Domänencontroller: Signaturanforderungen für LDAP-Server
Gilt für
- Windows 10
In diesem Artikel werden die bewährten Methoden, Speicherorte, Werte und Sicherheitsüberlegungen für den Domänencontroller beschrieben: Sicherheitsrichtlinieneinstellung für LDAP-Serversignaturanforderungen.
Verweis
Diese Richtlinieneinstellung bestimmt, ob der LDAP-Server (Lightweight Directory Access Protocol) LDAP-Clients zum Aushandeln der Datensignierung benötigt.
Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe, bei denen ein Angreifer Pakete zwischen dem Server und dem Clientgerät erfasst und ändert, bevor er sie an das Clientgerät weiterleitet. Bei einem LDAP-Server kann ein böswilliger Benutzer dazu führen, dass ein Clientgerät Entscheidungen basierend auf falschen Datensätzen aus dem LDAP-Verzeichnis trifft. Sie können dieses Risiko in einem Unternehmensnetzwerk verringern, indem Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Darüber hinaus kann die Implementierung des IPsec-Authentifizierungsheadermodus (Internet Protocol Security), der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr bereitstellt, alle Arten von Man-in-the-Middle-Angriffen erschweren.
Diese Einstellung hat keine Auswirkungen auf die einfache LDAP-Bindung über SSL (LDAP TCP/636).
Wenn eine Signierung erforderlich ist, werden einfache LDAP-Bindungen, die kein SSL verwenden, abgelehnt (LDAP TCP/389).
Vorsicht: Wenn Sie den Server auf Signatur anfordern festlegen, müssen Sie auch das Clientgerät festlegen. Wenn Sie das Clientgerät nicht festlegen, geht die Verbindung mit dem Server verloren.
Zulässige Werte
- Keine. Für die Bindung an den Server sind keine Datensignaturen erforderlich. Wenn der Clientcomputer die Datensignierung anfordert, unterstützt der Server dies.
- Signatur erforderlich. Die LDAP-Datensignierungsoption muss ausgehandelt werden, es sei denn, Transport Layer Security/Secure Sockets Layer (TLS/SSL) wird verwendet.
- Nicht definiert.
Bewährte Methoden
- Es wird empfohlen, den Domänencontroller festzulegen: Signierungsanforderungen für LDAP-Server auf Signatur erforderlich. Clients, die die LDAP-Signierung nicht unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.
Pfad
Computerkonfiguration\Windows Einstellungen\Sicherheits-Einstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.
| Servertyp oder GPO | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht definiert |
| Standarddomänencontroller-Richtlinie | Nicht definiert |
| Standardeinstellungen für eigenständige Server | Nicht definiert |
| DC Effective Default Einstellungen | Keiner |
| Effektive Standardeinstellungen für Mitgliedsserver | Keiner |
| Effektive Standardeinstellungen für Clientcomputer | Keiner |
Richtlinienverwaltung
In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.
Neustartanforderungen
Keine. Änderungen an dieser Richtlinie werden ohne Geräteneustart wirksam, wenn sie lokal gespeichert oder über gruppenrichtlinien verteilt werden.
Überlegungen zur Sicherheit
In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.
Sicherheitsrisiko
Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe. Bei solchen Angriffen erfasst ein Angreifer Pakete zwischen dem Server und dem Clientgerät, ändert sie und leitet sie dann an das Clientgerät weiter. Bei LDAP-Servern kann ein Angreifer dazu führen, dass ein Clientgerät Entscheidungen trifft, die auf falschen Datensätzen aus dem LDAP-Verzeichnis basieren. Um das Risiko eines solchen Angriffs in das Netzwerk einer Organisation zu verringern, können Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Sie können auch den IPsec-Authentifizierungsheadermodus (Internet Protocol Security) implementieren, der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr durchführt, um alle Arten von Man-in-the-Middle-Angriffen zu erschweren.
Gegenmaßnahme
Konfigurieren Des Domänencontrollers: Die Signierungsanforderungen für LDAP-Server sind auf "Signatur erforderlich" festgelegt.
Mögliche Auswirkungen
Clientgeräte, die die LDAP-Signierung nicht unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.
Verwandte Themen
Feedback
Feedback senden und anzeigen für