如何在 Windows 伺服器中啟用 LDAP 簽署

本文說明如何在 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 及 Windows 10 中啟用 LDAP 簽署。

適用于:  WindowsServer 2019,Windows Server 2016,Windows Server 2012 R2,Windows 10-all 版本
原始 KB 編號:   935834

摘要

您可以將伺服器設定為拒絕簡單的驗證和安全性層,以大幅改善目錄伺服器的安全性。 (SASL) LDAP 系結未要求籤署 (完整性驗證) ,或拒絕以明文方式執行的 LDAP 簡易系結 (非 SSL/TLS 加密) 連接。 SASL 系結可能包含 Negotiate、Kerberos、NTLM 及摘要等通訊協定。

未簽署的網路流量很容易重放攻擊。 在此類攻擊中,入侵程式會截獲驗證嘗試和票據的發行。 入侵者可重複使用票證來類比合法使用者。 此外,未簽署的網路流量很容易受到中間人 () MIM 的攻擊,入侵者會在用戶端與伺服器之間捕獲封包、變更封包,然後將資料包轉寄給伺服器。 在 LDAP 伺服器上發生這種情況時,攻擊者可能會導致伺服器根據來自 LDAP 用戶端的偽造要求作出決策。

如何探索未使用 [需要簽署] 選項的用戶端

在您進行此設定變更之後,依賴未簽署的 SASL 的用戶端 (Negotiate、Kerberos、NTLM 或 Digest) LDAP 系結,或在 LDAP 簡易系結上的非 SSL/TLS 連接停止運作。 為了協助識別這些用戶端,Active Directory 網域服務的目錄伺服器 (AD DS) 或輕型目錄伺服器 (LDS) 會記錄每24小時的摘要事件識別碼 2887 1 時間,以指出發生這類系結的次數。 建議您將這些用戶端設定為不要使用這類系結。 在沒有這類事件的情況下,我們建議您將伺服器設定為拒絕這類系結。

如果您必須要有詳細資訊來識別這類用戶端,您可以設定目錄伺服器以提供更詳細的記錄檔。 當用戶端嘗試進行未簽署的 LDAP 系結時,這個額外的記錄會記錄事件識別碼2889。 記錄專案會顯示用戶端的 IP 位址,以及用戶端嘗試用來進行驗證的身分識別。 您可以設定 16 個 LDAP 介面事件 診斷設定為 2 (基本),以啟用此額外記錄。 如需如何變更診斷設定的詳細資訊,請參閱 how to 設定 Active Directory 和 LDS 診斷事件記錄

如果目錄伺服器設定為拒絕未簽署的 SASL LDAP 系結,或透過非 SSL/TLS 連接進行 LDAP 簡單的系結,目錄伺服器會記錄此類系結嘗試發生時每24小時的摘要事件識別碼 2888 1 時間。

如何設定目錄,以要求 AD DS 的 LDAP 伺服器簽署

如需變更安全性設定的可能影響的詳細資訊,請參閱 當您變更安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式問題

注意

記錄事件識別碼2889的反常狀況

使用協力廠商 LDAP 用戶端的應用程式可能會導致 Windows 產生不正確的事件識別碼2889專案。 當您記錄 LDAP 介面事件時,以及 LDAPServerIntegrity 是否等於 2 時,就會發生這種情況。 使用密封 (加密) 會滿足 MIM 攻擊的防護,但仍然 Windows 記錄事件識別碼2889。

當 LDAP 用戶端只會以 SASL 一起使用密封時,就會發生這種情況。 我們已在與協力廠商 LDAP 用戶端關聯的欄位中看到此功能。

當 connection 未使用簽章和密封時,連線安全性需求檢查會正確使用旗標,且會中斷連接。 檢查會產生錯誤 8232 (ERROR_DS_STRONG_AUTH_REQUIRED) 。

