Kuinka ottaa LDAP-kirjautuminen käyttöön Windows Server & Client Machinesissa
LDAP-allekirjoitus(LDAP signing) on Windows Serverin(Windows Server) todennusmenetelmä, joka voi parantaa hakemistopalvelimen turvallisuutta. Kun se on otettu käyttöön, se hylkää kaikki pyynnöt, jotka eivät pyydä allekirjoitusta tai jos pyyntö käyttää ei-SSL/TLS-salausta. Tässä viestissä kerromme, kuinka voit ottaa LDAP -kirjautumisen käyttöön Windows Serverissä(Windows Server) ja asiakaskoneissa. LDAP tulee sanoista Lightweight Directory Access Protocol (LDAP).
Kuinka ottaa LDAP - kirjautuminen käyttöön Windows - tietokoneissa
Jotta hyökkääjä ei käytä väärennettyä LDAP -asiakasta muuttaakseen palvelimen asetuksia ja tietoja, on välttämätöntä ottaa LDAP - allekirjoitus käyttöön. Yhtä tärkeää on ottaa se käyttöön asiakaskoneissa.
- Aseta(Set) palvelimen LDAP - allekirjoitusvaatimus
- Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista(Local) tietokonekäytäntöä
- Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä Domain Group Policy -objektia(Domain Group Policy Object)
- Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia(Registry)
- Kuinka tarkistaa kokoonpanomuutokset
- Kuinka löytää asiakkaita, jotka eivät käytä Vaadi(Require) allekirjoitusta -vaihtoehtoa
Viimeinen osa auttaa sinua selvittämään asiakkaat, joilla ei ole käytössä Vaadi allekirjoitusta(do not have Require signing enabled) . Se on hyödyllinen työkalu IT-järjestelmänvalvojille näiden tietokoneiden eristämiseen ja tietokoneiden suojausasetusten käyttöönottoon.
1] Aseta(Set) palvelimen LDAP - allekirjoitusvaatimus
- Avaa Microsoft Management Console (mmc.exe)
- Valitse Tiedosto > Lisää(Add) /poista laajennus > valitse Ryhmäkäytäntöobjektieditori(Group Policy Object Editor) ja valitse sitten Lisää(Add) .
- Se avaa ohjatun ryhmäkäytäntötoiminnon(Group Policy Wizard) . Napsauta (Click)Selaa(Browse) - painiketta ja valitse Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö(Default Domain Policy)
- Napsauta(Click) OK-painiketta ja sitten Valmis(Finish) - painiketta ja sulje se.
- Valitse Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies ja valitse sitten Suojausasetukset.
- Napsauta hiiren kakkospainikkeella Toimialueohjain: LDAP-palvelimen allekirjoitusvaatimukset(Domain controller: LDAP server signing requirements) ja valitse sitten Ominaisuudet.
- Ota Toimialueen(Domain) ohjain: LDAP - palvelimen allekirjoitusvaatimukset Ominaisuudet(Properties) -valintaikkunassa käyttöön Määritä(Define) tämä käytäntöasetus, valitse Määritä tämä käytäntöasetus -luettelosta Vaadi kirjautuminen(Require signing in the Define this policy setting list,) ja valitse sitten OK.
- Tarkista asetukset uudelleen ja ota ne käyttöön.
2] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista tietokonekäytäntöä
- Avaa Suorita(Run) -kehote, kirjoita gpedit.msc ja paina Enter - näppäintä.
- Siirry ryhmäkäytäntöeditorissa kohtaan Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies ja valitse sitten Suojausasetukset.(Security Options.)
- Napsauta hiiren kakkospainikkeella Verkkosuojaus: LDAP-asiakkaan allekirjoitusvaatimukset(Network security: LDAP client signing requirements) ja valitse sitten Ominaisuudet.
- Valitse Verkon(Network) suojaus: LDAP - asiakkaan allekirjoitusvaatimukset Ominaisuudet(Properties) -valintaikkunassa Vaadi kirjautumista(Require signing) luettelosta ja valitse sitten OK.
- Vahvista muutokset ja ota ne käyttöön.
3] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä toimialueen ryhmäkäytäntöobjektia(Group Policy Object)
- Avaa Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Valitse Tiedosto(File) > Add/Remove Snap-in > valitse Ryhmäkäytäntöobjektieditori(Group Policy Object Editor) ja valitse sitten Lisää(Add) .
- Se avaa ohjatun ryhmäkäytäntötoiminnon(Group Policy Wizard) . Napsauta (Click)Selaa(Browse) - painiketta ja valitse Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö(Default Domain Policy)
- Napsauta(Click) OK-painiketta ja sitten Valmis(Finish) - painiketta ja sulje se.
- Valitse Oletustoimialueen käytäntö(Default Domain Policy) > Tietokoneen asetukset(Computer Configuration) > Windows-asetukset(Windows Settings) > Suojausasetukset(Security Settings) > Paikalliset käytännöt(Local Policies) ja valitse sitten Suojausasetukset(Security Options) .
