Η υπογραφή LDAP^{(LDAP signing)} είναι μια μέθοδος ελέγχου ταυτότητας στον Windows Server που μπορεί να βελτιώσει την ασφάλεια ενός διακομιστή καταλόγου. Μόλις ενεργοποιηθεί, θα απορρίψει οποιοδήποτε αίτημα δεν ζητά υπογραφή ή εάν το αίτημα χρησιμοποιεί μη κρυπτογραφημένο SSL/TLS. Σε αυτήν την ανάρτηση, θα μοιραστούμε πώς μπορείτε να ενεργοποιήσετε την υπογραφή LDAP σε ^(LDAP)Windows Server και υπολογιστές-πελάτες. Το LDAP^(LDAP) σημαίνει   Lightweight Directory Access Protocol (LDAP).

Πώς να ενεργοποιήσετε την είσοδο LDAP σε υπολογιστές με Windows

Για να βεβαιωθείτε ότι ο εισβολέας δεν χρησιμοποιεί ένα πλαστό πρόγραμμα-πελάτη LDAP για να αλλάξει τη διαμόρφωση και τα δεδομένα διακομιστή, είναι απαραίτητο να ενεργοποιήσετε την υπογραφή LDAP . Είναι εξίσου σημαντικό να το ενεργοποιήσετε στα μηχανήματα-πελάτες.

1. Ορίστε^(Set) την απαίτηση υπογραφής LDAP διακομιστή^(LDAP)
2. Ορίστε^(Set) την απαίτηση υπογραφής LDAP πελάτη χρησιμοποιώντας την πολιτική τοπικού^(Local) υπολογιστή
3. Ορίστε την απαίτηση υπογραφής ^(Set)LDAP -πελάτη χρησιμοποιώντας το αντικείμενο πολιτικής ομάδας τομέα^{(Domain Group Policy Object)}
4. Ορίστε την απαίτηση υπογραφής ^(Set)LDAP -πελάτη χρησιμοποιώντας κλειδιά μητρώου^(Registry)
5. Πώς να επαληθεύσετε τις αλλαγές διαμόρφωσης
6. Πώς να βρείτε πελάτες που δεν χρησιμοποιούν την επιλογή " Απαιτείται^(Require) υπογραφή".

Η τελευταία ενότητα σάς βοηθά να καταλάβετε πελάτες που δεν έχουν ενεργοποιημένη^{(do not have Require signing enabled)} την Απαιτείται υπογραφή στον υπολογιστή. Είναι ένα χρήσιμο εργαλείο για τους διαχειριστές IT για την απομόνωση αυτών των υπολογιστών και την ενεργοποίηση των ρυθμίσεων ασφαλείας στους υπολογιστές.

1] Ορίστε^(Set) την απαίτηση υπογραφής LDAP διακομιστή^(LDAP)

1. Ανοίξτε την Κονσόλα διαχείρισης της Microsoft^{(Microsoft Management Console)} (mmc.exe)
2. Επιλέξτε Αρχείο >  Προσθήκη^(Add) /Κατάργηση συμπληρωματικού προγράμματος > επιλέξτε  Επεξεργαστής αντικειμένου πολιτικής ομάδας^{(Group Policy Object Editor)} και, στη συνέχεια, επιλέξτε  Προσθήκη^(Add) .
3. Θα ανοίξει τον Οδηγό πολιτικής ομάδας^{(Group Policy Wizard)} . Κάντε κλικ^(Click) στο κουμπί Αναζήτηση^(Browse) και επιλέξτε  Προεπιλεγμένη πολιτική τομέα^{(Default Domain Policy)} αντί για Τοπικός υπολογιστής
4. Κάντε κλικ^(Click) στο κουμπί ΟΚ και, στη συνέχεια, στο κουμπί Τέλος^(Finish) και κλείστε το.
5. Επιλέξτε  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies και, στη συνέχεια, επιλέξτε Επιλογές ασφαλείας.
6. Κάντε δεξί κλικ στο  Ελεγκτής τομέα: Απαιτήσεις υπογραφής διακομιστή LDAP^{(Domain controller: LDAP server signing requirements)} και, στη συνέχεια, επιλέξτε Ιδιότητες.
7. Στο  παράθυρο διαλόγου Ελεγκτής τομέα^(Domain) : Απαιτήσεις υπογραφής διακομιστή LDAP Ιδιότητες^(Properties)  , ενεργοποιήστε την  επιλογή Ορισμός^(Define) αυτής της ρύθμισης πολιτικής, επιλέξτε  Απαίτηση υπογραφής στη λίστα ρυθμίσεων Ορισμός αυτής της πολιτικής και,^{(Require signing in the Define this policy setting list,)} στη συνέχεια, επιλέξτε OK.
8. Ελέγξτε ξανά τις ρυθμίσεις και εφαρμόστε τις.

