Windows Server'da LDAP imzalamayı etkinleştirme
Bu makalede Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 ve Windows 11'da LDAP imzalamanın nasıl etkinleştirileceği açıklanır.
Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 11 - tüm sürümler, Windows 10 - tüm sürümler
Orijinal KB numarası: 935834
Özet
Sunucuyu, imzalama (bütünlük doğrulaması) istemeyen Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek veya net bir metin (SSL/TLS şifreli olmayan) bağlantısında gerçekleştirilen LDAP basit bağlamalarını reddedecek şekilde yapılandırarak dizin sunucusunun güvenliğini önemli ölçüde geliştirebilirsiniz. SASL bağlamaları Negotiate, Kerberos, NTLM ve Digest gibi protokolleri içerebilir.
İmzasız ağ trafiği yeniden yürütme saldırılarına duyarlıdır. Bu tür saldırılarda saldırgan, kimlik doğrulama girişimini ve bir biletin verilmesini durdurur. Davetsiz misafir, geçerli kullanıcının kimliğine bürünmek için bileti yeniden kullanabilir. Ayrıca, imzalanmamış ağ trafiği, bir davetsiz misafirin istemci ile sunucu arasındaki paketleri yakaladığı, paketleri değiştirdiği ve ardından sunucuya ilettiği ortadaki adam (MIM) saldırılarına duyarlıdır. Bu, bir LDAP sunucusunda oluşursa bir saldırgan, bir sunucunun LDAP istemcisinden gelen sahte istekleri temel alan kararlar vermesine neden olabilir.
İmzalama gerektir seçeneğini kullanmayan istemcileri bulma
Bu yapılandırma değişikliğini yaptıktan sonra, imzalanmamış SASL (Negotiate, Kerberos, NTLM veya Digest) LDAP bağlamalarını veya SSL/TLS olmayan bir bağlantı üzerinden LDAP basit bağlamalarını kullanan istemciler çalışmayı durdurur. Bu istemcilerin tanımlanmasına yardımcı olmak için Active Directory Etki Alanı Hizmetleri (AD DS) veya Basit Dizin Sunucusu'nun (LDS) dizin sunucusu, bu tür bağlamaların kaç tanesinin gerçekleştiğini belirtmek için 24 saatte bir bir özet Olay Kimliği 2887'yi günlüğe kaydeder. Bu istemcileri bu tür bağlamaları kullanmayacak şekilde yapılandırmanızı öneririz. Uzun süre boyunca böyle bir olay gözlemlenmedikten sonra, sunucuyu bu tür bağlamaları reddedecek şekilde yapılandırmanızı öneririz.
Bu tür istemcileri tanımlamak için daha fazla bilgiye sahip olmanız gerekiyorsa dizin sunucusunu daha ayrıntılı günlükler sağlayacak şekilde yapılandırabilirsiniz. Bu ek günlük kaydı, bir istemci imzasız LDAP bağlaması yapmaya çalıştığında bir Olay Kimliği 2889'u günlüğe kaydedecektir. Günlük girdisi, istemcinin IP adresini ve istemcinin kimlik doğrulaması için kullanmayı denediğini kimliği gösterir. 16 LDAP Arabirim Olayları tanılama ayarını 2 (Temel) olarak ayarlayarak bu ek günlüğü etkinleştirebilirsiniz. Tanılama ayarlarını değiştirme hakkında daha fazla bilgi için bkz. Active Directory ve LDS tanılama olay günlüğünü yapılandırma.
Dizin sunucusu, imzalanmamış SASL LDAP bağlamalarını veya SSL/TLS olmayan bir bağlantı üzerinden LDAP basit bağlamalarını reddedecek şekilde yapılandırılmışsa dizin sunucusu, bu tür bağlama girişimleri gerçekleştiğinde 24 saatte bir özet Olay Kimliği 2888'i günlüğe kaydeder.
Dizini, AD DS için LDAP sunucu imzalaması gerektirecek şekilde yapılandırma
Güvenlik ayarlarını değiştirmenin olası etkileri hakkında bilgi için bkz. Güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirirseniz istemci, hizmet ve program sorunları oluşabilir.
Grup İlkesi’ni Kullanma
Sunucu LDAP imzalama gereksinimini ayarlama
- Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
- Dosya>Ek Bileşen Ekle/Kaldır'ı seçin, Grup İlkesi Yönetim Düzenleyicisi'ni ve ardından Ekle'yi seçin.
- Grup İlkesi Nesnesi>Gözat'ı seçin.
