LDAP-signering^{(LDAP signing)} är en autentiseringsmetod i Windows Server som kan förbättra säkerheten för en katalogserver. När den har aktiverats kommer den att avvisa varje begäran som inte kräver signering eller om begäran använder icke-SSL/TLS-krypterad. I det här inlägget kommer vi att dela hur du kan aktivera LDAP- signering i Windows Server och klientdatorer. LDAP står för   Lightweight Directory Access Protocol (LDAP).

Hur man aktiverar LDAP - signering på Windows -datorer

För att säkerställa att angriparen inte använder en förfalskad LDAP -klient för att ändra serverkonfiguration och data, är det viktigt att aktivera LDAP- signering. Det är lika viktigt att aktivera det på klientdatorerna.

1. Ställ^(Set) in serverns LDAP - signeringskrav
2. Ställ^(Set) in klientens LDAP- signeringskrav med hjälp av lokal^(Local) datorpolicy
3. Ställ^(Set) in klientens LDAP- signeringskrav med hjälp av domängruppprincipobjektet^{(Domain Group Policy Object)}
4. Ställ^(Set) in klientens LDAP- signeringskrav med hjälp av registernycklar^(Registry)
5. Hur man verifierar konfigurationsändringar
6. Hur man hittar kunder som inte använder alternativet " Kräv^(Require) signering".

Det sista avsnittet hjälper dig att ta reda på klienter som inte har Kräv signering aktiverat^{(do not have Require signing enabled)} på datorn. Det är ett användbart verktyg för IT-administratörer att isolera dessa datorer och aktivera säkerhetsinställningarna på datorerna.

1] Ställ^(Set) in serverns LDAP - signeringskrav

1. Öppna Microsoft Management Console (mmc.exe)
2. Välj Arkiv >  Lägg till^(Add) /ta bort snapin-modul > välj  Redigerare för grupprincipobjekt^{(Group Policy Object Editor)} och välj sedan  Lägg till^(Add) .
3. Det öppnar grupprincipguiden^{(Group Policy Wizard)} . Klicka^(Click) på knappen Bläddra^(Browse) och välj  Standarddomänpolicy^{(Default Domain Policy)} istället för Lokal dator
4. Klicka^(Click) på OK-knappen och sedan på Slutför-^(Finish) knappen och stäng den.
5. Välj  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies och välj sedan Säkerhetsalternativ.
6. Högerklicka på  Domänkontrollant: LDAP-serversigneringskrav^{(Domain controller: LDAP server signing requirements)} och välj sedan Egenskaper.
7. I   dialogrutan Domänkontrollant: LDAP-serversigneringskrav Egenskaper, aktivera  Definiera^(Domain) denna policyinställning^(LDAP) , välj ^(Properties)Kräv^(Define) signering  i listan Definiera denna policyinställning^{(Require signing in the Define this policy setting list,)} och välj sedan OK.
8. Kontrollera inställningarna igen och tillämpa dem.

2] Ställ^(Set) in klientens LDAP- signeringskrav med hjälp av lokal datorpolicy

1. Öppna Kör^(Run) -prompten och skriv gpedit.msc och tryck på Enter - tangenten.
2. I grupppolicyredigeraren, navigera till Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies och välj sedan  Säkerhetsalternativ.^{(Security Options.)}
3. Högerklicka på Nätverkssäkerhet: LDAP-klientsigneringskrav^{(Network security: LDAP client signing requirements)} och välj sedan Egenskaper.
4. I   dialogrutan  Nätverkssäkerhet^(Network) : LDAP- klientsigneringskrav Egenskaper väljer ^(Properties)du Kräv signering^{(Require signing)} i listan och väljer sedan OK.
5. Bekräfta ändringarna och tillämpa dem.

3] Ställ^(Set) in klientens LDAP- signeringskrav genom att använda ett domängruppprincipobjekt^{(Group Policy Object)}

