Ký LDAP là một phương pháp xác thực trong Windows Server có thể cải thiện tính bảo mật của máy chủ thư mục. Sau khi được bật, nó sẽ từ chối bất kỳ yêu cầu nào không yêu cầu ký hoặc nếu yêu cầu đang sử dụng không được mã hóa SSL / TLS. Trong bài đăng này, chúng tôi sẽ chia sẻ cách bạn có thể kích hoạt tính năng đăng nhập LDAP trong Windows Server và máy khách. LDAP là viết tắt của Giao thức truy cập thư mục nhẹ (LDAP).
Cách bật tính năng đăng nhập LDAP trong máy tính Windows
Để đảm bảo rằng kẻ tấn công không sử dụng ứng dụng LDAP giả mạo để thay đổi cấu hình và dữ liệu máy chủ, điều cần thiết là bật tính năng ký LDAP. Điều quan trọng không kém là kích hoạt nó trên các máy khách.
- Đặt yêu cầu ký LDAP của máy chủ
- Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Chính sách máy tính cục bộ
- Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền
- Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng các khóa Đăng ký
- Cách xác minh các thay đổi cấu hình
- Cách tìm khách hàng không sử dụng tùy chọn "Yêu cầu ký"
Phần cuối cùng giúp bạn tìm ra những khách hàng không bật Yêu cầu ký trên máy tính. Đây là một công cụ hữu ích cho quản trị viên CNTT để cô lập các máy tính đó và bật cài đặt bảo mật trên máy tính.
1] Đặt yêu cầu ký LDAP của máy chủ
- Mở Bảng điều khiển Quản lý Microsoft (mmc.exe)
- Chọn Tệp> Thêm / Loại bỏ Phần đính kèm> chọn Trình chỉnh sửa Đối tượng Chính sách Nhóm, rồi chọn Thêm.
- Nó sẽ mở Trình hướng dẫn Chính sách Nhóm. Nhấp vào nút Duyệt qua và chọn Chính sách miền mặc định thay vì Máy tính cục bộ
- Nhấp vào nút OK, sau đó nhấp vào nút Kết thúc và đóng nó.
- Chọn Chính sách miền mặc định> Cấu hình máy tính> Cài đặt Windows> Cài đặt bảo mật> Chính sách cục bộ , rồi chọn Tùy chọn bảo mật.
- Nhấp chuột phải vào Bộ điều khiển miền:Yêu cầu ký máy chủ LDAP rồi chọn Thuộc tính.
- Trong Bộ điều khiển miền:Hộp thoại Thuộc tính yêu cầu ký máy chủ LDAP, bật Xác định cài đặt chính sách này, chọn Yêu cầu đăng nhập trong danh sách Xác định cài đặt chính sách này, rồi chọn OK.
- Kiểm tra lại các cài đặt và áp dụng chúng.
2] Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng chính sách máy tính cục bộ
- Mở lời nhắc Run, nhập gpedit.msc rồi nhấn phím Enter.
- Trong trình chỉnh sửa chính sách nhóm, điều hướng đến Chính sách máy tính cục bộ> Cấu hình máy tính> Chính sách> Cài đặt Windows> Cài đặt bảo mật> Chính sách cục bộ , sau đó chọn Tùy chọn bảo mật.
- Nhấp chuột phải vào Bảo mật mạng:Yêu cầu ký ứng khách LDAP rồi chọn Thuộc tính.
- Trong Bảo mật mạng:Yêu cầu ký ứng khách LDAP hộp thoại Thuộc tính, chọn Yêu cầu ký trong danh sách rồi chọn OK.
- Xác nhận các thay đổi và áp dụng chúng.
3] Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng Đối tượng chính sách nhóm miền
- Mở Bảng điều khiển Quản lý Microsoft (mmc.exe)
- Chọn Tệp > Thêm / Xóa Snap-in> select Group Policy Object Editor , rồi chọn Thêm .
- Nó sẽ mở Trình hướng dẫn Chính sách Nhóm. Nhấp vào nút Duyệt qua và chọn Chính sách miền mặc định thay vì Máy tính cục bộ
- Nhấp vào nút OK, sau đó nhấp vào nút Kết thúc và đóng nó.
- Chọn Chính sách miền mặc định > Cấu hình Máy tính > Cài đặt Windows > Cài đặt bảo mật > Chính sách địa phương , rồi chọn Tùy chọn bảo mật .
- Trong Bảo mật mạng:Yêu cầu ký ứng khách LDAP Thuộc tính hộp thoại, chọn Yêu cầu ký trong danh sách, sau đó chọn OK .
- Xác nhận các thay đổi và áp dụng cài đặt.
4] Đặt yêu cầu ký LDAP của ứng dụng khách bằng cách sử dụng khóa đăng ký
Điều đầu tiên và quan trọng nhất cần làm là sao lưu sổ đăng ký của bạn
- Mở Trình chỉnh sửa sổ đăng ký
- Điều hướng đến HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \
\ Parameters - Nhấp chuột phải vào ngăn bên phải và tạo DWORD mới với tên LDAPServerIntegrity
- Để giá trị mặc định.
5] Cách xác minh xem các thay đổi cấu hình hiện có yêu cầu đăng nhập hay không
Để đảm bảo chính sách bảo mật đang hoạt động, đây là cách kiểm tra tính toàn vẹn của nó.
- Đăng nhập vào máy tính đã cài đặt Công cụ quản trị AD DS.
- Mở lời nhắc Run, nhập ldp.exe và nhấn phím Enter. Nó là một giao diện người dùng được sử dụng để điều hướng qua không gian tên Active Directory
- Chọn Kết nối> Kết nối.
- Trong Máy chủ và Cổng, hãy nhập tên máy chủ và cổng không phải SSL / TLS của máy chủ thư mục của bạn, sau đó chọn OK.
- Sau khi kết nối được thiết lập, hãy chọn Kết nối> Ràng buộc.
- Trong Loại ràng buộc, hãy chọn Liên kết đơn giản.
- Nhập tên người dùng và mật khẩu, sau đó chọn OK.
Nếu bạn nhận được thông báo lỗi cho biết Ldap_simple_bind_s () không thành công:Yêu cầu xác thực mạnh , thì bạn đã định cấu hình thành công máy chủ thư mục của mình.
6] Cách tìm khách hàng không sử dụng tùy chọn "Yêu cầu ký"
Mỗi khi máy khách kết nối với máy chủ bằng giao thức kết nối không an toàn, nó sẽ tạo ra ID sự kiện 2889. Mục nhật ký cũng sẽ chứa địa chỉ IP của các máy khách. Bạn sẽ cần bật điều này bằng cách đặt 16 Sự kiện giao diện LDAP cài đặt chẩn đoán thành 2 (Cơ bản). Tìm hiểu cách định cấu hình ghi nhật ký sự kiện chẩn đoán AD và LDS tại Microsoft.
Đăng nhập LDAP là rất quan trọng và tôi hy vọng công cụ này có thể giúp bạn hiểu rõ ràng cách bạn có thể bật tính năng đăng nhập LDAP trong Windows Server và trên các máy khách.