- Valitse Verkon suojaus: LDAP (Network security: LDAP client signing requirements Properties ) - asiakkaan allekirjoitusvaatimukset Ominaisuudet -valintaikkunassa Vaadi kirjautumista (Require signing ) luettelosta ja valitse sitten OK .
- Vahvista(Confirm) muutokset ja ota asetukset käyttöön.
4] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia
Ensimmäinen ja tärkein asia on ottaa varmuuskopio rekisteristäsi
- Avaa Rekisterieditori
- Siirry kohtaan HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Napsauta(Right-click) oikeaa ruutua hiiren kakkospainikkeella ja luo uusi DWORD nimellä LDAPServerIntegrity
- Jätä se oletusarvoonsa.
<InstanceName >: Muutettavan AD LDS(AD LDS) -esiintymän nimi.
5] Kuinka(How) tarkistaa, edellyttävätkö kokoonpanomuutokset nyt kirjautumista
Voit varmistaa, että suojauskäytäntö toimii tässä, kuinka tarkistaa sen eheys.
- Kirjaudu sisään tietokoneeseen, johon on asennettu AD DS -hallintatyökalut(AD DS Admin Tools) .
- Avaa Suorita(Run) -kehote, kirjoita ldp.exe ja paina Enter - näppäintä. Se on käyttöliittymä, jota käytetään navigointiin Active Directoryn(Active Directory) nimiavaruudessa
- Valitse Yhteys > Yhdistä.
- Kirjoita Palvelin ja portti -kohtaan (Port)palvelimen(Server) nimi ja hakemistopalvelimesi ei-SSL/TLS-portti ja valitse sitten OK.
- Kun yhteys on muodostettu, valitse Yhteys > Sidonta.
- Valitse Sidontatyyppi-kohdasta(Bind) Yksinkertainen sidonta(Simple) .
- Kirjoita käyttäjänimi ja salasana ja valitse sitten OK.
Jos saat virheilmoituksen, jonka mukaan Ldap_simple_bind_s() failed: Vahva todennus vaaditaan(Ldap_simple_bind_s() failed: Strong Authentication Required) , olet määrittänyt hakemistopalvelimesi onnistuneesti.
6] Kuinka(How) löytää asiakkaita, jotka eivät käytä Vaadi(Require) allekirjoitusta -vaihtoehtoa
Joka kerta kun asiakaskone muodostaa yhteyden palvelimeen käyttämällä suojaamatonta yhteysprotokollaa, se luo tapahtumatunnuksen 2889(Event ID 2889) . Lokimerkintä sisältää myös asiakkaiden IP-osoitteet. Sinun on otettava tämä käyttöön asettamalla 16 LDAP Interface Events -diagnostiikkaasetukseksi 2 (Perus). (2 (Basic). )Opi määrittämään AD- ja LDS - diagnostiikkatapahtumaloki täällä Microsoftissa(here at Microsoft) .
LDAP-allekirjoitus(LDAP Signing) on ratkaisevan tärkeä, ja toivon, että se auttoi sinua ymmärtämään selvästi, kuinka voit ottaa LDAP -allekirjoituksen käyttöön Windows Serverissä(Windows Server) ja asiakaskoneissa.
Related posts
Määritä etäkäyttöasiakastilin lukitus Windows Serverissä
Poista järjestelmänvalvojan osuudet käytöstä Windows Serveristä
Iperius Backup on ilmainen varmuuskopiointiohjelmisto Windows Serverille
Pakkaaminen paisuneen rekisterin pakkaamiseen Windows Serverissä
DNS-ikääntymisen ja -poiston ottaminen käyttöön ja määrittäminen Windows Serverissä
Mikä on DLNA-palvelin ja kuinka se otetaan käyttöön Windows 10:ssä?
FTP-palvelimen määrittäminen Windowsissa IIS:n avulla
Ryhmäkäytäntöasiakaspalvelu epäonnistui kirjautumisessa Windows 11/10:ssä
Korjaa Windows Media Player -palvelimen suoritus epäonnistui -virhe
DNS-palvelimen vaihtaminen Windows 11:ssä
Asenna Filezilla-palvelin ja -asiakas: Kuvakaappaus ja opetusvideo
Korjaa DNS-palvelin ei ehkä ole käytettävissä -virhe
Korjaa ARK ei voi kysyä palvelimen tietoja kutsua varten
RSAT:lta puuttuu DNS-palvelintyökalut Windows 10:ssä
Discord-palvelimen jättäminen (2022)
Korjaa Omegle-virhe yhteyden muodostamisessa palvelimeen (2022)
IIS:n asentaminen ja Web-palvelimen määrittäminen XP:ssä
Globaalin välityspalvelimen asetusten määrittäminen Windows 10:ssä
Windows Camera Frame Server -palvelu lopetettiin odottamatta
Varmuuskopioi VMware-virtuaalikoneet Azure Backup Serverin avulla