So aktivieren Sie die LDAP-Anmeldung Windows Server

In diesem Artikel wird beschrieben, wie Sie die LDAP-Anmeldung Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows 10 aktivieren.

Gilt für:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer:   935834

Zusammenfassung

Sie können die Sicherheit eines Verzeichnisservers erheblich verbessern, indem Sie den Server so konfigurieren, dass SIMPLE Authentication and Security Layer (SASL)-LDAP-Bindungen abgelehnt werden, die keine Signierung (Integritätsüberprüfung) anfordern, oder ldap-einfache Bindungen ablehnen, die für eine Klartextverbindung (nicht SSL/TLS-verschlüsselt) ausgeführt werden. SASL-Bindungen können Protokolle wie Negotiate, Kerberos, NTLM und Digest enthalten.

Nicht signierter Netzwerkdatenverkehr ist anfällig für Replay-Angriffe. Bei solchen Angriffen fängt ein Angreifer den Authentifizierungsversuch und die Ausstellung eines Tickets ab. Der Angreifer kann das Ticket wiederverwenden, um die Identität des legitimen Benutzers zu imitieren. Darüber hinaus ist nicht signierter Netzwerkdatenverkehr anfällig für Man-in-the-Middle-Angriffe (MIM), bei denen ein Angreifer Pakete zwischen dem Client und dem Server erfasst, die Pakete ändert und sie dann an den Server weiterleitet. Wenn dies auf einem LDAP-Server geschieht, kann ein Angreifer dazu führen, dass ein Server Entscheidungen trifft, die auf gefälschten Anforderungen des LDAP-Clients basieren.

Ermitteln von Clients, die nicht die Option "Signierung anfordern" verwenden

Nachdem Sie diese Konfigurationsänderung vornehmen, funktionieren Clients, die nicht signierte SASL-LDAP-Bindungen (Negotiate, Kerberos, NTLM oder Digest) oder einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung verwenden, nicht mehr. Um diese Clients zu identifizieren, protokolliert der Verzeichnisserver von Active Directory Domain Services (AD DS) oder Lightweight Directory Server (LDS) einmal alle 24 Stunden eine Zusammenfassende Ereignis-ID 2887, um anzugeben, wie viele solche Bindungen aufgetreten sind. Es wird empfohlen, diese Clients so zu konfigurieren, dass solche Bindungen nicht verwendet werden. Nachdem solche Ereignisse für einen längeren Zeitraum nicht beobachtet wurden, empfehlen wir, den Server so zu konfigurieren, dass solche Bindungen abgelehnt werden.

Wenn Sie weitere Informationen benötigen, um solche Clients zu identifizieren, können Sie den Verzeichnisserver so konfigurieren, dass detailliertere Protokolle bereitgestellt werden. Diese zusätzliche Protokollierung protokolliert eine Ereignis-ID 2889, wenn ein Client versucht, eine unsignierte LDAP-Bindung vorzunehmen. Der Protokolleintrag zeigt die IP-Adresse des Clients und die Identität an, die der Client für die Authentifizierung verwenden wollte. Sie können diese zusätzliche Protokollierung aktivieren, indem Sie die Diagnoseeinstellung 16 LDAP-Schnittstellenereignisse auf 2 (Einfach) festlegen. Weitere Informationen zum Ändern der Diagnoseeinstellungen finden Sie unter Konfigurieren der Active Directory- und LDS-Diagnoseereignisprotokollierung.

Wenn der Verzeichnisserver so konfiguriert ist, dass nicht signierte SASL LDAP-Bindungen oder einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung abgelehnt werden, protokolliert der Verzeichnisserver einmal alle 24 Stunden eine Zusammenfassungsereignis-ID 2888, wenn solche Bindungsversuche auftreten.

