Como habilitar a assinatura LDAP no Windows Server & Client Machines

A assinatura LDAP(LDAP signing) é um método de autenticação no Windows Server que pode melhorar a segurança de um servidor de diretório. Uma vez ativado, ele rejeitará qualquer solicitação que não solicite assinatura ou se a solicitação estiver usando criptografia não SSL/TLS. Nesta postagem, compartilharemos como você pode habilitar a assinatura LDAP no (LDAP)Windows Server e nas máquinas cliente. LDAP significa   Lightweight Directory Access Protocol (LDAP).

Como habilitar a assinatura LDAP em computadores Windows

Para garantir que o invasor não use um cliente LDAP forjado para alterar a configuração e os dados do servidor, é essencial habilitar a assinatura LDAP . É igualmente importante habilitá-lo nas máquinas clientes.

  1. Definir(Set) o requisito de assinatura LDAP do servidor
  2. Definir o requisito de assinatura (Set)LDAP do cliente usando a política do computador local
  3. Defina o requisito de assinatura (Set)LDAP do cliente usando o objeto de política de grupo de domínio(Domain Group Policy Object)
  4. Defina o requisito de assinatura (Set)LDAP do cliente usando as chaves do Registro(Registry)
  5. Como verificar as alterações de configuração
  6. Como encontrar clientes que não usam a opção “ Exigir(Require) assinatura”

A última seção ajuda você a descobrir clientes que não têm a opção Exigir assinatura habilitada(do not have Require signing enabled) no computador. É uma ferramenta útil para os administradores de TI isolarem esses computadores e habilitarem as configurações de segurança nos computadores.

1] Defina(Set) o requisito de assinatura LDAP do servidor

Como habilitar a assinatura LDAP no Windows Server & Client Machines

  1. Abra o Microsoft Management Console(Microsoft Management Console) (mmc.exe)
  2. Selecione Arquivo >  Adicionar(Add) /Remover Snap-in > selecione  Editor de Objeto de Diretiva de Grupo(Group Policy Object Editor) e, em seguida, selecione  Adicionar(Add) .
  3. Ele abrirá o Assistente de Diretiva de Grupo(Group Policy Wizard) . Clique(Click) no botão Procurar(Browse) e selecione  Política de Domínio Padrão(Default Domain Policy) em vez de Computador Local
  4. Clique(Click) no botão OK, depois no botão Concluir(Finish) e feche-o.
  5. Selecione  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies e, em seguida, selecione Opções de segurança.
  6. Clique com o botão direito do mouse em  Controlador de domínio: requisitos de assinatura do servidor LDAP(Domain controller: LDAP server signing requirements) e selecione Propriedades.
  7. Na  caixa de diálogo Controlador de domínio : (Domain)Propriedades(Properties) de requisitos de assinatura do servidor LDAP  , habilite  Definir(Define) esta configuração de política, selecione  Exigir assinatura na lista Definir esta configuração de política(Require signing in the Define this policy setting list,) e selecione OK.
  8. Verifique novamente as configurações e aplique-as.

2] Defina o requisito de assinatura (Set)LDAP do cliente usando a política do computador local

Como habilitar a assinatura LDAP no Windows Server & Client Machines

  1. Abra o prompt Executar(Run) , digite gpedit.msc e pressione a tecla Enter .
  2. No editor de política de grupo, navegue até Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies e selecione  Opções de segurança.(Security Options.)
  3. Clique com o botão direito do mouse em Segurança de rede: requisitos(Network security: LDAP client signing requirements) de assinatura do cliente LDAP e selecione Propriedades.
  4. Na   caixa de diálogo  Segurança de rede : (Network)Propriedades(Properties) de requisitos de assinatura do cliente LDAP , selecione (LDAP)Exigir assinatura(Require signing) na lista e escolha OK.
  5. Confirme as alterações e aplique-as.