1. Öppna Microsoft Management Console (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Välj  Arkiv^(File)  >  Add/Remove Snap-in >  välj  Redigerare för grupprincipobjekt^{(Group Policy Object Editor)} och välj sedan  Lägg till^(Add) .
3. Det öppnar grupprincipguiden^{(Group Policy Wizard)} . Klicka^(Click) på knappen Bläddra^(Browse) och välj  Standarddomänpolicy^{(Default Domain Policy)} istället för Lokal dator
4. Klicka^(Click) på OK-knappen och sedan på Slutför-^(Finish) knappen och stäng den.
5. Välj  Standarddomänpolicy^{(Default Domain Policy)}  >  Datorkonfiguration^{(Computer Configuration)}  >  Windows-inställningar^{(Windows Settings)}  >  Säkerhetsinställningar^{(Security Settings)}  >  Lokala principer^{(Local Policies)} och välj sedan  Säkerhetsalternativ^{(Security Options)} .
6. I  dialogrutan  Nätverkssäkerhet: LDAP-klientsigneringskrav Egenskaper  väljer ^{(Network security: LDAP client signing requirements Properties )}du Kräv signering ^{(Require signing )} i listan och väljer sedan  OK .
7. Bekräfta^(Confirm) ändringarna och tillämpa inställningarna.

4] Ställ^(Set) in klientens LDAP- signeringskrav med hjälp av registernycklar

Det första och främsta att göra är att ta en säkerhetskopia av ditt register

• Öppna Registereditorn
• Navigera till HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Högerklicka^{(Right-click)} på den högra rutan och skapa en ny DWORD med namnet LDAPServerIntegrity
• Lämna det till standardvärdet.

<InstanceName >: Namnet på AD LDS- instansen som du vill ändra.

5] Hur^(How) du verifierar om konfigurationsändringar nu kräver inloggning

För att se till att säkerhetspolicyn fungerar här är hur man kontrollerar dess integritet.

1. Logga in på en dator som har AD DS Admin Tools installerade.
2. Öppna Kör^(Run) -prompten och skriv ldp.exe och tryck på Enter . Det är ett användargränssnitt som används för att navigera genom Active Directory -namnområdet
3. Välj Anslutning > Anslut.
4. I  Server  och  port skriver du servernamnet och icke-SSL/TLS-porten för din katalogserver och väljer sedan OK.
5. När en anslutning har upprättats väljer du Anslutning > Bind.
6. Under  Bindningstyp^(Bind) väljer du  Enkel^(Simple) bindning.
7. Skriv användarnamnet och lösenordet och välj sedan OK.

Om du får ett felmeddelande som säger att  Ldap_simple_bind_s() misslyckades: Stark autentisering krävs^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , har du konfigurerat din katalogserver.

6] Hur^(How) man hittar klienter som inte använder alternativet " Kräv^(Require) signering".

Varje gång en klientdator ansluter till servern med ett osäkert anslutningsprotokoll, genererar den Event ID 2889 . Loggposten kommer också att innehålla klienternas IP-adresser. Du måste aktivera detta genom att ställa in  diagnostikinställningen  16  LDAP Interface Events till ^{(LDAP Interface Events)}2 (Basic). Lär dig hur du konfigurerar AD och LDS diagnostisk händelseloggning här hos Microsoft^{(here at Microsoft)} .

LDAP-signering^{(LDAP Signing)} är avgörande, och jag hoppas att det kunde hjälpa dig att tydligt förstå hur du kan aktivera LDAP- signering i Windows Server och på klientdatorerna.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Konfigurera utlåsning av klientkonto för fjärråtkomst i Windows Server

• Inaktivera administrativa resurser från Windows Server

• Iperius Backup är en gratis säkerhetskopieringsprogramvara för Windows Server

• Hur man komprimerar Bloated Registry Hives i Windows Server

• Hur man aktiverar och konfigurerar DNS-åldring och rensning i Windows Server

• Fix ARK Det gick inte att fråga efter serverinformation för inbjudan

• Hur man konfigurerar globala proxyserverinställningar i Windows 10

• Konfigurera Filezilla Server och Client: Skärmdump och videohandledning

• Fixa Din DNS-server kan vara otillgänglig fel

• Fixa Windows Server Activation Error 0xc004f069

• Hur man lägger till eller ändrar tidsserver i Windows 11/10

• Synkronisera Windows 10-klocka med en Internettidsserver

• Bästa gratis FTP-klientprogramvara för Windows 10 PC

• Installera Remote Server Administration Tools (RSAT) på Windows 10

• Åtgärda Omegle-fel vid anslutning till server (2022)

• Tjänsten Windows Camera Frame Server avslutades oväntat

• Public DNS Server Tool är en gratis DNS-växlare för Windows 10

• Din DNS-server kanske inte är tillgänglig i Windows 11/10

• Fjärråtkomst till en dator med Windows XP eller Windows Server 2003

• Få åtkomst till FTP-servern med kommandotolken i Windows 10