Cách bật tính năng đăng nhập LDAP trong Windows Server & Máy khách
Ký LDAP(LDAP signing) là một phương pháp xác thực trong Windows Server có thể cải thiện tính bảo mật của máy chủ thư mục. Sau khi được bật, nó sẽ từ chối bất kỳ yêu cầu nào không yêu cầu ký hoặc nếu yêu cầu đang sử dụng không được mã hóa SSL / TLS. Trong bài đăng này, chúng tôi sẽ chia sẻ cách bạn có thể kích hoạt tính năng đăng nhập LDAP trong (LDAP)Windows Server và máy khách. LDAP là viết tắt của Lightweight Directory Access Protocol (LDAP).
Cách bật tính năng đăng nhập LDAP trong máy tính Windows
Để đảm bảo rằng kẻ tấn công không sử dụng máy khách LDAP giả mạo để thay đổi cấu hình máy chủ và dữ liệu, điều cần thiết là bật tính năng ký LDAP . Điều quan trọng không kém là kích hoạt nó trên các máy khách.
- Đặt(Set) yêu cầu ký LDAP của máy chủ
- Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Chính(Local) sách máy tính cục bộ
- Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền(Domain Group Policy Object)
- Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng khóa đăng ký(Registry)
- Cách xác minh các thay đổi cấu hình
- Cách tìm khách hàng không sử dụng tùy chọn " Yêu cầu(Require) ký"
Phần cuối cùng giúp bạn tìm ra các ứng dụng khách chưa bật Yêu cầu ký(do not have Require signing enabled) trên máy tính. Đây là một công cụ hữu ích cho quản trị viên CNTT để cô lập các máy tính đó và kích hoạt cài đặt bảo mật trên máy tính.
1] Đặt(Set) yêu cầu ký LDAP của máy chủ
- Mở Microsoft Management Console (mmc.exe)
- Chọn Tệp> Thêm(Add) / Xóa Snap-in> chọn Trình chỉnh sửa đối tượng chính sách nhóm(Group Policy Object Editor) , sau đó chọn Thêm(Add) .
- Nó sẽ mở Trình hướng dẫn Chính sách Nhóm(Group Policy Wizard) . Nhấp(Click) vào nút Duyệt qua(Browse) và chọn Chính sách miền mặc định(Default Domain Policy) thay vì Máy tính cục bộ
- Bấm(Click) vào nút OK, sau đó bấm vào nút Kết thúc(Finish) và đóng nó.
- Chọn Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , sau đó chọn Tùy chọn bảo mật.
- Bấm chuột phải vào Bộ điều khiển miền: Yêu cầu ký máy chủ LDAP(Domain controller: LDAP server signing requirements) , sau đó chọn Thuộc tính.
- Trong bộ điều khiển miền(Domain) : Yêu cầu ký máy chủ LDAP hộp thoại Thuộc tính , bật (Properties)Xác định(Define) cài đặt chính sách này, chọn Yêu cầu đăng nhập trong danh sách Xác định cài đặt chính sách này,(Require signing in the Define this policy setting list,) sau đó chọn OK.
- Kiểm tra lại các cài đặt và áp dụng chúng.
2] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng chính sách máy tính cục bộ
- Mở lời nhắc Run , nhập gpedit.msc, rồi nhấn phím Enter .
- Trong trình chỉnh sửa chính sách nhóm, điều hướng đến Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies bộ , rồi chọn Tùy chọn Bảo mật.(Security Options.)
- Bấm chuột phải vào Bảo mật mạng: Yêu cầu ký ứng khách LDAP(Network security: LDAP client signing requirements) , sau đó chọn Thuộc tính.
- Trong hộp thoại Bảo mật mạng(Network) : Yêu cầu ký ứng khách LDAP thuộc tính , chọn (Properties)Yêu cầu đăng nhập(Require signing) trong danh sách và sau đó chọn OK.
- Xác nhận các thay đổi và áp dụng chúng.
3] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền(Group Policy Object)
- Mở Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Chọn Tệp(File) > Add/Remove Snap-in > chọn Trình chỉnh sửa đối tượng chính sách nhóm(Group Policy Object Editor) , sau đó chọn Thêm(Add) .
- Nó sẽ mở Trình hướng dẫn Chính sách Nhóm(Group Policy Wizard) . Nhấp(Click) vào nút Duyệt qua(Browse) và chọn Chính sách miền mặc định(Default Domain Policy) thay vì Máy tính cục bộ
- Bấm(Click) vào nút OK, sau đó bấm vào nút Kết thúc(Finish) và đóng nó.
- Chọn Chính sách miền mặc định(Default Domain Policy) > Cấu hình máy tính(Computer Configuration) > Cài đặt Windows(Windows Settings) > Cài đặt bảo mật(Security Settings) > Chính sách cục bộ(Local Policies) , sau đó chọn Tùy chọn bảo mật(Security Options) .