Konfigurieren des Verzeichnisses für die LDAP-Serversignierung für AD DS

Informationen zu möglichen Auswirkungen auf das Ändern von Sicherheitseinstellungen finden Sie unter Client-, Dienst- und Programmprobleme, die auftreten können, wenn Sie Sicherheitseinstellungen und Benutzerrechtezuweisungen ändern.

Hinweis

Protokollieren der Anomalie der Ereignis-ID 2889

Anwendungen, die LDAP-Clients von Drittanbietern verwenden, können dazu führen, dass Windows falsche Ereignis-ID 2889-Einträge generiert. Dies tritt auf, wenn Sie LDAP-Schnittstellenereignisse protokollieren und gleich LDAPServerIntegrity 2 sind. Die Verwendung der Versiegelung (Verschlüsselung) erfüllt den Schutz vor dem MIM Angriff, aber Windows protokolliert trotzdem Ereignis-ID 2889.

Dies geschieht, wenn LDAP-Clients nur die Versiegelung zusammen mit SASL verwenden. Wir haben dies im Feld in Verbindung mit LDAP-Clients von Drittanbietern gesehen.

Wenn eine Verbindung nicht sowohl Signierung als auch Versiegelung verwendet, werden bei der Überprüfung der Verbindungssicherheitsanforderungen die Flags ordnungsgemäß verwendet und die Verbindung getrennt. Die Überprüfung generiert Fehler 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Verwenden von Gruppenrichtlinien

So legen Sie die Ldap-Signaturanforderung für den Server fest

  1. Wählen Sie "Start > ausführen", geben Siemmc.exe ein, und wählen Sie dann "OK" aus.
  2. Wählen Sie "Datei > hinzufügen/Snap-In entfernen" aus, wählen Sie "Gruppenrichtlinienverwaltungs-Editor" und dann "Hinzufügen" aus.
  3. Select Group Policy Object > Browse.
  4. Wählen Sie im Dialogfeld "Nach einem Gruppenrichtlinienobjekt suchen" im Bereich "Domänen", "Organisationseinheiten" und "Verknüpfte Gruppenrichtlinienobjekte" die Option "Standarddomänencontrollerrichtlinie" aus, und wählen Sie dann "OK" aus.
  5. Klicken Sie auf Fertigstellen.
  6. Wählen Sie OK aus.
  7. Wählen Sie Standardkonfigurationsrichtlinien für Domänencontrollerrichtlinien > > > Windows Einstellungen > Sicherheit Einstellungen lokale > Richtlinien aus, und wählen Sie dann "Sicherheitsoptionen" aus.
  8. Klicken Sie mit der rechten Maustaste auf Domänencontroller: Ldap-Serversignaturanforderungen, und wählen Sie dann Eigenschaften aus.
  9. Aktivieren Sie im Dialogfeld "Domänencontroller: Eigenschaften für LDAP-Serversignierungsanforderungen" die Option "Diese Richtlinieneinstellung definieren", wählen Sie "Signieren" in der Liste "Diese Richtlinieneinstellung definieren" und dann "OK" aus.
  10. Wählen Sie im Dialogfeld "Einstellung ändern bestätigen" die Option "Ja" aus.

So legen Sie die Ldap-Signaturanforderung des Clients mithilfe der lokalen Computerrichtlinie fest

  1. Wählen Sie "Start > ausführen", geben Siemmc.exe ein, und wählen Sie dann "OK" aus.
  2. Wählen Sie Das Snap-In "Datei > hinzufügen/entfernen" aus.
  3. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen" oder "Entfernen" die Option "Gruppenrichtlinienobjekt-Editor" aus, und wählen Sie dann "Hinzufügen" aus.
  4. Klicken Sie auf Fertigstellen.
  5. Wählen Sie OK aus.
  6. Wählen Sie > "Computerkonfigurationsrichtlinien für lokale > > Computer" Windows Einstellungen > "Sicherheit Einstellungen lokale > Richtlinien" aus, und wählen Sie dann "Sicherheitsoptionen" aus.
  7. Klicken Sie mit der rechten Maustaste auf "Netzwerksicherheit:LDAP-Clientsignierungsanforderungen", und wählen Sie dann "Eigenschaften" aus.
  8. Wählen Sie im Dialogfeld "Netzwerksicherheit: LDAP-Clientsignierungsanforderungen – Eigenschaften" die Option "Anmelden in der Liste anfordern" aus, und wählen Sie dann "OK" aus.
  9. Wählen Sie im Dialogfeld "Einstellung ändern bestätigen" die Option "Ja" aus.

