Sådan aktiverer du LDAP-signering i Windows Server & Client Machines
LDAP-signering(LDAP signing) er en godkendelsesmetode i Windows Server , der kan forbedre sikkerheden på en biblioteksserver. Når den er aktiveret, vil den afvise enhver anmodning, der ikke beder om underskrift, eller hvis anmodningen bruger ikke-SSL/TLS-krypteret. I dette indlæg vil vi dele, hvordan du kan aktivere LDAP- signering i Windows Server og klientmaskiner. LDAP står for Lightweight Directory Access Protocol (LDAP).
Sådan aktiverer du LDAP - signering på Windows -computere
For at sikre, at angriberen ikke bruger en forfalsket LDAP -klient til at ændre serverkonfiguration og data, er det vigtigt at aktivere LDAP - signering. Det er lige så vigtigt at aktivere det på klientmaskinerne.
- Indstil(Set) serverens LDAP - signeringskrav
- Indstil(Set) klientens LDAP - signeringskrav ved hjælp af en lokal(Local) computerpolitik
- Indstil(Set) klientens LDAP - signeringskrav ved at bruge domænegruppepolitikobjektet(Domain Group Policy Object)
- Indstil(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler(Registry)
- Sådan bekræfter du konfigurationsændringer
- Sådan finder du klienter, der ikke bruger muligheden " Kræv(Require) signering" .
Det sidste afsnit hjælper dig med at finde ud af klienter, der ikke har Kræv signering aktiveret(do not have Require signing enabled) på computeren. Det er et nyttigt værktøj for IT-administratorer til at isolere disse computere og aktivere sikkerhedsindstillingerne på computerne.
1] Indstil(Set) serverens LDAP - signeringskrav
- Åbn Microsoft Management Console (mmc.exe)
- Vælg Filer > Tilføj(Add) /fjern snap-in > vælg Group Policy Object Editor , og vælg derefter Tilføj(Add) .
- Det åbner Group Policy Wizard . Klik(Click) på knappen Gennemse(Browse) , og vælg Standard domænepolitik(Default Domain Policy) i stedet for lokal computer
- Klik(Click) på knappen OK, og derefter på knappen Udfør(Finish) , og luk den.
- Vælg Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , og vælg derefter Sikkerhedsindstillinger.
- Højreklik på Domænecontroller: LDAP-serversigneringskrav(Domain controller: LDAP server signing requirements) , og vælg derefter Egenskaber.
- I dialogboksen Domænecontroller(Domain) : LDAP -serversigneringskrav Egenskaber(Properties) skal du aktivere Definer(Define) denne politikindstilling, vælge Kræv signering på listen Definer denne politikindstilling,(Require signing in the Define this policy setting list,) og vælg derefter OK.
- Kontroller indstillingerne igen, og anvend dem.
2] Indstil(Set) klientens LDAP -signeringskrav ved at bruge lokal computerpolitik
- Åbn Kør(Run) -prompten, og skriv gpedit.msc, og tryk på Enter - tasten.
- I gruppepolitikeditoren skal du navigere til Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies og derefter vælge Sikkerhedsindstillinger.(Security Options.)
- Højreklik på Netværkssikkerhed: LDAP-klientsigneringskrav(Network security: LDAP client signing requirements) , og vælg derefter Egenskaber.
- I dialogboksen Netværkssikkerhed(Network) : LDAP - klientsigneringskrav Egenskaber(Properties) skal du vælge Kræv signering(Require signing) på listen og derefter vælge OK.
- Bekræft ændringer og anvend dem.
3] Indstil(Set) klientens LDAP - signeringskrav ved at bruge et domænegruppepolitikobjekt(Group Policy Object)
- Åbn Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Vælg Filer(File) > Add/Remove Snap-in > vælg Group Policy Object Editor , og vælg derefter Tilføj(Add) .
- Det åbner Group Policy Wizard . Klik(Click) på knappen Gennemse(Browse) , og vælg Standard domænepolitik(Default Domain Policy) i stedet for lokal computer
- Klik(Click) på knappen OK, og derefter på knappen Udfør(Finish) , og luk den.
- Vælg Standard domænepolitik(Default Domain Policy) > Computerkonfiguration(Computer Configuration) > Windows-indstillinger(Windows Settings) > Sikkerhedsindstillinger(Security Settings) > Lokale politikker(Local Policies) , og vælg derefter Sikkerhedsindstillinger(Security Options) .
