Windows LDAP加固之LDAP签名

时间  2019-11-08
标签 windows ldap 加固 签名 栏目 Windows 繁體版
原文   原文链接

 微软计划于2020年1月推出补丁更新,启用LDAP签名。虽然目前版本的操做系统已经包含了这个功能,可是微软并无将它启用。随着时间推移,网络上的威胁愈来愈多。凭据重放和中间人公鸡(不是写错了,是51CTO不容许)在LDAP的公鸡(不是写错了,是51CTO不容许)中显得极为有效。因此,咱们须要尽快启用LDAP签名这个安全特性。值得注意的是微软的目录服务一般在企业内部用做最基本的身份验证,不少其它系统也依赖于Windows提供的LDAP服务,这些三方系统的兼容性须要获得足够的测试。建议先在某些域控上启用策略,完成测试验证。windows

        先来看一下当前默认状况下的域环境的LDAP链接状况。在客户端输入ldp来尝试手动链接。固然,若是你的计算机上显示没有ldp.exe这个程序的话,是由于没有安装AD部分的RSAT。须要在添加删除Windows功能中手动添加。若是看不到图,请点我安全

1.jpg

        添加完毕后,就能够运行ldp.exe了。在这里,咱们输入域控的计算机名,并使用默认的389进行链接。服务器

2.jpg

        链接成功后,点击Bind,选择Simple bind,并输入用户名和密码。网络

3.jpg

        能够看到,目前是能够正常链接到域控的。接下去咱们就要进行安全加固了。dom

4.jpg

        首先,须要在域控制器上启用策略。我一直推荐不要修改Default Domain Policy和Default Domain Controllers Policy这2条默认策略,能够在域级别新建一条LDAP的策略进行修改。而后把一样的这条策略应用到Domain Controllers这个OU上,而且确保优先级高于默认策略。由于Default Domain Controllers Policy中可能已经将Domain controller: LDAP server signing requirements定义为了None。至少在个人测试环境中是这样的,为此我还花费了很多时间来解决这个问题。ide

5.jpg

        策略的位于Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options。找到Domain controller: LDAP server signing requirements。将其从Not Defined改为Require signing。测试

6.jpg

        而后,修改域控上的注册表键值。HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ldapserverintegrityui

将ldapserverintegrity从1修改成2。须要注意的是若是不修改组策略而直接修改注册表键值,这个值会被修改回1。我就遇到了在添加的LDAP策略中修改后这个键值仍然会被改回1。这是因为个人环境中默认域控器策略中定义了这条策略,可是它被设置为None。
6-2.jpg操作系统

        接下去就是客户端策略的修改了。一样在客户端所在OU上新建一条策略,而后修改其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options下的Network security:LDAP client signing requirements,将其改成Require signing。建议一样在域控的LDAP策略中将它也设置一下,由于域控也能够做为LDAP客户端。.net

7.jpg

        一样的须要修改注册表键值,HKLM\SYSTEM\CurrentControlSet\Services\ldap下的ldapclientintegrity。将它改为2。

6-3.jpg

        而后,采用一样的方式用ldp链接域控。会发现使用simple bind的链接失败了,须要更强的验证方式。更强的LDAP验证方式包括SSL。若是采用SSL按微软的说法是仍然可使用simple bind的。详细请参考这里:
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-controller-ldap-server-signing-requirements

8.jpg

        若是服务器上启用了LDAP的基本日志,就能看到相应信息。启用方法是将注册表中的HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics下的16 LDAP Interface Events从1修改成2。日志启用的详细信息请参考这篇文章:

https://support.microsoft.com/en-us/help/314980/how-to-configure-active-directory-and-lds-diagnostic-event-logging

9.jpg

        服务器的Directory Service中会记录2889的事件,说明有人试图使用非签名的方式明文链接LDAP服务。

10.jpg

        参考文章:

https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server-2008

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程