- Trong hộp thoại Bảo mật mạng: Yêu cầu ký ứng khách LDAP thuộc tính , chọn (Network security: LDAP client signing requirements Properties )Yêu cầu đăng nhập (Require signing ) trong danh sách và sau đó chọn OK .
- Xác nhận(Confirm) các thay đổi và áp dụng cài đặt.
4] Đặt(Set) yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng các khóa đăng ký
Điều đầu tiên và quan trọng nhất cần làm là sao lưu sổ đăng ký của bạn
- Mở Registry Editor
- Điều hướng đến HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Nhấp chuột(Right-click) phải vào ngăn bên phải và tạo DWORD mới với tên LDAPServerIntegrity
- Để giá trị mặc định của nó.
<InstanceName >: Tên của phiên bản AD LDS mà bạn muốn thay đổi.
5] Cách(How) xác minh xem các thay đổi cấu hình hiện có yêu cầu đăng nhập hay không
Để đảm bảo chính sách bảo mật đang hoạt động ở đây là cách kiểm tra tính toàn vẹn của nó.
- Đăng nhập vào máy tính đã cài đặt Công cụ quản trị AD DS(AD DS Admin Tools) .
- Mở lời nhắc Chạy(Run) , nhập ldp.exe, rồi nhấn phím Đi vào(Enter) . Nó là một giao diện người dùng được sử dụng để điều hướng qua không gian tên Active Directory
- Chọn Kết nối> Kết nối.
- Trong Máy chủ(Server) và Cổng(Port) , nhập tên máy chủ và cổng không phải SSL / TLS của máy chủ thư mục của bạn, sau đó chọn OK.
- Sau khi kết nối được thiết lập, hãy chọn Kết nối> Ràng buộc.
- Trong Loại ràng buộc(Bind) , hãy chọn Liên kết đơn giản(Simple) .
- Nhập tên người dùng và mật khẩu, sau đó chọn OK.
Nếu bạn nhận được thông báo lỗi cho biết Ldap_simple_bind_s () không thành công: Yêu cầu xác thực mạnh(Ldap_simple_bind_s() failed: Strong Authentication Required) , thì bạn đã cấu hình thành công máy chủ thư mục của mình.
6] Cách(How) tìm khách hàng không sử dụng tùy chọn " Yêu cầu(Require) ký"
Mỗi khi máy khách kết nối với máy chủ bằng giao thức kết nối không an toàn, nó sẽ tạo ra ID sự kiện 2889(Event ID 2889) . Mục nhập nhật ký cũng sẽ chứa địa chỉ IP của các máy khách. Bạn sẽ cần bật tính năng này bằng cách đặt cài đặt chẩn đoán Sự kiện giao diện 16 LDAP thành (LDAP Interface Events)2 (Cơ bản). (2 (Basic). )Tìm hiểu cách định cấu hình ghi nhật ký sự kiện chẩn đoán AD và LDS tại Microsoft(here at Microsoft) .
LDAP Signing là rất quan trọng và tôi hy vọng nó có thể giúp bạn hiểu rõ ràng cách bạn có thể kích hoạt tính năng đăng nhập LDAP trong (LDAP)Windows Server và trên các máy khách.
Related posts
Cấu hình Remote Access Client Account Lockout trong Windows Server
Vô hiệu hóa cổ phiếu quản trị từ Windows Server
Iperius Backup: miễn phí để tự động sao lưu trong Windows 10
Cách nén tổ ong Bloated Registry bằng Windows Server
Cách Enable & Configure DNS Aging & Scavenging trong Windows Server
Khắc phục lỗi thực thi máy chủ Windows Media Player không thành công
Fix ARK Unable đến Query Server Info cho Invite
Nơi để tải Windows Server Insider Preview Builds?
DLNA Server là gì và làm thế nào để kích hoạt nó trên Windows 10?
Reset Windows Update Client sử dụng PowerShell Script
Fix Your DNS Server có thể là lỗi không khả dụng
Làm thế nào để thêm hoặc thay đổi Time Server trong Windows 10
Fix Windows Server Update Services Error Code 0x80072EE6
RSAT Missing DNS server Công cụ trong Windows 10
GitAtomic là Git GUI Client cho các hệ thống Windows
Truy cập từ xa máy tính Windows XP hoặc Windows Server 2003
Synchronize Windows 10 Clock với Internet Time Server
Public DNS Server Tool là DNS changer miễn phí cho Windows 10
Cách thiết lập máy chủ FTP trong Windows bằng IIS
Fix Site Ca không đạt được, Server IP Could không được tìm thấy