So legen Sie die LDAP-Signaturanforderung des Clients mithilfe eines Domänengruppenrichtlinienobjekts fest

  1. Wählen Sie "Start > ausführen", geben Siemmc.exe ein, und wählen Sie dann "OK" aus.
  2. Wählen Sie Das Snap-In "Datei > hinzufügen/entfernen" aus.
  3. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen" oder "Entfernen" die Option "Gruppenrichtlinienobjekt-Editor" aus, und wählen Sie dann "Hinzufügen" aus.
  4. Wählen Sie "Durchsuchen" und dann "Standarddomänenrichtlinie" (oder das Gruppenrichtlinienobjekt, für das Sie die LDAP-Clientsignierung aktivieren möchten) aus.
  5. Wählen Sie OK aus.
  6. Klicken Sie auf Fertigstellen.
  7. Wählen Sie Schließen aus.
  8. Wählen Sie OK aus.
  9. Wählen Sie "Standarddomänenrichtlinien-Computerkonfiguration > > Windows Einstellungen > Sicherheit Einstellungen lokale > Richtlinien" aus, und wählen Sie dann "Sicherheitsoptionen" aus.
  10. Wählen Sie im Dialogfeld "Netzwerksicherheit: LDAP-Clientsignierungsanforderungen – Eigenschaften" die Option "Anmelden in der Liste anfordern" aus, und wählen Sie dann "OK" aus.
  11. Wählen Sie im Dialogfeld "Einstellung ändern bestätigen" die Option "Ja" aus.

So legen Sie die Ldap-Signaturanforderung des Clients mithilfe von Registrierungsschlüsseln fest

Wichtig

Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.

Standardmäßig ist der Registrierungsschlüssel für Active Directory Lightweight Directory Services (AD LDS) nicht verfügbar. Daher müssen Sie unter LDAPServerIntegrity dem folgenden Registrierungsunterschlüssel einen Registrierungseintrag vom Typ REG_DWORD erstellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ <*InstanceName> *\Parameters

Hinweis

Der Platzhalter <InstanceName> stellt den Namen der AD LDS-Instanz dar, die Sie ändern möchten.

So überprüfen Sie Konfigurationsänderungen

  1. Melden Sie sich bei einem Computer an, auf dem die AD DS-Verwaltungstools installiert sind.

  2. Wählen Sie "Start > ausführen", geben Sieldp.exe ein, und wählen Sie dann "OK" aus.

  3. Wählen Sie > "Verbindung" Verbinden aus.

  4. Geben Sie in "Server" und "Port" den Servernamen und den Nicht-SSL/TLS-Port Ihres Verzeichnisservers ein, und wählen Sie dann OK aus.

    Hinweis

    Für einen Active Directory-Domänencontroller ist der anwendbare Port 389.

  5. Nachdem eine Verbindung hergestellt wurde, wählen Sie Connection > Bind aus.

  6. Wählen Sie unter "Bindungstyp" die Option "Einfache Bindung" aus.

  7. Geben Sie den Benutzernamen und das Kennwort ein, und wählen Sie dann OK aus.

    Wenn die folgende Fehlermeldung angezeigt wird, haben Sie Ihren Verzeichnisserver erfolgreich konfiguriert:

    Ldap_simple_bind_s() fehlgeschlagen: Starke Authentifizierung erforderlich

Informationsquellen