Cách bật tính năng đăng nhập LDAP trong Windows Server & Máy khách

Ký LDAP(LDAP signing) là một phương pháp xác thực trong Windows Server có thể cải thiện tính bảo mật của máy chủ thư mục. Sau khi được bật, nó sẽ từ chối bất kỳ yêu cầu nào không yêu cầu ký hoặc nếu yêu cầu đang sử dụng không được mã hóa SSL / TLS. Trong bài đăng này, chúng tôi sẽ chia sẻ cách bạn có thể kích hoạt tính năng đăng nhập LDAP trong (LDAP)Windows Server và máy khách. LDAP là viết tắt của   Lightweight Directory Access Protocol (LDAP).

Cách bật tính năng đăng nhập LDAP trong máy tính Windows

Để đảm bảo rằng kẻ tấn công không sử dụng máy khách LDAP giả mạo để thay đổi cấu hình máy chủ và dữ liệu, điều cần thiết là bật tính năng ký LDAP . Điều quan trọng không kém là kích hoạt nó trên các máy khách.

  1. Đặt(Set) yêu cầu ký LDAP của máy chủ
  2. Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Chính(Local) sách máy tính cục bộ
  3. Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền(Domain Group Policy Object)
  4. Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng khóa đăng ký(Registry)
  5. Cách xác minh các thay đổi cấu hình
  6. Cách tìm khách hàng không sử dụng tùy chọn " Yêu cầu(Require) ký"

Phần cuối cùng giúp bạn tìm ra các ứng dụng khách chưa bật Yêu cầu ký(do not have Require signing enabled) trên máy tính. Đây là một công cụ hữu ích cho quản trị viên CNTT để cô lập các máy tính đó và kích hoạt cài đặt bảo mật trên máy tính.

1] Đặt(Set) yêu cầu ký LDAP của máy chủ

Cách bật tính năng đăng nhập LDAP trong Windows Server & Máy khách

  1. Mở Microsoft Management Console (mmc.exe)
  2. Chọn Tệp>  Thêm(Add) / Xóa Snap-in> chọn  Trình chỉnh sửa đối tượng chính sách nhóm(Group Policy Object Editor) , sau đó chọn  Thêm(Add) .
  3. Nó sẽ mở Trình hướng dẫn Chính sách Nhóm(Group Policy Wizard) . Nhấp(Click) vào nút Duyệt qua(Browse) và chọn  Chính sách miền mặc định(Default Domain Policy) thay vì Máy tính cục bộ
  4. Bấm(Click) vào nút OK, sau đó bấm vào nút Kết thúc(Finish) và đóng nó.
  5. Chọn  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , sau đó chọn Tùy chọn bảo mật.
  6. Bấm chuột phải vào Bộ  điều khiển miền: Yêu cầu ký máy chủ LDAP(Domain controller: LDAP server signing requirements) , sau đó chọn Thuộc tính.
  7. Trong  bộ điều khiển miền(Domain) : Yêu cầu ký máy chủ LDAP  hộp thoại  Thuộc tính , bật (Properties)Xác định(Define) cài đặt chính sách này, chọn  Yêu cầu đăng nhập trong danh sách Xác định cài đặt chính sách này,(Require signing in the Define this policy setting list,) sau đó chọn OK.
  8. Kiểm tra lại các cài đặt và áp dụng chúng.

2] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng chính sách máy tính cục bộ

Cách bật tính năng đăng nhập LDAP trong Windows Server & Máy khách

  1. Mở lời nhắc Run , nhập gpedit.msc, rồi nhấn phím Enter .
  2. Trong trình chỉnh sửa chính sách nhóm, điều hướng đến Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies bộ , rồi chọn  Tùy chọn Bảo mật.(Security Options.)
  3. Bấm chuột phải vào Bảo mật mạng: Yêu cầu ký ứng khách LDAP(Network security: LDAP client signing requirements) , sau đó chọn Thuộc tính.
  4. Trong   hộp thoại  Bảo mật mạng(Network) : Yêu cầu ký ứng khách LDAP thuộc tính , chọn (Properties)Yêu cầu đăng nhập(Require signing) trong danh sách và sau đó chọn OK.
  5. Xác nhận các thay đổi và áp dụng chúng.

3] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền(Group Policy Object)

  1. Mở Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Chọn  Tệp(File)  >  Add/Remove Snap-in >  chọn  Trình chỉnh sửa đối tượng chính sách nhóm(Group Policy Object Editor) , sau đó chọn  Thêm(Add) .
  3. Nó sẽ mở Trình hướng dẫn Chính sách Nhóm(Group Policy Wizard) . Nhấp(Click) vào nút Duyệt qua(Browse) và chọn  Chính sách miền mặc định(Default Domain Policy) thay vì Máy tính cục bộ
  4. Bấm(Click) vào nút OK, sau đó bấm vào nút Kết thúc(Finish) và đóng nó.
  5. Chọn  Chính sách miền mặc định(Default Domain Policy)  >  Cấu hình máy tính(Computer Configuration)  >  Cài đặt Windows(Windows Settings)  >  Cài đặt bảo mật(Security Settings)  >  Chính sách cục bộ(Local Policies) , sau đó chọn  Tùy chọn bảo mật(Security Options) .
  6. Trong  hộp thoại  Bảo mật mạng: Yêu cầu ký ứng khách LDAP thuộc tính  , chọn (Network security: LDAP client signing requirements Properties )Yêu cầu đăng nhập (Require signing ) trong danh sách và sau đó chọn  OK .
  7. Xác nhận(Confirm) các thay đổi và áp dụng cài đặt.

4] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng các khóa đăng ký

Điều đầu tiên và quan trọng nhất cần làm là sao lưu sổ đăng ký của bạn

  • Mở Registry Editor
  • Điều hướng đến HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Nhấp chuột(Right-click) phải vào ngăn bên phải và tạo DWORD mới với tên LDAPServerIntegrity
  • Để giá trị mặc định của nó.

<InstanceName >: Tên của phiên bản AD LDS mà bạn muốn thay đổi.

5] Cách(How) xác minh xem các thay đổi cấu hình hiện có yêu cầu đăng nhập hay không

Để đảm bảo chính sách bảo mật đang hoạt động ở đây là cách kiểm tra tính toàn vẹn của nó.

  1. Đăng nhập vào máy tính đã cài đặt Công cụ quản trị AD DS(AD DS Admin Tools) .
  2. Mở lời nhắc Chạy(Run) , nhập ldp.exe, rồi nhấn phím Đi vào(Enter) . Nó là một giao diện người dùng được sử dụng để điều hướng qua không gian tên Active Directory
  3. Chọn Kết nối> Kết nối.
  4. Trong  Máy chủ(Server)  và  Cổng(Port) , nhập tên máy chủ và cổng không phải SSL / TLS của máy chủ thư mục của bạn, sau đó chọn OK.
  5. Sau khi kết nối được thiết lập, hãy chọn Kết nối> Ràng buộc.
  6. Trong  Loại ràng buộc(Bind) , hãy chọn  Liên kết đơn giản(Simple) .
  7. Nhập tên người dùng và mật khẩu, sau đó chọn OK.

Nếu bạn nhận được thông báo lỗi cho biết  Ldap_simple_bind_s () không thành công: Yêu cầu xác thực mạnh(Ldap_simple_bind_s() failed: Strong Authentication Required) , thì bạn đã cấu hình thành công máy chủ thư mục của mình.

6] Cách(How) tìm khách hàng không sử dụng tùy chọn " Yêu cầu(Require) ký"

Mỗi khi máy khách kết nối với máy chủ bằng giao thức kết nối không an toàn, nó sẽ tạo ra ID sự kiện 2889(Event ID 2889) . Mục nhập nhật ký cũng sẽ chứa địa chỉ IP của các máy khách. Bạn sẽ cần bật tính năng này bằng cách đặt cài đặt  chẩn đoán  Sự kiện giao diện 16  LDAP thành (LDAP Interface Events)2 (Cơ bản). (2 (Basic). )Tìm hiểu cách định cấu hình ghi nhật ký sự kiện chẩn đoán AD và LDS tại Microsoft(here at Microsoft) .

LDAP Signing là rất quan trọng và tôi hy vọng nó có thể giúp bạn hiểu rõ ràng cách bạn có thể kích hoạt tính năng đăng nhập LDAP trong (LDAP)Windows Server và trên các máy khách.



Đại Thông

About the author

Tôi là một chuyên gia máy tính với hơn 10 năm kinh nghiệm. Khi rảnh rỗi, tôi thích giúp việc tại bàn văn phòng và dạy bọn trẻ cách sử dụng Internet. Kỹ năng của tôi bao gồm nhiều thứ, nhưng điều quan trọng nhất là tôi biết cách giúp mọi người giải quyết vấn đề. Nếu bạn cần ai đó có thể giúp bạn trong việc khẩn cấp hoặc chỉ muốn một số mẹo cơ bản, vui lòng liên hệ với tôi!


Related posts