Как включить подписывание LDAP на Windows Server и клиентских машинах

Подписание LDAP(LDAP signing) — это метод проверки подлинности в Windows Server , который может повысить безопасность сервера каталогов. После включения он будет отклонять любой запрос, который не запрашивает подпись или если запрос использует шифрование без SSL/TLS. В этом посте мы расскажем, как включить подписывание LDAP на (LDAP)Windows Server и клиентских компьютерах. LDAP расшифровывается как   облегченный протокол доступа к каталогам(Lightweight Directory Access Protocol) (LDAP).

Как включить подписывание LDAP на компьютерах с Windows

Чтобы убедиться, что злоумышленник не использует поддельный клиент LDAP для изменения конфигурации и данных сервера, необходимо включить подписывание LDAP . Не менее важно включить его на клиентских машинах.

  1. Установите(Set) требование подписи сервера LDAP
  2. Установите(Set) требование подписи клиента LDAP с помощью политики локального компьютера.(Local)
  3. Установите(Set) требование подписи клиента LDAP с помощью объекта групповой политики домена .(Domain Group Policy Object)
  4. Установите(Set) требование подписи клиента LDAP с помощью ключей реестра .(Registry)
  5. Как проверить изменения конфигурации
  6. Как найти клиентов, которые не используют опцию « Требовать(Require) подпись»

Последний раздел поможет вам определить клиентов, у которых на компьютере не включено требование подписи(do not have Require signing enabled) . Это полезный инструмент для ИТ-администраторов, позволяющий изолировать эти компьютеры и включить параметры безопасности на компьютерах.

1] Установите(Set) требование подписи сервера LDAP .

Как включить подписывание LDAP на Windows Server и клиентских машинах

  1. Откройте консоль управления Microsoft(Microsoft Management Console) (mmc.exe)
  2. Выберите «Файл» >  « Добавить(Add) /удалить оснастку» > выберите  «Редактор объектов групповой политики»(Group Policy Object Editor) , а затем нажмите  « Добавить(Add) » .
  3. Откроется мастер групповой политики(Group Policy Wizard) . Нажмите кнопку(Click) « Обзор(Browse) » и выберите  « Политика домена по умолчанию»(Default Domain Policy) вместо «Локальный компьютер».
  4. Нажмите кнопку(Click) ОК, а затем кнопку Готово(Finish) и закройте его.
  5. Выберите  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , а затем выберите Параметры безопасности.
  6. Щелкните правой кнопкой мыши  Контроллер домена: Требования к подписи сервера LDAP(Domain controller: LDAP server signing requirements) и выберите Свойства.
  7. В  диалоговом окне « Свойства(Properties) : Контроллер домена(Domain) : требования к подписи сервера LDAP  » включите  « Определить(Define) этот параметр политики», выберите  «Требовать подпись» в списке «Определить этот параметр политики»,(Require signing in the Define this policy setting list,) а затем нажмите «ОК».
  8. Перепроверьте настройки и примените их.

2] Установите(Set) требование подписи клиента LDAP с помощью политики локального компьютера.

Как включить подписывание LDAP на Windows Server и клиентских машинах

  1. Откройте приглашение « Выполнить»(Run) , введите gpedit.msc и нажмите клавишу Enter .
  2. В редакторе групповой политики перейдите в раздел « Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies » и выберите  «Параметры безопасности».(Security Options.)
  3. Щелкните правой кнопкой мыши Сетевая безопасность: Требования к подписи клиента LDAP(Network security: LDAP client signing requirements) и выберите Свойства.
  4. В  диалоговом окне « Свойства : (Properties)Сетевая(Network) безопасность: Требования к подписи клиента LDAP  » выберите  « Требовать подпись(Require signing) » в списке, а затем нажмите «ОК».
  5. Подтвердите изменения и примените их.

