Как включить подписывание LDAP на Windows Server и клиентских машинах
Подписание LDAP(LDAP signing) — это метод проверки подлинности в Windows Server , который может повысить безопасность сервера каталогов. После включения он будет отклонять любой запрос, который не запрашивает подпись или если запрос использует шифрование без SSL/TLS. В этом посте мы расскажем, как включить подписывание LDAP на (LDAP)Windows Server и клиентских компьютерах. LDAP расшифровывается как облегченный протокол доступа к каталогам(Lightweight Directory Access Protocol) (LDAP).
Как включить подписывание LDAP на компьютерах с Windows
Чтобы убедиться, что злоумышленник не использует поддельный клиент LDAP для изменения конфигурации и данных сервера, необходимо включить подписывание LDAP . Не менее важно включить его на клиентских машинах.
- Установите(Set) требование подписи сервера LDAP
- Установите(Set) требование подписи клиента LDAP с помощью политики локального компьютера.(Local)
- Установите(Set) требование подписи клиента LDAP с помощью объекта групповой политики домена .(Domain Group Policy Object)
- Установите(Set) требование подписи клиента LDAP с помощью ключей реестра .(Registry)
- Как проверить изменения конфигурации
- Как найти клиентов, которые не используют опцию « Требовать(Require) подпись»
Последний раздел поможет вам определить клиентов, у которых на компьютере не включено требование подписи(do not have Require signing enabled) . Это полезный инструмент для ИТ-администраторов, позволяющий изолировать эти компьютеры и включить параметры безопасности на компьютерах.
1] Установите(Set) требование подписи сервера LDAP .
- Откройте консоль управления Microsoft(Microsoft Management Console) (mmc.exe)
- Выберите «Файл» > « Добавить(Add) /удалить оснастку» > выберите «Редактор объектов групповой политики»(Group Policy Object Editor) , а затем нажмите « Добавить(Add) » .
- Откроется мастер групповой политики(Group Policy Wizard) . Нажмите кнопку(Click) « Обзор(Browse) » и выберите « Политика домена по умолчанию»(Default Domain Policy) вместо «Локальный компьютер».
- Нажмите кнопку(Click) ОК, а затем кнопку Готово(Finish) и закройте его.
- Выберите Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , а затем выберите Параметры безопасности.
- Щелкните правой кнопкой мыши Контроллер домена: Требования к подписи сервера LDAP(Domain controller: LDAP server signing requirements) и выберите Свойства.
- В диалоговом окне « Свойства(Properties) : Контроллер домена(Domain) : требования к подписи сервера LDAP » включите « Определить(Define) этот параметр политики», выберите «Требовать подпись» в списке «Определить этот параметр политики»,(Require signing in the Define this policy setting list,) а затем нажмите «ОК».
- Перепроверьте настройки и примените их.
2] Установите(Set) требование подписи клиента LDAP с помощью политики локального компьютера.
- Откройте приглашение « Выполнить»(Run) , введите gpedit.msc и нажмите клавишу Enter .
- В редакторе групповой политики перейдите в раздел « Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies » и выберите «Параметры безопасности».(Security Options.)
- Щелкните правой кнопкой мыши Сетевая безопасность: Требования к подписи клиента LDAP(Network security: LDAP client signing requirements) и выберите Свойства.
- В диалоговом окне « Свойства : (Properties)Сетевая(Network) безопасность: Требования к подписи клиента LDAP » выберите « Требовать подпись(Require signing) » в списке, а затем нажмите «ОК».
- Подтвердите изменения и примените их.
3] Установите(Set) требование подписи клиента LDAP с помощью объекта групповой политики домена.(Group Policy Object)
- Откройте консоль управления Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Выберите « Файл»(File) > Add/Remove Snap-in > выберите «Редактор объектов групповой политики(Group Policy Object Editor) » и нажмите « Добавить(Add) » .
- Откроется мастер групповой политики(Group Policy Wizard) . Нажмите кнопку(Click) « Обзор(Browse) » и выберите « Политика домена по умолчанию»(Default Domain Policy) вместо «Локальный компьютер».
- Нажмите кнопку(Click) ОК, а затем кнопку Готово(Finish) и закройте его.
