Domänencontroller: Signaturanforderungen für LDAP-Server

Gilt für

  • Windows 10

In diesem Artikel werden die bewährten Methoden, Speicherorte, Werte und Sicherheitsüberlegungen für den Domänencontroller beschrieben: Sicherheitsrichtlinieneinstellung für LDAP-Serversignaturanforderungen.

Verweis

Diese Richtlinieneinstellung bestimmt, ob der LDAP-Server (Lightweight Directory Access Protocol) LDAP-Clients zum Aushandeln der Datensignierung benötigt.

Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe, bei denen ein Angreifer Pakete zwischen dem Server und dem Clientgerät erfasst und ändert, bevor er sie an das Clientgerät weiterleitet. Bei einem LDAP-Server kann ein böswilliger Benutzer dazu führen, dass ein Clientgerät Entscheidungen basierend auf falschen Datensätzen aus dem LDAP-Verzeichnis trifft. Sie können dieses Risiko in einem Unternehmensnetzwerk verringern, indem Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Darüber hinaus kann die Implementierung des IPsec-Authentifizierungsheadermodus (Internet Protocol Security), der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr bereitstellt, alle Arten von Man-in-the-Middle-Angriffen erschweren.

Diese Einstellung hat keine Auswirkungen auf die einfache LDAP-Bindung über SSL (LDAP TCP/636).

Wenn eine Signierung erforderlich ist, werden einfache LDAP-Bindungen, die kein SSL verwenden, abgelehnt (LDAP TCP/389).

Vorsicht: Wenn Sie den Server auf Signatur anfordern festlegen, müssen Sie auch das Clientgerät festlegen. Wenn Sie das Clientgerät nicht festlegen, geht die Verbindung mit dem Server verloren.

Zulässige Werte

  • Keine. Für die Bindung an den Server sind keine Datensignaturen erforderlich. Wenn der Clientcomputer die Datensignierung anfordert, unterstützt der Server dies.
  • Signatur erforderlich. Die LDAP-Datensignierungsoption muss ausgehandelt werden, es sei denn, Transport Layer Security/Secure Sockets Layer (TLS/SSL) wird verwendet.
  • Nicht definiert.

Bewährte Methoden

  • Es wird empfohlen, den Domänencontroller festzulegen: Signierungsanforderungen für LDAP-Server auf Signatur erforderlich. Clients, die die LDAP-Signierung nicht unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.

Pfad

Computerkonfiguration\Windows Einstellungen\Sicherheits-Einstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Nicht definiert
Standardeinstellungen für eigenständige Server Nicht definiert
DC Effective Default Einstellungen Keiner
Effektive Standardeinstellungen für Mitgliedsserver Keiner
Effektive Standardeinstellungen für Clientcomputer Keiner

Richtlinienverwaltung

In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderungen

Keine. Änderungen an dieser Richtlinie werden ohne Geräteneustart wirksam, wenn sie lokal gespeichert oder über gruppenrichtlinien verteilt werden.

Überlegungen zur Sicherheit

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe. Bei solchen Angriffen erfasst ein Angreifer Pakete zwischen dem Server und dem Clientgerät, ändert sie und leitet sie dann an das Clientgerät weiter. Bei LDAP-Servern kann ein Angreifer dazu führen, dass ein Clientgerät Entscheidungen trifft, die auf falschen Datensätzen aus dem LDAP-Verzeichnis basieren. Um das Risiko eines solchen Angriffs in das Netzwerk einer Organisation zu verringern, können Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Sie können auch den IPsec-Authentifizierungsheadermodus (Internet Protocol Security) implementieren, der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr durchführt, um alle Arten von Man-in-the-Middle-Angriffen zu erschweren.

Gegenmaßnahme

Konfigurieren Des Domänencontrollers: Die Signierungsanforderungen für LDAP-Server sind auf "Signatur erforderlich" festgelegt.

Mögliche Auswirkungen

Clientgeräte, die die LDAP-Signierung nicht unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.

Verwandte Themen