LDAP-allekirjoitus^{(LDAP signing)} on Windows Serverin^{(Windows Server)} todennusmenetelmä, joka voi parantaa hakemistopalvelimen turvallisuutta. Kun se on otettu käyttöön, se hylkää kaikki pyynnöt, jotka eivät pyydä allekirjoitusta tai jos pyyntö käyttää ei-SSL/TLS-salausta. Tässä viestissä kerromme, kuinka voit ottaa LDAP -kirjautumisen käyttöön Windows Serverissä^{(Windows Server)} ja asiakaskoneissa. LDAP tulee sanoista   Lightweight Directory Access Protocol (LDAP).

Kuinka ottaa LDAP - kirjautuminen käyttöön Windows - tietokoneissa

Jotta hyökkääjä ei käytä väärennettyä LDAP -asiakasta muuttaakseen palvelimen asetuksia ja tietoja, on välttämätöntä ottaa LDAP - allekirjoitus käyttöön. Yhtä tärkeää on ottaa se käyttöön asiakaskoneissa.

1. Aseta^(Set) palvelimen LDAP - allekirjoitusvaatimus
2. Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista^(Local) tietokonekäytäntöä
3. Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä Domain Group Policy -objektia^{(Domain Group Policy Object)}
4. Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia^(Registry)
5. Kuinka tarkistaa kokoonpanomuutokset
6. Kuinka löytää asiakkaita, jotka eivät käytä Vaadi^(Require) allekirjoitusta -vaihtoehtoa

Viimeinen osa auttaa sinua selvittämään asiakkaat, joilla ei ole käytössä Vaadi allekirjoitusta^{(do not have Require signing enabled)} . Se on hyödyllinen työkalu IT-järjestelmänvalvojille näiden tietokoneiden eristämiseen ja tietokoneiden suojausasetusten käyttöönottoon.

1] Aseta^(Set) palvelimen LDAP - allekirjoitusvaatimus

1. Avaa Microsoft Management Console (mmc.exe)
2. Valitse Tiedosto >  Lisää^(Add) /poista laajennus > valitse  Ryhmäkäytäntöobjektieditori^{(Group Policy Object Editor)} ja valitse sitten  Lisää^(Add) .
3. Se avaa ohjatun ryhmäkäytäntötoiminnon^{(Group Policy Wizard)} . Napsauta ^(Click)Selaa^(Browse) - painiketta ja valitse  Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö^{(Default Domain Policy)}
4. Napsauta^(Click) OK-painiketta ja sitten Valmis^(Finish) - painiketta ja sulje se.
5. Valitse  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies ja valitse sitten Suojausasetukset.
6. Napsauta hiiren kakkospainikkeella  Toimialueohjain: LDAP-palvelimen allekirjoitusvaatimukset^{(Domain controller: LDAP server signing requirements)} ja valitse sitten Ominaisuudet.
7. Ota Toimialueen^(Domain) ohjain: LDAP -  palvelimen allekirjoitusvaatimukset Ominaisuudet^(Properties)  -valintaikkunassa käyttöön  Määritä^(Define) tämä käytäntöasetus, valitse  Määritä tämä käytäntöasetus -luettelosta Vaadi kirjautuminen^{(Require signing in the Define this policy setting list,)} ja valitse sitten OK.
8. Tarkista asetukset uudelleen ja ota ne käyttöön.

2] Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä paikallista tietokonekäytäntöä

1. Avaa Suorita^(Run) -kehote, kirjoita gpedit.msc ja paina Enter - näppäintä.
2. Siirry ryhmäkäytäntöeditorissa kohtaan Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies ja valitse sitten  Suojausasetukset.^{(Security Options.)}
3. Napsauta hiiren kakkospainikkeella Verkkosuojaus: LDAP-asiakkaan allekirjoitusvaatimukset^{(Network security: LDAP client signing requirements)} ja valitse sitten Ominaisuudet.
4. Valitse Verkon^(Network) suojaus: LDAP -  asiakkaan allekirjoitusvaatimukset Ominaisuudet^(Properties)  -valintaikkunassa  Vaadi kirjautumista^{(Require signing)} luettelosta ja valitse sitten OK.
5. Vahvista muutokset ja ota ne käyttöön.

3] Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä toimialueen ryhmäkäytäntöobjektia^{(Group Policy Object)}

1. Avaa Microsoft Management Console (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Valitse  Tiedosto^(File)  >  Add/Remove Snap-in >  valitse  Ryhmäkäytäntöobjektieditori^{(Group Policy Object Editor)} ja valitse sitten  Lisää^(Add) .
3. Se avaa ohjatun ryhmäkäytäntötoiminnon^{(Group Policy Wizard)} . Napsauta ^(Click)Selaa^(Browse) - painiketta ja valitse  Paikallisen tietokoneen sijaan Oletustoimialuekäytäntö^{(Default Domain Policy)}
4. Napsauta^(Click) OK-painiketta ja sitten Valmis^(Finish) - painiketta ja sulje se.
5. Valitse  Oletustoimialueen käytäntö^{(Default Domain Policy)}  >  Tietokoneen asetukset^{(Computer Configuration)}  >  Windows-asetukset^{(Windows Settings)}  >  Suojausasetukset^{(Security Settings)}  >  Paikalliset käytännöt^{(Local Policies)} ja valitse sitten  Suojausasetukset^{(Security Options)} .
6. Valitse Verkon suojaus: LDAP ^{(Network security: LDAP client signing requirements Properties )} -  asiakkaan allekirjoitusvaatimukset Ominaisuudet -valintaikkunassa  Vaadi kirjautumista ^{(Require signing )} luettelosta ja valitse sitten  OK .
7. Vahvista^(Confirm) muutokset ja ota asetukset käyttöön.