3] Установите(Set) требование подписи клиента LDAP с помощью объекта групповой политики домена.(Group Policy Object)

  1. Откройте консоль управления Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Выберите  « Файл»(File)  >  Add/Remove Snap-in >  выберите  «Редактор объектов групповой политики(Group Policy Object Editor) » и нажмите  « Добавить(Add) » .
  3. Откроется мастер групповой политики(Group Policy Wizard) . Нажмите кнопку(Click) « Обзор(Browse) » и выберите  « Политика домена по умолчанию»(Default Domain Policy) вместо «Локальный компьютер».
  4. Нажмите кнопку(Click) ОК, а затем кнопку Готово(Finish) и закройте его.
  5. Выберите  Политика домена по умолчанию(Default Domain Policy)  >  Конфигурация компьютера(Computer Configuration)  >  Параметры Windows(Windows Settings)  >  Параметры безопасности(Security Settings)  >  Локальные политики(Local Policies) , а затем выберите  Параметры безопасности(Security Options) .
  6. В  диалоговом окне « Свойства: Сетевая безопасность: Требования к подписи клиента LDAP (Network security: LDAP client signing requirements Properties ) » выберите  « Требовать подпись (Require signing ) » в списке, а затем нажмите «  ОК(OK) » .
  7. Подтвердите(Confirm) изменения и примените настройки.

4] Установите(Set) требование подписи клиента LDAP с помощью ключей реестра.

Первое и самое главное, что нужно сделать, это сделать резервную копию реестра.

  • Откройте редактор реестра
  • Перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Щелкните правой кнопкой мыши(Right-click) на правой панели и создайте новый DWORD с именем LDAPServerIntegrity.
  • Оставьте значение по умолчанию.

<InstanceName >: имя экземпляра AD LDS , которое вы хотите изменить.

5] Как(How) проверить, требуют ли изменения конфигурации входа в систему

Чтобы убедиться, что политика безопасности работает, вот как проверить ее целостность.

  1. Войдите на компьютер, на котором установлены средства администрирования доменных служб Active Directory(AD DS Admin Tools) .
  2. Откройте приглашение « Выполнить»(Run) , введите ldp.exe и нажмите клавишу Enter . Это пользовательский интерфейс, используемый для навигации по пространству имен Active Directory .
  3. Выберите «Подключение» > «Подключиться».
  4. В  поле Сервер(Server)  и  порт(Port) введите имя сервера и не-SSL/TLS-порт вашего сервера каталогов, а затем нажмите кнопку ОК.
  5. После установления соединения выберите Connection > Bind.
  6. В разделе  Тип(Bind) привязки выберите  Простая(Simple) привязка.
  7. Введите имя пользователя и пароль, а затем нажмите кнопку ОК.

Если вы получили сообщение об ошибке, в котором  говорится, что Ldap_simple_bind_s() не удалось: требуется строгая аутентификация(Ldap_simple_bind_s() failed: Strong Authentication Required) , значит, вы успешно настроили свой сервер каталогов.

6] Как(How) найти клиентов, которые не используют опцию « Требовать(Require) подпись»

Каждый раз, когда клиентский компьютер подключается к серверу с использованием небезопасного протокола подключения, он генерирует идентификатор события 2889(Event ID 2889) . Запись журнала также будет содержать IP-адреса клиентов. Вам потребуется включить это, установив для параметра  диагностики  16  событий интерфейса LDAP значение (LDAP Interface Events)2 (базовый). (2 (Basic). )Узнайте, как настроить ведение журнала диагностических событий AD и LDS здесь, в Microsoft(here at Microsoft) .

Подписание LDAP(LDAP Signing) имеет решающее значение, и я надеюсь, что смог помочь вам четко понять, как включить подписывание LDAP в (LDAP)Windows Server и на клиентских компьютерах.



Лев Соловьев

About the author

Я старший инженер-программист и разработчик изображений и приложений для iPhone с более чем 10-летним опытом. Мои навыки работы с аппаратным и программным обеспечением делают меня идеально подходящим для любого проекта корпоративного или потребительского смартфона. У меня есть глубокое понимание того, как создавать высококачественные изображения и способность работать со всеми различными форматами изображений. Кроме того, я знаком с разработкой для Firefox и iOS.


Related posts