LDAP подписването^{(LDAP signing)} е метод за удостоверяване в Windows Server , който може да подобри сигурността на сървър на директории. След като бъде активиран, той ще отхвърли всяка заявка, която не изисква подписване или ако заявката използва не-SSL/TLS-криптиране. В тази публикация ще споделим как можете да активирате LDAP подписването в Windows Server и клиентски машини. LDAP е съкращение от   Lightweight Directory Access Protocol (LDAP).

Как да активирате LDAP подписването на компютри с Windows

За да се уверите, че нападателят не използва подправен LDAP клиент за промяна на конфигурацията и данните на сървъра, е от съществено значение да активирате LDAP подписването. Също толкова важно е да го активирате на клиентските машини.

1. Задайте^(Set) изискването за подписване на LDAP на сървъра
2. Задайте^(Set) изискването за подписване на LDAP на клиента , като използвате политика за локален^(Local) компютър
3. Задайте^(Set) изискването за подписване на LDAP на клиента , като използвате обекта за групова политика на домейн^{(Domain Group Policy Object)}
4. Задайте^(Set) изискването за подписване на LDAP на клиента , като използвате ключове на системния регистър^(Registry)
5. Как да проверите промените в конфигурацията
6. Как да намерите клиенти, които не използват опцията „ Изискване^(Require) на подписване“.

Последният раздел ви помага да разберете клиенти, които нямат активирано изискване за подписване^{(do not have Require signing enabled)} на компютъра. Това е полезен инструмент за ИТ администраторите да изолират тези компютри и да активират настройките за сигурност на компютрите.

1] Задайте^(Set) изискването за подписване на LDAP на сървъра

1. Отворете конзолата за управление на Microsoft^{(Microsoft Management Console)} (mmc.exe)
2. Изберете File >  Add /Remove Snap-in > изберете  Group Policy Object Editor и след това изберете  Add .
3. Ще отвори съветника за групови правила^{(Group Policy Wizard)} . Щракнете^(Click) върху бутона Преглед^(Browse) и изберете  Правила за домейн по подразбиране^{(Default Domain Policy)} вместо Локален компютър
4. Щракнете^(Click) върху бутона OK, след това върху бутона Finish и го затворете.
5. Изберете  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies и след това изберете Опции за защита.
6. Щракнете с десния бутон върху  Контролер на домейн: Изисквания^{(Domain controller: LDAP server signing requirements)} за подписване на LDAP сървър и след това изберете Свойства.
7. В   диалоговия прозорец Свойства на контролера на домейн: Изисквания за подписване на LDAP сървър активирайте  Дефиниране^(Properties) на тази ^(Domain)настройка^(LDAP) на правилата^(Define) , изберете  Изискване на подпис в списъка Дефиниране на тази настройка на правилата^{(Require signing in the Define this policy setting list,)} и след това изберете OK.
8. Проверете отново настройките и ги приложете.

2] Задайте изискването за подписване на ^(Set)LDAP на клиента , като използвате политика на локален компютър

1. Отворете Run prompt и въведете gpedit.msc и натиснете клавиша Enter .
2. В редактора на групови правила отворете Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies и след това изберете  Опции за защита.^{(Security Options.)}
3. Щракнете с десния бутон върху Мрежова защита: изисквания за подписване на LDAP клиент^{(Network security: LDAP client signing requirements)} и след това изберете Свойства.
4. В   диалоговия прозорец  Мрежова^(Network) сигурност: Изисквания за подписване на LDAP клиент Свойства изберете ^(Properties)Изискване на подпис^{(Require signing)} в списъка и след това изберете OK.
5. Потвърдете промените и ги приложете.

3] Задайте изискването за подписване на ^(Set)LDAP на клиента , като използвате обект на групова политика^{(Group Policy Object)} на домейн

1. Отворете конзолата за управление на Microsoft (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Изберете  File  >  Add/Remove Snap-in >  изберете  Group Policy Object Editor и след това изберете  Add .
3. Ще отвори съветника за групови правила^{(Group Policy Wizard)} . Щракнете^(Click) върху бутона Преглед^(Browse) и изберете  Правила за домейн по подразбиране^{(Default Domain Policy)} вместо Локален компютър
4. Щракнете^(Click) върху бутона OK, след това върху бутона Finish и го затворете.
5. Изберете  Правила за домейн по подразбиране^{(Default Domain Policy)}  >  Конфигурация на компютър^{(Computer Configuration)}  >  Настройки на Windows^{(Windows Settings)}  >  Настройки^{(Security Settings)} за защита  >  Локални политики^{(Local Policies)} и след това изберете  Опции за защита^{(Security Options)} .
6. В  диалоговия прозорец  Мрежова сигурност: Изисквания за подписване на LDAP клиент Свойства  изберете ^{(Network security: LDAP client signing requirements Properties )}Изискване на подписване ^{(Require signing )} в списъка и след това изберете  OK .
7. Потвърдете^(Confirm) промените и приложете настройките.