2] Ορίστε την απαίτηση υπογραφής ^(Set)LDAP πελάτη χρησιμοποιώντας την πολιτική τοπικού υπολογιστή

1. Ανοίξτε τη γραμμή εντολών Εκτέλεση^(Run) και πληκτρολογήστε gpedit.msc και πατήστε το πλήκτρο Enter .
2. Στο πρόγραμμα επεξεργασίας πολιτικών ομάδας, μεταβείτε στην Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies και, στη συνέχεια, επιλέξτε  Επιλογές ασφαλείας.^{(Security Options.)}
3. Κάντε δεξί κλικ στην Ασφάλεια δικτύου: Απαιτήσεις υπογραφής πελάτη LDAP^{(Network security: LDAP client signing requirements)} και, στη συνέχεια, επιλέξτε Ιδιότητες.
4. Στο  παράθυρο διαλόγου Ασφάλεια δικτύου^(Network) : Απαιτήσεις υπογραφής πελάτη LDAP Ιδιότητες^(Properties)  , επιλέξτε  Απαιτείται υπογραφή^{(Require signing)} στη λίστα και, στη συνέχεια, επιλέξτε ΟΚ.
5. Επιβεβαιώστε τις αλλαγές και εφαρμόστε τις.

3] Ορίστε την απαίτηση υπογραφής ^(Set)LDAP πελάτη χρησιμοποιώντας ένα αντικείμενο πολιτικής ομάδας τομέα^{(Group Policy Object)}

1. Ανοίξτε την Κονσόλα διαχείρισης της Microsoft (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Επιλέξτε  Αρχείο^(File)  >  Add/Remove Snap-in >  επιλέξτε  Επεξεργαστής αντικειμένου πολιτικής ομάδας^{(Group Policy Object Editor)} και, στη συνέχεια, επιλέξτε  Προσθήκη^(Add) .
3. Θα ανοίξει τον Οδηγό πολιτικής ομάδας^{(Group Policy Wizard)} . Κάντε κλικ^(Click) στο κουμπί Αναζήτηση^(Browse) και επιλέξτε  Προεπιλεγμένη πολιτική τομέα^{(Default Domain Policy)} αντί για Τοπικός υπολογιστής
4. Κάντε κλικ^(Click) στο κουμπί ΟΚ και, στη συνέχεια, στο κουμπί Τέλος^(Finish) και κλείστε το.
5. Επιλέξτε  Προεπιλεγμένη πολιτική τομέα^{(Default Domain Policy)}  >  Διαμόρφωση υπολογιστή^{(Computer Configuration)}  >  Ρυθμίσεις Windows^{(Windows Settings)}  >  Ρυθμίσεις ασφαλείας^{(Security Settings)}  >  Τοπικές πολιτικές^{(Local Policies)} και, στη συνέχεια, επιλέξτε  Επιλογές ασφαλείας^{(Security Options)} .
6. Στο  παράθυρο διαλόγου Ασφάλεια δικτύου: Απαιτήσεις υπογραφής πελάτη LDAP Ιδιότητες ^{(Network security: LDAP client signing requirements Properties )} , επιλέξτε  Απαιτείται υπογραφή ^{(Require signing )} στη λίστα και, στη συνέχεια, επιλέξτε  ΟΚ^(OK) .
7. Επιβεβαιώστε^(Confirm) τις αλλαγές και εφαρμόστε τις ρυθμίσεις.

4] Ορίστε την απαίτηση υπογραφής ^(Set)LDAP πελάτη χρησιμοποιώντας κλειδιά μητρώου

Το πρώτο και κύριο πράγμα που πρέπει να κάνετε είναι να δημιουργήσετε ένα αντίγραφο ασφαλείας του μητρώου σας

• Ανοίξτε τον Επεξεργαστή Μητρώου
• Πλοηγηθείτε στο HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Κάντε δεξί κλικ^{(Right-click)} στο δεξί παράθυρο και δημιουργήστε ένα νέο DWORD με όνομα LDAPServerIntegrity
• Αφήστε το στην προεπιλεγμένη τιμή του.

<InstanceName >: Όνομα της παρουσίας AD LDS που θέλετε να αλλάξετε.

5] Πώς^(How) να επαληθεύσετε εάν οι αλλαγές στη διαμόρφωση απαιτούν πλέον είσοδο

Για να βεβαιωθείτε ότι η πολιτική ασφαλείας λειτουργεί εδώ, μπορείτε να ελέγξετε την ακεραιότητά της.

