Kuinka ottaa LDAP-kirjautuminen käyttöön Windows Server & Client Machinesissa

LDAP-allekirjoitus(LDAP signing) on Windows Serverin(Windows Server) todennusmenetelmä, joka voi parantaa hakemistopalvelimen turvallisuutta. Kun se on otettu käyttöön, se hylkää kaikki pyynnöt, jotka eivät pyydä allekirjoitusta tai jos pyyntö käyttää ei-SSL/TLS-salausta. Tässä viestissä kerromme, kuinka voit ottaa LDAP -kirjautumisen käyttöön Windows Serverissä(Windows Server) ja asiakaskoneissa. LDAP tulee sanoista   Lightweight Directory Access Protocol (LDAP).

Kuinka ottaa LDAP - kirjautuminen käyttöön Windows - tietokoneissa

Jotta hyökkääjä ei käytä väärennettyä LDAP -asiakasta muuttaakseen palvelimen asetuksia ja tietoja, on välttämätöntä ottaa LDAP - allekirjoitus käyttöön. Yhtä tärkeää on ottaa se käyttöön asiakaskoneissa.

  1. Aseta(Set) palvelimen LDAP - allekirjoitusvaatimus
  2. Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista(Local) tietokonekäytäntöä
  3. Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä Domain Group Policy -objektia(Domain Group Policy Object)
  4. Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia(Registry)
  5. Kuinka tarkistaa kokoonpanomuutokset
  6. Kuinka löytää asiakkaita, jotka eivät käytä Vaadi(Require) allekirjoitusta -vaihtoehtoa

Viimeinen osa auttaa sinua selvittämään asiakkaat, joilla ei ole käytössä Vaadi allekirjoitusta(do not have Require signing enabled) . Se on hyödyllinen työkalu IT-järjestelmänvalvojille näiden tietokoneiden eristämiseen ja tietokoneiden suojausasetusten käyttöönottoon.

1] Aseta(Set) palvelimen LDAP - allekirjoitusvaatimus

Kuinka ottaa LDAP-kirjautuminen käyttöön Windows Server & Client Machinesissa

  1. Avaa Microsoft Management Console (mmc.exe)
  2. Valitse Tiedosto >  Lisää(Add) /poista laajennus > valitse  Ryhmäkäytäntöobjektieditori(Group Policy Object Editor) ja valitse sitten  Lisää(Add) .
  3. Se avaa ohjatun ryhmäkäytäntötoiminnon(Group Policy Wizard) . Napsauta (Click)Selaa(Browse) - painiketta ja valitse  Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö(Default Domain Policy)
  4. Napsauta(Click) OK-painiketta ja sitten Valmis(Finish) - painiketta ja sulje se.
  5. Valitse  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies ja valitse sitten Suojausasetukset.
  6. Napsauta hiiren kakkospainikkeella  Toimialueohjain: LDAP-palvelimen allekirjoitusvaatimukset(Domain controller: LDAP server signing requirements) ja valitse sitten Ominaisuudet.
  7. Ota Toimialueen(Domain) ohjain: LDAP -  palvelimen allekirjoitusvaatimukset Ominaisuudet(Properties)  -valintaikkunassa käyttöön  Määritä(Define) tämä käytäntöasetus, valitse  Määritä tämä käytäntöasetus -luettelosta Vaadi kirjautuminen(Require signing in the Define this policy setting list,) ja valitse sitten OK.
  8. Tarkista asetukset uudelleen ja ota ne käyttöön.

2] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista tietokonekäytäntöä

Kuinka ottaa LDAP-kirjautuminen käyttöön Windows Server & Client Machinesissa

  1. Avaa Suorita(Run) -kehote, kirjoita gpedit.msc ja paina Enter - näppäintä.
  2. Siirry ryhmäkäytäntöeditorissa kohtaan Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies ja valitse sitten  Suojausasetukset.(Security Options.)
  3. Napsauta hiiren kakkospainikkeella Verkkosuojaus: LDAP-asiakkaan allekirjoitusvaatimukset(Network security: LDAP client signing requirements) ja valitse sitten Ominaisuudet.
  4. Valitse Verkon(Network) suojaus: LDAP -  asiakkaan allekirjoitusvaatimukset Ominaisuudet(Properties)  -valintaikkunassa  Vaadi kirjautumista(Require signing) luettelosta ja valitse sitten OK.
  5. Vahvista muutokset ja ota ne käyttöön.

3] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä toimialueen ryhmäkäytäntöobjektia(Group Policy Object)

  1. Avaa Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Valitse  Tiedosto(File)  >  Add/Remove Snap-in >  valitse  Ryhmäkäytäntöobjektieditori(Group Policy Object Editor) ja valitse sitten  Lisää(Add) .
  3. Se avaa ohjatun ryhmäkäytäntötoiminnon(Group Policy Wizard) . Napsauta (Click)Selaa(Browse) - painiketta ja valitse  Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö(Default Domain Policy)
  4. Napsauta(Click) OK-painiketta ja sitten Valmis(Finish) - painiketta ja sulje se.
  5. Valitse  Oletustoimialueen käytäntö(Default Domain Policy)  >  Tietokoneen asetukset(Computer Configuration)  >  Windows-asetukset(Windows Settings)  >  Suojausasetukset(Security Settings)  >  Paikalliset käytännöt(Local Policies) ja valitse sitten  Suojausasetukset(Security Options) .
  6. Valitse Verkon suojaus: LDAP (Network security: LDAP client signing requirements Properties ) -  asiakkaan allekirjoitusvaatimukset Ominaisuudet -valintaikkunassa  Vaadi kirjautumista (Require signing ) luettelosta ja valitse sitten  OK .
  7. Vahvista(Confirm) muutokset ja ota asetukset käyttöön.

4] Aseta(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia

Ensimmäinen ja tärkein asia on ottaa varmuuskopio rekisteristäsi

  • Avaa Rekisterieditori
  • Siirry kohtaan HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Napsauta(Right-click) oikeaa ruutua hiiren kakkospainikkeella ja luo uusi DWORD nimellä LDAPServerIntegrity
  • Jätä se oletusarvoonsa.

<InstanceName >: Muutettavan AD LDS(AD LDS) -esiintymän nimi.

5] Kuinka(How) tarkistaa, edellyttävätkö kokoonpanomuutokset nyt kirjautumista

Voit varmistaa, että suojauskäytäntö toimii tässä, kuinka tarkistaa sen eheys.

  1. Kirjaudu sisään tietokoneeseen, johon on asennettu AD DS -hallintatyökalut(AD DS Admin Tools) .
  2. Avaa Suorita(Run) -kehote, kirjoita ldp.exe ja paina Enter - näppäintä. Se on käyttöliittymä, jota käytetään navigointiin Active Directoryn(Active Directory) nimiavaruudessa
  3. Valitse Yhteys > Yhdistä.
  4. Kirjoita Palvelin   ja  portti -kohtaan (Port)palvelimen(Server) nimi ja hakemistopalvelimesi ei-SSL/TLS-portti ja valitse sitten OK.
  5. Kun yhteys on muodostettu, valitse Yhteys > Sidonta.
  6. Valitse  Sidontatyyppi-kohdasta(Bind) Yksinkertainen  sidonta(Simple) .
  7. Kirjoita käyttäjänimi ja salasana ja valitse sitten OK.

Jos saat virheilmoituksen, jonka mukaan  Ldap_simple_bind_s() failed: Vahva todennus vaaditaan(Ldap_simple_bind_s() failed: Strong Authentication Required) , olet määrittänyt hakemistopalvelimesi onnistuneesti.

6] Kuinka(How) löytää asiakkaita, jotka eivät käytä Vaadi(Require) allekirjoitusta -vaihtoehtoa

Joka kerta kun asiakaskone muodostaa yhteyden palvelimeen käyttämällä suojaamatonta yhteysprotokollaa, se luo tapahtumatunnuksen 2889(Event ID 2889) . Lokimerkintä sisältää myös asiakkaiden IP-osoitteet. Sinun on otettava tämä käyttöön asettamalla 16  LDAP Interface Events  -diagnostiikkaasetukseksi  2 (Perus). (2 (Basic). )Opi määrittämään AD- ja LDS - diagnostiikkatapahtumaloki täällä Microsoftissa(here at Microsoft) .

LDAP-allekirjoitus(LDAP Signing) on ratkaisevan tärkeä, ja toivon, että se auttoi sinua ymmärtämään selvästi, kuinka voit ottaa LDAP -allekirjoituksen käyttöön Windows Serverissä(Windows Server) ja asiakaskoneissa.



About the author

Olen web-kehittäjä, jolla on kokemusta sekä Windows 11:n että 10:n kanssa työskentelystä. Olen myös ollut Firefox-käyttäjä useiden vuosien ajan ja olen oppinut käyttämään täysin uutta Xbox One -pelikonsolia. Suurin kiinnostuksen kohteeni ovat ohjelmistokehitys, erityisesti web- ja mobiilikehitys, sekä datatiede. Olen erittäin perehtynyt erilaisiin tietokonejärjestelmiin ja niiden käyttöön, joten voin antaa puolueetonta palautetta erilaisista käyttämistäsi ohjelmista tai palveluista.



Related posts