4] Задайте изискването за подписване на ^(Set)LDAP на клиента , като използвате ключове на системния регистър

Първото и основно нещо, което трябва да направите, е да направите резервно копие на вашия регистър

• Отворете редактора на системния регистър
• Придвижете се до HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Щракнете с десния бутон^{(Right-click)} върху десния панел и създайте нов DWORD с име LDAPServerIntegrity
• Оставете го на стойността му по подразбиране.

<InstanceName >: Име на AD LDS екземпляр, който искате да промените.

5] Как^(How) да проверите дали промените в конфигурацията сега изискват влизане

За да се уверите, че политиката за сигурност работи, е как да проверите нейната цялост.

1. Влезте в компютър, на който са инсталирани AD DS Admin Tools .
2. Отворете Run prompt и въведете ldp.exe и натиснете клавиша Enter . Това е потребителски интерфейс, използван за навигация през пространството от имена на Active Directory
3. Изберете Връзка > Свързване.
4. В  Сървър^(Server)  и  порт^(Port) въведете името на сървъра и не-SSL/TLS порта на вашия сървър на директории и след това изберете OK.
5. След като се установи връзка, изберете Връзка > Свързване.
6. Под  Тип на свързване^(Bind) изберете  Просто^(Simple) обвързване.
7. Въведете потребителското име и паролата и след това изберете OK.

Ако получите съобщение за грешка,  казващо Ldap_simple_bind_s() неуспешно: Изисква се силна автентификация^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , значи успешно сте конфигурирали вашия сървър на директории.

6] Как^(How) да намерите клиенти, които не използват опцията „ Изискване^(Require) на подписване“.

Всеки път, когато клиентска машина се свързва със сървъра, използвайки несигурен протокол за връзка, тя генерира идентификатор на събитие 2889^{(Event ID 2889)} . Записът в дневника ще съдържа също IP адресите на клиентите. Ще трябва да активирате това, като зададете настройката за  диагностика  16  LDAP Interface Events на ^{(LDAP Interface Events)}2 (Основна). ^{(2 (Basic). )}Научете как да конфигурирате регистрирането на диагностични събития на AD и LDS тук в Microsoft^{(here at Microsoft)} .

LDAP подписването^{(LDAP Signing)} е от решаващо значение и се надявам, че успя да ви помогне да разберете ясно как можете да активирате LDAP подписването в Windows Server и на клиентските машини.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Конфигуриране на блокиране на клиентски акаунт за отдалечен достъп в Windows Server

• Деактивирайте административните споделяния от Windows Server

• Iperius Backup е безплатен софтуер за архивиране за Windows Server

• Как да компресирате надути кошери в системния регистър в Windows Server

• Как да активирате и конфигурирате DNS Aging & Scavenging в Windows Server

• Public DNS Server Tool е безплатен DNS чейнджър за Windows 10

• Как да добавите или промените Time Server в Windows 11/10

• Как да автоматизирате архивиране на Windows Server в Amazon S3

• Поправете код за грешка на услугите за актуализиране на Windows Server 0x80072EE6

• Поправете грешката, че вашият DNS сървър може да не е наличен

• Къде да изтегля Windows Server Insider Preview Builds?

• Как да инсталирате IIS и да конфигурирате уеб сървър в XP

• Как да създадете публичен VPN сървър на Windows 10

• Клиентската услуга за групови правила не успя да влезе в Windows 11/10

• Как да коригирате грешката „RPC сървърът не е наличен“ в Windows

• Коригиране на ARK не може да изиска информация за сървъра за покана

• Най-добрият безплатен софтуер за FTP клиент за компютър с Windows 10

• Архивирайте виртуални машини на VMware с Azure Backup Server

• Настройка на Filezilla сървър и клиент: екранна снимка и видео урок

• Как да промените DNS сървъра на Windows 11