1. Συνδεθείτε σε έναν υπολογιστή που έχει εγκατεστημένα τα Εργαλεία διαχειριστή AD DS .^{(AD DS Admin Tools)}
2. Ανοίξτε τη γραμμή εντολών Εκτέλεση^(Run) και πληκτρολογήστε ldp.exe και πατήστε το πλήκτρο Enter . Είναι μια διεπαφή χρήστη που χρησιμοποιείται για την πλοήγηση στον χώρο ονομάτων του Active Directory
3. Επιλέξτε Σύνδεση > Σύνδεση.
4. Στο  Server  and  Port , πληκτρολογήστε το όνομα διακομιστή και τη θύρα που δεν είναι SSL/TLS του διακομιστή καταλόγου σας και, στη συνέχεια, επιλέξτε OK.
5. Αφού δημιουργηθεί μια σύνδεση, επιλέξτε Σύνδεση > Σύνδεση.
6. Στην  περιοχή^(Bind) Τύπος δέσμευσης, επιλέξτε  Απλή^(Simple) σύνδεση.
7. Πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασης και, στη συνέχεια, επιλέξτε OK.

Εάν λάβετε ένα μήνυμα σφάλματος που λέει ότι το  Ldap_simple_bind_s() απέτυχε: Απαιτείται ισχυρός έλεγχος ταυτότητας^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , τότε έχετε διαμορφώσει με επιτυχία τον διακομιστή καταλόγου σας.

6] Πώς^(How) να βρείτε πελάτες που δεν χρησιμοποιούν την επιλογή « Απαιτείται^(Require) υπογραφή».

Κάθε φορά που ένα μηχάνημα πελάτη συνδέεται στον διακομιστή χρησιμοποιώντας ένα πρωτόκολλο μη ασφαλούς σύνδεσης, δημιουργεί το Αναγνωριστικό συμβάντος 2889^{(Event ID 2889)} . Η καταχώρηση αρχείου καταγραφής θα περιέχει επίσης τις διευθύνσεις IP των πελατών. Θα χρειαστεί να το ενεργοποιήσετε ορίζοντας τη  ρύθμιση διαγνωστικού ελέγχου  16  συμβάντων διεπαφής LDAP σε ^{(LDAP Interface Events)}2 (Βασική). ^{(2 (Basic). )}Μάθετε πώς να διαμορφώνετε την καταγραφή διαγνωστικών συμβάντων AD και LDS εδώ στη Microsoft^{(here at Microsoft)} .

Η υπογραφή LDAP^{(LDAP Signing)} είναι ζωτικής σημασίας και ελπίζω ότι μπόρεσε να σας βοηθήσει να κατανοήσετε με σαφήνεια πώς μπορείτε να ενεργοποιήσετε την υπογραφή LDAP στον ^(LDAP)Windows Server και στους υπολογιστές-πελάτες.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Διαμορφώστε το κλείδωμα λογαριασμού πελάτη απομακρυσμένης πρόσβασης στον Windows Server

• Απενεργοποιήστε τα Shared Administrative από τον Windows Server

• Το Iperius Backup είναι ένα δωρεάν λογισμικό δημιουργίας αντιγράφων ασφαλείας για Windows Server

• Τρόπος συμπίεσης Bloated Registry Hives στον Windows Server

• Τρόπος ενεργοποίησης και ρύθμισης παραμέτρων DNS Aging & Scavenging στον Windows Server

• Διορθώστε το σφάλμα ενεργοποίησης διακομιστή Windows 0xc004f069

• Διόρθωση σφάλματος Omegle σύνδεσης με διακομιστή (2022)

• Το Public DNS Server Tool είναι μια δωρεάν αλλαγή DNS για τα Windows 10

• Επαναφέρετε το Windows Update Client χρησιμοποιώντας το PowerShell Script

• Η υπηρεσία Group Policy Client απέτυχε στη σύνδεση στα Windows 11/10

• Η Υπηρεσία Πελατών DHCP δίνει σφάλμα Απαγόρευση πρόσβασης στα Windows 11/10

• Δημιουργία αντιγράφων ασφαλείας εικονικών μηχανών VMware με τον διακομιστή αντιγράφων ασφαλείας Azure

• Το GitAtomic είναι ένας πελάτης Git GUI για συστήματα Windows

• Δεν ήταν δυνατή η πρόσβαση στον ιστότοπο επιδιόρθωσης, δεν ήταν δυνατή η εύρεση της IP του διακομιστή

• Τι είναι ο διακομιστής DLNA και πώς να τον ενεργοποιήσω στα Windows 10;

• Διόρθωση Δεν είναι δυνατή η επίτευξη του σφάλματος διακομιστή VPN στο PIA στα Windows 11

• Συγχρονίστε το ρολόι των Windows 10 με έναν διακομιστή ώρας Internet

• Πώς να δημιουργήσετε έναν δημόσιο διακομιστή VPN στα Windows 10

• Ρύθμιση διακομιστή και πελάτη Filezilla: Εκμάθηση στιγμιότυπου και βίντεο

• Διορθώστε το σφάλμα Windows Store Ο διακομιστής σκόνταψε