  Simpel(Simple) binding.
  7. Indtast brugernavnet og adgangskoden, og vælg derefter OK.

Hvis du modtager en fejlmeddelelse, der siger  Ldap_simple_bind_s() failed: Strong Authentication Required , så har du konfigureret din biblioteksserver.

6] Sådan(How) finder du klienter, der ikke bruger muligheden " Kræv(Require) signering" .

Hver gang en klientmaskine opretter forbindelse til serveren ved hjælp af en usikker forbindelsesprotokol, genererer den Event ID 2889 . Logposten vil også indeholde klienternes IP-adresser. Du skal aktivere dette ved at indstille  diagnosticeringsindstillingen  16  LDAP Interface Events til (LDAP Interface Events)2 (Basic). Lær, hvordan du konfigurerer AD- og LDS- diagnosehændelseslogning her hos Microsoft(here at Microsoft) .

LDAP-signering(LDAP Signing) er afgørende, og jeg håber, at det var i stand til at hjælpe dig med tydeligt at forstå, hvordan du kan aktivere LDAP- signering i Windows Server og på klientmaskinerne.



About the author

Jeg er softwareingeniør med erfaring i Xbox Explorer, Microsoft Excel og Windows 8.1 Explorer. I min fritid kan jeg godt lide at spille videospil og se tv. Jeg har en grad fra University of Utah og arbejder i øjeblikket som softwareingeniør for en international virksomhed.



Related posts