Como habilitar a assinatura LDAP no Windows Server & Client Machines
A assinatura LDAP(LDAP signing) é um método de autenticação no Windows Server que pode melhorar a segurança de um servidor de diretório. Uma vez ativado, ele rejeitará qualquer solicitação que não solicite assinatura ou se a solicitação estiver usando criptografia não SSL/TLS. Nesta postagem, compartilharemos como você pode habilitar a assinatura LDAP no (LDAP)Windows Server e nas máquinas cliente. LDAP significa Lightweight Directory Access Protocol (LDAP).
Como habilitar a assinatura LDAP em computadores Windows
Para garantir que o invasor não use um cliente LDAP forjado para alterar a configuração e os dados do servidor, é essencial habilitar a assinatura LDAP . É igualmente importante habilitá-lo nas máquinas clientes.
- Definir(Set) o requisito de assinatura LDAP do servidor
- Definir o requisito de assinatura (Set)LDAP do cliente usando a política do computador local
- Defina o requisito de assinatura (Set)LDAP do cliente usando o objeto de política de grupo de domínio(Domain Group Policy Object)
- Defina o requisito de assinatura (Set)LDAP do cliente usando as chaves do Registro(Registry)
- Como verificar as alterações de configuração
- Como encontrar clientes que não usam a opção “ Exigir(Require) assinatura”
A última seção ajuda você a descobrir clientes que não têm a opção Exigir assinatura habilitada(do not have Require signing enabled) no computador. É uma ferramenta útil para os administradores de TI isolarem esses computadores e habilitarem as configurações de segurança nos computadores.
1] Defina(Set) o requisito de assinatura LDAP do servidor
- Abra o Microsoft Management Console(Microsoft Management Console) (mmc.exe)
- Selecione Arquivo > Adicionar(Add) /Remover Snap-in > selecione Editor de Objeto de Diretiva de Grupo(Group Policy Object Editor) e, em seguida, selecione Adicionar(Add) .
- Ele abrirá o Assistente de Diretiva de Grupo(Group Policy Wizard) . Clique(Click) no botão Procurar(Browse) e selecione Política de Domínio Padrão(Default Domain Policy) em vez de Computador Local
- Clique(Click) no botão OK, depois no botão Concluir(Finish) e feche-o.
- Selecione Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies e, em seguida, selecione Opções de segurança.
- Clique com o botão direito do mouse em Controlador de domínio: requisitos de assinatura do servidor LDAP(Domain controller: LDAP server signing requirements) e selecione Propriedades.
- Na caixa de diálogo Controlador de domínio : (Domain)Propriedades(Properties) de requisitos de assinatura do servidor LDAP , habilite Definir(Define) esta configuração de política, selecione Exigir assinatura na lista Definir esta configuração de política(Require signing in the Define this policy setting list,) e selecione OK.
- Verifique novamente as configurações e aplique-as.
2] Defina o requisito de assinatura (Set)LDAP do cliente usando a política do computador local
- Abra o prompt Executar(Run) , digite gpedit.msc e pressione a tecla Enter .
- No editor de política de grupo, navegue até Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies e selecione Opções de segurança.(Security Options.)
- Clique com o botão direito do mouse em Segurança de rede: requisitos(Network security: LDAP client signing requirements) de assinatura do cliente LDAP e selecione Propriedades.
- Na caixa de diálogo Segurança de rede : (Network)Propriedades(Properties) de requisitos de assinatura do cliente LDAP , selecione (LDAP)Exigir assinatura(Require signing) na lista e escolha OK.
- Confirme as alterações e aplique-as.
3] Defina o requisito de assinatura (Set)LDAP do cliente usando um objeto de política de grupo de domínio(Group Policy Object)
- Abra o Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- Selecione Arquivo(File) > Add/Remove Snap-in > selecione Editor de Objeto de Diretiva de Grupo(Group Policy Object Editor) e, em seguida, selecione Adicionar(Add) .
- Ele abrirá o Assistente de Diretiva de Grupo(Group Policy Wizard) . Clique(Click) no botão Procurar(Browse) e selecione Política de Domínio Padrão(Default Domain Policy) em vez de Computador Local
- Clique(Click) no botão OK, depois no botão Concluir(Finish) e feche-o.