4] Aseta^(Set) asiakkaan LDAP - allekirjoitusvaatimus käyttämällä rekisteriavaimia

Ensimmäinen ja tärkein asia on ottaa varmuuskopio rekisteristäsi

• Avaa Rekisterieditori
• Siirry kohtaan HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Napsauta^{(Right-click)} oikeaa ruutua hiiren kakkospainikkeella ja luo uusi DWORD nimellä LDAPServerIntegrity
• Jätä se oletusarvoonsa.

<InstanceName >: Muutettavan AD LDS^{(AD LDS)} -esiintymän nimi.

5] Kuinka^(How) tarkistaa, edellyttävätkö kokoonpanomuutokset nyt kirjautumista

Voit varmistaa, että suojauskäytäntö toimii tässä, kuinka tarkistaa sen eheys.

1. Kirjaudu sisään tietokoneeseen, johon on asennettu AD DS -hallintatyökalut^{(AD DS Admin Tools)} .
2. Avaa Suorita^(Run) -kehote, kirjoita ldp.exe ja paina Enter - näppäintä. Se on käyttöliittymä, jota käytetään navigointiin Active Directoryn^{(Active Directory)} nimiavaruudessa
3. Valitse Yhteys > Yhdistä.
4. Kirjoita Palvelin   ja  portti -kohtaan ^(Port)palvelimen^(Server) nimi ja hakemistopalvelimesi ei-SSL/TLS-portti ja valitse sitten OK.
5. Kun yhteys on muodostettu, valitse Yhteys > Sidonta.
6. Valitse  Sidontatyyppi-kohdasta^(Bind) Yksinkertainen  sidonta^(Simple) .
7. Kirjoita käyttäjänimi ja salasana ja valitse sitten OK.

Jos saat virheilmoituksen, jonka mukaan  Ldap_simple_bind_s() failed: Vahva todennus vaaditaan^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , olet määrittänyt hakemistopalvelimesi onnistuneesti.

6] Kuinka^(How) löytää asiakkaita, jotka eivät käytä Vaadi^(Require) allekirjoitusta -vaihtoehtoa

Joka kerta kun asiakaskone muodostaa yhteyden palvelimeen käyttämällä suojaamatonta yhteysprotokollaa, se luo tapahtumatunnuksen 2889^{(Event ID 2889)} . Lokimerkintä sisältää myös asiakkaiden IP-osoitteet. Sinun on otettava tämä käyttöön asettamalla 16  LDAP Interface Events  -diagnostiikkaasetukseksi  2 (Perus). ^{(2 (Basic). )}Opi määrittämään AD- ja LDS - diagnostiikkatapahtumaloki täällä Microsoftissa^{(here at Microsoft)} .

LDAP-allekirjoitus^{(LDAP Signing)} on ratkaisevan tärkeä, ja toivon, että se auttoi sinua ymmärtämään selvästi, kuinka voit ottaa LDAP -allekirjoituksen käyttöön Windows Serverissä^{(Windows Server)} ja asiakaskoneissa.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Määritä etäkäyttöasiakastilin lukitus Windows Serverissä

• Poista järjestelmänvalvojan osuudet käytöstä Windows Serveristä

• Iperius Backup on ilmainen varmuuskopiointiohjelmisto Windows Serverille

• Pakkaaminen paisuneen rekisterin pakkaamiseen Windows Serverissä

• DNS-ikääntymisen ja -poiston ottaminen käyttöön ja määrittäminen Windows Serverissä

• Mikä on DLNA-palvelin ja kuinka se otetaan käyttöön Windows 10:ssä?

• FTP-palvelimen määrittäminen Windowsissa IIS:n avulla

• Ryhmäkäytäntöasiakaspalvelu epäonnistui kirjautumisessa Windows 11/10:ssä

• Korjaa Windows Media Player -palvelimen suoritus epäonnistui -virhe

• DNS-palvelimen vaihtaminen Windows 11:ssä

• Asenna Filezilla-palvelin ja -asiakas: Kuvakaappaus ja opetusvideo

• Korjaa DNS-palvelin ei ehkä ole käytettävissä -virhe

• Korjaa ARK ei voi kysyä palvelimen tietoja kutsua varten

• RSAT:lta puuttuu DNS-palvelintyökalut Windows 10:ssä

• Discord-palvelimen jättäminen (2022)

• Korjaa Omegle-virhe yhteyden muodostamisessa palvelimeen (2022)

• IIS:n asentaminen ja Web-palvelimen määrittäminen XP:ssä

• Globaalin välityspalvelimen asetusten määrittäminen Windows 10:ssä

• Windows Camera Frame Server -palvelu lopetettiin odottamatta

• Varmuuskopioi VMware-virtuaalikoneet Azure Backup Serverin avulla