- I dialogboksen Netværkssikkerhed: LDAP-klientsigneringskrav Egenskaber (Network security: LDAP client signing requirements Properties ) skal du vælge Kræv signering (Require signing ) på listen og derefter vælge OK .
- Bekræft(Confirm) ændringer og anvend indstillingerne.
4] Indstil(Set) klientens LDAP- signeringskrav ved at bruge registreringsdatabasenøgler
Den første og vigtigste ting at gøre er at tage en sikkerhedskopi af dit register
- Åbn Registreringseditor
- Naviger til HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Højreklik(Right-click) på den højre rude, og opret en ny DWORD med navnet LDAPServerIntegrity
- Lad den stå til standardværdien.
<InstanceName >: Navnet på den AD LDS- instans, som du vil ændre.
5] Sådan(How) bekræfter du, om konfigurationsændringer nu kræver login
For at sikre, at sikkerhedspolitikken fungerer her, er hvordan man kontrollerer dens integritet.
- Log ind på en computer, der har AD DS Admin Tools installeret.
- Åbn Kør(Run) -prompten, og skriv ldp.exe, og tryk på Enter - tasten. Det er en brugergrænseflade, der bruges til at navigere gennem Active Directory- navneområdet
- Vælg Forbindelse > Forbind.
- I Server og port skal du skrive servernavnet og ikke-SSL/TLS-porten på din biblioteksserver, og vælg derefter OK.
- Når en forbindelse er etableret, skal du vælge Forbindelse > Bind.
- Under Indbindingstype(Bind) skal du vælge Simpel(Simple) binding.
- Indtast brugernavnet og adgangskoden, og vælg derefter OK.
Hvis du modtager en fejlmeddelelse, der siger Ldap_simple_bind_s() failed: Strong Authentication Required , så har du konfigureret din biblioteksserver.
6] Sådan(How) finder du klienter, der ikke bruger muligheden " Kræv(Require) signering" .
Hver gang en klientmaskine opretter forbindelse til serveren ved hjælp af en usikker forbindelsesprotokol, genererer den Event ID 2889 . Logposten vil også indeholde klienternes IP-adresser. Du skal aktivere dette ved at indstille diagnosticeringsindstillingen 16 LDAP Interface Events til (LDAP Interface Events)2 (Basic). Lær, hvordan du konfigurerer AD- og LDS- diagnosehændelseslogning her hos Microsoft(here at Microsoft) .
LDAP-signering(LDAP Signing) er afgørende, og jeg håber, at det var i stand til at hjælpe dig med tydeligt at forstå, hvordan du kan aktivere LDAP- signering i Windows Server og på klientmaskinerne.
Related posts
Konfigurer Remote Access Client Account Lockout i Windows Server
Deaktiver Administrative Shares fra Windows Server
Iperius Backup er en gratis sikkerhedskopieringssoftware til Windows Server
Sådan komprimeres Bloated Registry Hives i Windows Server
Sådan aktiverer og konfigurerer du DNS-aldring og -oprensning i Windows Server
Din DNS-server er muligvis ikke tilgængelig i Windows 11/10
Sådan aktiverer du DNS Client Service, hvis den er nedtonet i Windows 10
Få adgang til FTP-server ved hjælp af kommandoprompt i Windows 10
Fix Kan ikke nå VPN-serverfejlen på PIA på Windows 11
DHCP Client Service giver adgang nægtet fejl i Windows 11/10
Sådan installeres og ses fjernserveradministrationsværktøjer (RSAT) i Windows 11
Hvor kan man downloade Windows Server Insider Preview Builds?
Ret server ikke fundet fejl i Firefox
Sådan automatiseres Windows Server backup til Amazon S3
Sikkerhedskopier VMware virtuelle maskiner med Azure Backup Server
Ret din DNS-server kan være utilgængelig fejl
Sådan opretter du en offentlig VPN-server på Windows 10
Windows Update-klienten kunne ikke registrere med fejlen 0x8024001f
Brug Vssadmin-kommandolinjen til at administrere VSS i Windows 11/10
Public DNS Server Tool er en gratis DNS-skifter til Windows 10