- Selecione Diretiva de domínio padrão(Default Domain Policy) > Configuração do computador(Computer Configuration) > Configurações do Windows(Windows Settings) > Configurações de segurança(Security Settings) > Diretivas locais(Local Policies) e selecione Opções de segurança(Security Options) .
- Na caixa de diálogo Segurança de rede: Propriedades de requisitos de assinatura do cliente LDAP , selecione (Network security: LDAP client signing requirements Properties )Exigir assinatura (Require signing ) na lista e escolha OK .
- Confirme(Confirm) as alterações e aplique as configurações.
4] Defina o requisito de assinatura (Set)LDAP do cliente usando chaves de registro
A primeira e mais importante coisa a fazer é fazer um backup do seu registro
- Abra o Editor do Registro
- Navegue até HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- Clique com o botão direito do mouse(Right-click) no painel direito e crie um novo DWORD com o nome LDAPServerIntegrity
- Deixe-o com seu valor padrão.
<InstanceName >: nome da instância do AD LDS que você deseja alterar.
5] Como(How) verificar se as alterações de configuração agora exigem login
Para certificar-se de que a política de segurança está funcionando aqui é como verificar sua integridade.
- Entre em um computador que tenha as ferramentas de administração do AD DS(AD DS Admin Tools) instaladas.
- Abra o prompt Executar(Run) , digite ldp.exe e pressione a tecla Enter . É uma interface do usuário usada para navegar pelo namespace do Active Directory
- Selecione Conexão > Conectar.
- Em Servidor(Server) e Porta(Port) , digite o nome do servidor e a porta não SSL/TLS do seu servidor de diretório e selecione OK.
- Depois que uma conexão for estabelecida, selecione Conexão > Vincular.
- Em tipo de vinculação(Bind) , selecione vinculação simples(Simple) .
- Digite o nome de usuário e a senha e selecione OK.
Se você receber uma mensagem de erro dizendo que Ldap_simple_bind_s() failed: Strong Authentication Required , então você configurou com sucesso seu servidor de diretório.
6] Como(How) encontrar clientes que não usam a opção “ Exigir(Require) assinatura”
Sempre que um computador cliente se conecta ao servidor usando um protocolo de conexão inseguro, ele gera a ID de evento 2889(Event ID 2889) . A entrada de log também conterá os endereços IP dos clientes. Você precisará habilitar isso definindo a configuração de diagnóstico 16 eventos de interface LDAP como (LDAP Interface Events)2 (básico). (2 (Basic). )Saiba como configurar o log de eventos de diagnóstico do AD e LDS aqui no Microsoft(here at Microsoft) .
A assinatura LDAP(LDAP Signing) é crucial e espero que tenha ajudado você a entender claramente como você pode habilitar a assinatura LDAP no (LDAP)Windows Server e nas máquinas cliente.
Related posts
Configure Remote Access Client Account Lockout em Windows Server
Ações Administrativas Desativar Windows Server
Iperius Backup: freeware para automatizar backups em Windows 10
Como comprimir Bloated Registry colmeias em Windows Server
Como para Enable & Configure DNS Aging & Scavenging em Windows Server
Fix Site Ca n't ser alcançado, Server IP Could não foi encontrada
Fix Fallout 76 Disconnected de Server
Fix Omegle Error Connecting para Server (2021)
Fix Your DNS Server pode ser erro indisponíveis
Access FTP Server usando Command Prompt em Windows 10
GitAtomic é um Git GUI Client para sistemas Windows
Como adicionar ou alterar Time Server em Windows 10
Como remover Roles and Features em Windows Server
Fix Windows Server Update Services Error Code 0x80072EE6
Use Vssadmin command-line para gerenciar VSS em Windows 10
Fix Windows Store Error O Server tropeçou
O Group Policy Client service falhou no logon em Windows 11/10
Public DNS Server Tool é um livre DNS changer para Windows 10
Fix Server não Found Error em Firefox
Seu DNS Server pode não estar disponível em Windows 10