Controlador de domínio: Requisitos de assinatura de servidor LDAP
Aplicável a
- Windows 10
Este artigo descreve as melhores práticas, localização, valores e considerações de segurança para o controlador de domínio: configuração de política de segurança dos requisitos de assinatura de servidor LDAP .
Referência
Essa configuração de política determina se o servidor LDAP (Lightweight Directory Access Protocol) exige que os clientes LDAP negociem a assinatura de dados.
O tráfego de rede não assinado é suscetível a ataques man-in-the-middle, em que um invasor captura pacotes entre o servidor e o dispositivo cliente e os modifica antes de encaminhá-los para o dispositivo cliente. No exemplo de um servidor LDAP, um usuário mal-intencionado pode fazer com que um dispositivo cliente tome decisões com base em registros falsos do diretório LDAP. Você pode reduzir esse risco em uma rede corporativa implementando medidas de segurança física fortes para proteger a infraestrutura de rede. Além disso, implementar o modo de cabeçalho de autenticação de protocolo IPsec, que fornece autenticação mútua e integridade de pacote para o tráfego ip, pode dificultar todos os tipos de ataques man-in-the-middle.
Essa configuração não tem nenhum impacto na associação simples LDAP por meio de SSL (LDAP TCP/636).
Se a assinatura for necessária, as associações simples LDAP que não usam SSL serão rejeitadas (LDAP TCP/389).
Cuidado: Se você definir o servidor como Exigir assinatura, também deverá definir o dispositivo cliente. Não definir o dispositivo cliente resulta em perda de conexão com o servidor.
Valores possíveis
- Nenhuma. As assinaturas de dados não são necessárias para associar ao servidor. Se o computador cliente solicitar a assinatura de dados, o servidor oferecerá suporte a ele.
- Exigir assinatura. A opção de assinatura de dados LDAP deve ser negociada, a menos que o protocolo TLS/SSL esteja em uso.
- Não definido.
Práticas recomendadas
- Recomendamos que você defina o controlador de domínio: requisitos de assinatura do servidor LDAP para Exigir assinatura. Os clientes que não dão suporte à assinatura LDAP não poderão executar consultas LDAP nos controladores de domínio.
Location
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança
Valores padrão
A tabela a seguir lista os valores padrão reais e efetivos para essa política. Os valores padrão também são listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
| Política de Domínio Padrão | Não definido |
| Política de controlador de domínio padrão | Não definido |
| Stand-Alone configurações padrão do servidor | Não definido |
| Configurações padrão efetivas do DC | Nenhum |
| Configurações padrão efetivas do servidor membro | Nenhum |
| Configurações padrão efetivas do computador cliente | Nenhum |
Gerenciamento de políticas
Esta seção descreve os recursos e ferramentas disponíveis para ajudá-lo a gerenciar essa política.
Requisito de reinicialização
Nenhuma. As alterações nessa política se tornam efetivas sem uma reinicialização do dispositivo quando são salvas localmente ou distribuídas por meio de Política de Grupo.
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
O tráfego de rede não assinado é suscetível a ataques man-in-the-middle. Nesses ataques, um invasor captura pacotes entre o servidor e o dispositivo cliente, modifica-os e os encaminha para o dispositivo cliente. Em relação aos servidores LDAP, um invasor pode fazer com que um dispositivo cliente tome decisões baseadas em registros falsos do diretório LDAP. Para reduzir o risco de tal invasão na rede de uma organização, você pode implementar medidas de segurança física fortes para proteger a infraestrutura de rede. Você também pode implementar o modo de cabeçalho de autenticação de protocolo IPsec, que executa a autenticação mútua e a integridade do pacote para o tráfego IP para dificultar todos os tipos de ataques man-in-the-middle.
Contramedida
Configure o controlador de domínio: configuração de requisitos de assinatura do servidor LDAP para Exigir assinatura.
Impacto potencial
Os dispositivos cliente que não dão suporte à assinatura LDAP não podem executar consultas LDAP nos controladores de domínio.
Tópicos relacionados
Comentários
Submeter e ver comentários