3] Defina o requisito de assinatura (Set)LDAP do cliente usando um objeto de política de grupo de domínio(Group Policy Object)

  1. Abra o Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Selecione  Arquivo(File)  >  Add/Remove Snap-in >  selecione  Editor de Objeto de Diretiva de Grupo(Group Policy Object Editor) e, em seguida, selecione  Adicionar(Add) .
  3. Ele abrirá o Assistente de Diretiva de Grupo(Group Policy Wizard) . Clique(Click) no botão Procurar(Browse) e selecione  Política de Domínio Padrão(Default Domain Policy) em vez de Computador Local
  4. Clique(Click) no botão OK, depois no botão Concluir(Finish) e feche-o.
  5. Selecione  Diretiva de domínio padrão(Default Domain Policy)  >  Configuração do computador(Computer Configuration)  >  Configurações do Windows(Windows Settings)  >  Configurações de segurança(Security Settings)  >  Diretivas locais(Local Policies) e selecione  Opções de segurança(Security Options) .
  6. Na  caixa de diálogo  Segurança de rede: Propriedades de requisitos de assinatura do cliente LDAP  , selecione (Network security: LDAP client signing requirements Properties )Exigir assinatura (Require signing ) na lista e escolha  OK .
  7. Confirme(Confirm) as alterações e aplique as configurações.

4] Defina o requisito de assinatura (Set)LDAP do cliente usando chaves de registro

A primeira e mais importante coisa a fazer é fazer um backup do seu registro

  • Abra o Editor do Registro
  • Navegue até HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Clique com o botão direito do mouse(Right-click) no painel direito e crie um novo DWORD com o nome LDAPServerIntegrity
  • Deixe-o com seu valor padrão.

<InstanceName >: nome da instância do AD LDS que você deseja alterar.

5] Como(How) verificar se as alterações de configuração agora exigem login

Para certificar-se de que a política de segurança está funcionando aqui é como verificar sua integridade.

  1. Entre em um computador que tenha as ferramentas de administração do AD DS(AD DS Admin Tools) instaladas.
  2. Abra o prompt Executar(Run) , digite ldp.exe e pressione a tecla Enter . É uma interface do usuário usada para navegar pelo namespace do Active Directory
  3. Selecione Conexão > Conectar.
  4. Em  Servidor(Server)  e  Porta(Port) , digite o nome do servidor e a porta não SSL/TLS do seu servidor de diretório e selecione OK.
  5. Depois que uma conexão for estabelecida, selecione Conexão > Vincular.
  6. Em  tipo de vinculação(Bind) , selecione  vinculação simples(Simple) .
  7. Digite o nome de usuário e a senha e selecione OK.

Se você receber uma mensagem de erro dizendo que  Ldap_simple_bind_s() failed: Strong Authentication Required , então você configurou com sucesso seu servidor de diretório.

6] Como(How) encontrar clientes que não usam a opção “ Exigir(Require) assinatura”

Sempre que um computador cliente se conecta ao servidor usando um protocolo de conexão inseguro, ele gera a ID de evento 2889(Event ID 2889) . A entrada de log também conterá os endereços IP dos clientes. Você precisará habilitar isso definindo a configuração de  diagnóstico  16  eventos de interface LDAP como (LDAP Interface Events)2 (básico). (2 (Basic). )Saiba como configurar o log de eventos de diagnóstico do AD e LDS aqui no Microsoft(here at Microsoft) .

A assinatura LDAP(LDAP Signing) é crucial e espero que tenha ajudado você a entender claramente como você pode habilitar a assinatura LDAP no (LDAP)Windows Server e nas máquinas cliente.



Andrea Gil

About the author

Sou engenheiro de hardware, especializado no design e desenvolvimento de produtos da Apple, como iPhone e iPad. Tenho experiência com dispositivos iOS e edge, além de ferramentas de desenvolvimento de software como Git e Swift. Minhas habilidades em ambas as áreas me dão uma forte compreensão de como o sistema operacional (SO) dos dispositivos Apple interage com aplicativos e fontes de dados. Além disso, minha experiência com Git me permite trabalhar em sistemas de controle de versão de código, o que pode ajudar a melhorar a eficiência e a produtividade no desenvolvimento de software.


Related posts