- Выберите Политика домена по умолчанию(Default Domain Policy) > Конфигурация компьютера(Computer Configuration) > Параметры Windows(Windows Settings) > Параметры безопасности(Security Settings) > Локальные политики(Local Policies) , а затем выберите Параметры безопасности(Security Options) .
- В диалоговом окне « Свойства: Сетевая безопасность: Требования к подписи клиента LDAP (Network security: LDAP client signing requirements Properties ) » выберите « Требовать подпись (Require signing ) » в списке, а затем нажмите « ОК(OK) » .
- Подтвердите(Confirm) изменения и примените настройки.
4] Установите(Set) требование подписи клиента LDAP с помощью ключей реестра.
Первое и самое главное, что нужно сделать, это сделать резервную копию реестра.
- Откройте редактор реестра
- Перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Щелкните правой кнопкой мыши(Right-click) на правой панели и создайте новый DWORD с именем LDAPServerIntegrity.
- Оставьте значение по умолчанию.
<InstanceName >: имя экземпляра AD LDS , которое вы хотите изменить.
5] Как(How) проверить, требуют ли изменения конфигурации входа в систему
Чтобы убедиться, что политика безопасности работает, вот как проверить ее целостность.
- Войдите на компьютер, на котором установлены средства администрирования доменных служб Active Directory(AD DS Admin Tools) .
- Откройте приглашение « Выполнить»(Run) , введите ldp.exe и нажмите клавишу Enter . Это пользовательский интерфейс, используемый для навигации по пространству имен Active Directory .
- Выберите «Подключение» > «Подключиться».
- В поле Сервер(Server) и порт(Port) введите имя сервера и не-SSL/TLS-порт вашего сервера каталогов, а затем нажмите кнопку ОК.
- После установления соединения выберите Connection > Bind.
- В разделе Тип(Bind) привязки выберите Простая(Simple) привязка.
- Введите имя пользователя и пароль, а затем нажмите кнопку ОК.
Если вы получили сообщение об ошибке, в котором говорится, что Ldap_simple_bind_s() не удалось: требуется строгая аутентификация(Ldap_simple_bind_s() failed: Strong Authentication Required) , значит, вы успешно настроили свой сервер каталогов.
6] Как(How) найти клиентов, которые не используют опцию « Требовать(Require) подпись»
Каждый раз, когда клиентский компьютер подключается к серверу с использованием небезопасного протокола подключения, он генерирует идентификатор события 2889(Event ID 2889) . Запись журнала также будет содержать IP-адреса клиентов. Вам потребуется включить это, установив для параметра диагностики 16 событий интерфейса LDAP значение (LDAP Interface Events)2 (базовый). (2 (Basic). )Узнайте, как настроить ведение журнала диагностических событий AD и LDS здесь, в Microsoft(here at Microsoft) .
Подписание LDAP(LDAP Signing) имеет решающее значение, и я надеюсь, что смог помочь вам четко понять, как включить подписывание LDAP в (LDAP)Windows Server и на клиентских компьютерах.
Related posts
Настроить Remote Access Client Account Lockout в Windows Server
Отключить административные акции от Windows Server
Iperius Backup: Бесплатная доставка для автоматизации резервных копий в Windows 10
Как compress Bloated Registry Windows Server
Как Enable & Configure DNS Aging & Scavenging в Windows Server
Как включить DNS Client Service, если Windows 10
Setup Filezilla Server and Client: Screenshot and Video tutorial
Install Remote Server Administration Tools (RSAT) на Windows 10
GitAtomic - Git GUI Client для систем Windows
Как установить IIS и настроить веб-сервер в XP
Synchronize Windows 10 Clock с Internet Time Server
Fix Windows Server Activation Error 0xc004f069
Windows Update Client не удалось обнаружить с error 0x8024001f
Как оставить Discord Server (2021)
Удаленный доступ к компьютеру с Windows XP или Windows Server 2003
DHCP Client Service дает Access Denied error в Windows 11/10
Как автоматизировать Windows Server backup до Amazon S3
Backup VMware Virtual Machines с Azure Backup Server
Access FTP Server с использованием Command Prompt в Windows 10
Как удалить Roles and Features в Windows Server