如何在 Windows 服务器和客户端计算机中启用 LDAP 签名

LDAP 签名 是 Windows Server 中的一种身份验证方法，可以提高目录服务器的安全性。启用后，它将拒绝任何不要求签名的请求或请求使用非 SSL/TLS 加密的请求。在这篇文章中，我们将分享如何在 Windows Server 和客户端计算机中启用 LDAP 签名。 LDAP 代表轻量级目录访问协议 (LDAP)。

如何在 Windows 计算机中启用 LDAP 签名

为了确保攻击者不会使用伪造的 LDAP 客户端来更改服务器配置和数据，启用 LDAP 签名至关重要。在客户端计算机上启用它同样重要。

1. 设置服务器 LDAP 签名要求

2. 使用本地计算机策略设置客户端 LDAP 签名要求

3. 使用域组策略对象设置客户端 LDAP 签名要求

4. 使用注册表项设置客户端 LDAP 签名要求

5. 如何验证配置更改

6. 如何找到不使用“需要签名”选项的客户

最后一部分可帮助您找出计算机上未启用“需要签名”的客户端。它是 IT 管理员隔离这些计算机并启用计算机上的安全设置的有用工具。

1. 设置服务器 LDAP 签名要求

1. 打开 Microsoft 管理控制台 (mmc.exe)

2. 选择“文件”>“添加/删除管理单元”> 选择“组策略对象编辑器”，然后选择“添加”。

3. 它将打开组策略向导。点击“浏览”按钮，然后选择默认域策略而不是“本地计算机”

4. 单击“确定”按钮，然后单击“完成”按钮，然后将其关闭。

5. 选择“默认域策略”>“计算机配置”>“Windows 设置”>“安全设置”>“本地策略”，然后选择“安全选项”。

6. 右键点击域控制器：LDAP 服务器签名要求，然后选择“属性”。

7. 在“域控制器：LDAP 服务器签名要求属性”对话框中，启用“定义此策略设置”，在“定义此策略设置”列表中选择需要签名，然后选择“确定”。

8. 重新检查设置并应用它们。

2. 使用本地计算机策略设置客户端 LDAP 签名要求

1. 打开“运行”提示符，输入 gpedit.msc，然后按 Enter 键。

2. 在组策略编辑器中，导航至“本地计算机策略”>“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“本地策略”，然后选择“安全选项”。

3. 右键点击网络安全：LDAP 客户端签名要求，然后选择“属性”。

4. 在“网络安全：LDAP 客户端签名要求属性”对话框中，选择列表中的要求签名，然后选择“确定”。

5. 确认更改并应用它们。

3. 使用域组策略对象设置客户端 LDAP 签名要求

1. 打开 Microsoft 管理控制台 (mmc.exe)

2. 选择文件>添加/删除管理单元>选择组策略对象编辑器，然后选择添加。

3. 它将打开组策略向导。点击“浏览”按钮，然后选择默认域策略而不是“本地计算机”

4. 单击“确定”按钮，然后单击“完成”按钮，然后将其关闭。

5. 选择默认域策略 > 计算机配置 > Windows 设置 > 安全设置 本地策略，然后选择安全选项。

6. 在网络安全：LDAP 客户端签名要求属性对话框中，选择列表中的要求签名，然后选择确定 。

7. 确认更改并应用设置。

4. 使用注册表项设置客户端 LDAP 签名要求

首先要做的也是最重要的事情是备份您的注册表

• 打开注册表编辑器

• 导航至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ \Parameters

• 右键单击右侧窗格，然后创建一个名为 LDAPServerIntegrity 的新 DWORD

• 将其保留为默认值。

：要更改的 AD LDS 实例的名称。

5. 如何验证配置更改现在是否需要登录

要确保安全策略在这里起作用，就是如何检查其完整性。

1. 登录到安装了 AD DS 管理工具的计算机。

2. 打开“运行”提示符，输入 ldp.exe，然后按 Enter 键。它是一个用于在 Active Directory 命名空间中导航的 UI

3. 选择“连接”>“连接”。

4. 在“服务器”和“端口”中，键入目录服务器的服务器名称和非 SSL/TLS 端口，然后选择“确定”。

5. 建立连接后，选择“连接”>“绑定”。

6. 在“绑定类型”下，选择“简单绑定”。

7. 输入用户名和密码，然后选择“确定”。

如果您收到一条错误消息，指出Ldap_simple_bind_s() 失败：需要强身份验证，则您已成功配置目录服务器。

6. 如何找到不使用“需要签名”选项的客户

每次客户端计算机使用不安全的连接协议连接到服务器时，都会生成事件 ID 2889。日志条目还将包含客户端的 IP 地址。您需要通过将 16 LDAP 接口事件诊断设置设置为 2（基本）来启用此功能。 了解如何在 Microsoft 配置 AD 和 LDS 诊断事件日志记录。

LDAP 签名至关重要，我希望能够帮助您清楚地了解如何在 Windows Server 和客户端计算机上启用 LDAP 签名。