使用群組原則

如何設定伺服器 LDAP 簽署需求

  1. 選取 [開始 > 執行],輸入 mmc.exe,然後選取 [確定]
  2. 選取 [ > 新增/移除嵌入式管理單元],選取 [群組原則管理編輯器],然後選取 [新增]。
  3. 選取 [群組原則物件 > 流覽]
  4. 在 [流覽群組原則物件] 對話方塊中,選取 [網域、ou 及連結的群組原則物件] 區域底下的 [預設網域控制站原則],然後選取 [確定]
  5. 選取 [完成 ]
  6. 選取 [確定]
  7. 選取 [預設的網域控制站原則 > 電腦 設定 > 原則] > Windows 設定 > 安全性設定 > 本機原則],然後選取 [安全性選項]。
  8. 以滑鼠右鍵按一下 [ 網域控制站: LDAP 伺服器簽署需求],然後選取 [ 屬性]。
  9. 在 [網域控制站: LDAP 伺服器簽署需求屬性] 對話方塊中,啟用 [定義這個原則] 設定,選取 [在定義這個原則設定] 清單中的 [需要簽署],然後選取 [確定]
  10. 在 [ 確認設定變更 ] 對話方塊中,選取 [是]

如何使用本機電腦原則設定用戶端 LDAP 簽署需求

  1. 選取 [開始 > 執行],輸入 mmc.exe,然後選取 [確定]
  2. 選取 [ 檔案] [ > 新增/移除嵌入式管理單元]。
  3. 在 [ 新增或移除嵌入式管理單元 ] 對話方塊中,選取 [ 群組原則物件編輯器],然後選取 [ 新增]。
  4. 選取 [完成 ]
  5. 選取 [確定]
  6. 選取 [本機電腦原則 > 電腦 設定 > 原則] > Windows 設定 > 安全性設定 > 本機原則],然後選取 [安全性選項]。
  7. 以滑鼠右鍵按一下 [ 網路安全性: LDAP 用戶端簽署需求],然後選取 [ 屬性]。
  8. 在 [ 網路安全性: LDAP 用戶端簽署需求屬性 ] 對話方塊中,選取 [需要在清單中 簽署 ],然後選取 [確定]
  9. 在 [ 確認設定變更 ] 對話方塊中,選取 [是]

如何使用網域群組原則物件設定用戶端 LDAP 簽署需求

  1. 選取 [開始 > 執行],輸入 mmc.exe,然後選取 [確定]
  2. 選取 [ 檔案] [ > 新增/移除嵌入式管理單元]。
  3. 在 [ 新增或移除嵌入式管理單元 ] 對話方塊中,選取 [ 群組原則物件編輯器],然後選取 [ 新增]。
  4. 選取 [流覽],然後選取要啟用用戶端 LDAP 簽署) 的 [ 預設網域原則 (] 或 [群組原則物件]。
  5. 選取 [確定]
  6. 選取 [完成 ]
  7. 選取 [關閉]
  8. 選取 [確定]
  9. 選取 [預設網域原則 > 電腦 設定 > Windows 設定 > 安全性設定 > 本機原則],然後選取 [安全性選項]。
  10. 在 [ 網路安全性: LDAP 用戶端簽署需求屬性 ] 對話方塊中,選取 [需要在清單中 簽署 ],然後選取 [確定]
  11. 在 [ 確認設定變更 ] 對話方塊中,選取 [是]

如何使用登錄機碼設定用戶端 LDAP 簽署需求

重要

請仔細依照本節中的步驟執行。 如果您不當地修改登錄,可能會發生嚴重的問題。 在您進行修改之前,請先備份登錄,做為還原之用,以免發生問題。

根據預設,Active Directory 輕型目錄服務 (AD LDS) ,無法使用登錄機碼。 因此,您必須 LDAPServerIntegrity 在下列登錄子機碼下建立 REG_DWORD 類型的登錄專案:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ <*InstanceName> * \Parameters

注意

預留位置 <InstanceName> 代表您要變更的 AD LDS 實例名稱。

如何驗證設定變更

  1. 登入已安裝 AD DS 系統管理工具的電腦。

  2. 選取 [開始 > 執行],輸入 ldp.exe,然後選取 [確定]

  3. 選取 [連接 > 連線

  4. 在 [ 伺服器] 中,輸入目錄伺服器的伺服器名稱和非 SSL/TLS 埠,然後選取 [確定]

    注意

    若為 Active Directory 網域控制站,適用的埠是389。

  5. 建立 連接後,請選取 [ 連線系結] > ****。

  6. 在 [ 綁定類型] 底下,選取 [ 簡單 系結]。

  7. 輸入使用者名稱和密碼,然後選取 [確定]

    如果您收到下列錯誤訊息,表示您已成功設定目錄伺服器:

    Ldap_simple_bind_s () 失敗:需要強驗證

參考