- Bir Grup İlkesi Nesnesine Gözat iletişim kutusunda, Etki Alanları, OU'lar ve bağlantılı Grup İlkesi Nesneleri alanının altında Varsayılan Etki Alanı Denetleyicisi İlkesi'ni seçin ve ardından Tamam'ı seçin.
- Bitir'i seçin.
- Tamam'ı seçin.
- Varsayılan Etki Alanı Denetleyicisi İlkesi>Bilgisayar Yapılandırması>İlkeler>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
- Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri'ne sağ tıklayın ve Öellikler'i seçin.
- Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri Özellikler iletişim kutusunda, Bu ilke ayarını tanımla'yı etkinleştirin, Bu ilke ayarını tanımla listesinde İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
- Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.
Yerel bilgisayar ilkesini kullanarak istemci LDAP imzalama gereksinimini ayarlama
- Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
- Dosya>Ek Bileşenleri Ekle/Kaldır'ı seçin.
- Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Grup İlkesi Nesne Düzenleyicisi'ni ve ardından Ekle'yi seçin.
- Bitir'i seçin.
- Tamam'ı seçin.
- Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>İlkeler>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
- Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri'ne sağ tıklayın ve Özellikler'i seçin.
- Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri Özellikleri iletişim kutusunda, Listeden İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
- Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.
Etki alanı Grup İlkesi Nesnesi kullanarak istemci LDAP imzalama gereksinimini ayarlama
- Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
- Dosya>Ek Bileşenleri Ekle/Kaldır'ı seçin.
- Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Grup İlkesi Nesne Düzenleyicisi'ni ve ardından Ekle'yi seçin.
- Gözat'ı ve ardından Varsayılan Etki Alanı İlkesi'ni (veya istemci LDAP imzalamasını etkinleştirmek istediğiniz Grup İlkesi Nesnesi) seçin.
- Tamam'ı seçin.
- Bitir'i seçin.
- Kapat'ı seçin.
- Tamam'ı seçin.
- Varsayılan Etki Alanı İlkesi>Bilgisayar Yapılandırması>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
- Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri Özellikleri iletişim kutusunda, Listeden İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
- Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.
Kayıt defteri anahtarlarını kullanarak istemci LDAP imzalama gereksinimini ayarlama
Önemli
Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, bir sorun olması halinde geri yükleyebilmek için kayıt defterini yedekleyin.
Varsayılan olarak, Active Directory Basit Dizin Hizmetleri (AD LDS) için kayıt defteri anahtarı kullanılamaz. Bu nedenle, aşağıdaki kayıt defteri alt anahtarı altında REG_DWORD türünde bir LDAPServerIntegrity
kayıt defteri girdisi oluşturmanız gerekir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Not
<InstanceName>
yer tutucusu, değiştirmek istediğiniz AD LDS örneğinin adını temsil eder.
Kayıt defteri girdisi aşağıdaki olası değerlere sahiptir:
- 0: İmzalama devre dışı bırakıldı.
- 2: İmzalama etkin.
Bu değeri değiştirdiğinizde, yeni değer hemen geçerlilik kazanır. Bilgisayarı yeniden başlatmanız gerekmez.
Yapılandırma değişikliklerini doğrulama
AD DS Yönetici Araçları'nın yüklü olduğu bir bilgisayarda oturum açın.
Başlat>Çalıştır'ı seçin, ldp.exe yazın ve ardından Tamam'ı seçin.
Bağlantı>Bağlan'ı seçin.
Sunucu'da ve Bağlantı Noktası'nda, sunucu adını ve dizin sunucunuzun SSL/TLS olmayan bağlantı noktasını yazın ve Tamam'ı seçin.
Not
Active Directory Etki Alanı Denetleyicisi için geçerli bağlantı noktası 389'dur.
Bir bağlantı kurulduktan sonra Bağlantı>Bağlama'yı seçin.
Bağlama türü'nün altında Basit bağlama'yı seçin.
Kullanıcı adı ve parolayı yazın ve ardından Tamam'ı seçin.
Aşağıdaki hata iletisini alırsanız dizin sunucunuzu başarıyla yapılandırmışsınız demektir:
Ldap_simple_bind_s() başarısız oldu: Güçlü Kimlik Doğrulaması Gerekiyor
LDAP imzalama gereksinimleri için olay başvurusu
Olay Kimliği 2886
DS hizmetlerini başlattıktan sonra, yöneticilere imzalama gereksinimlerini etkinleştirmelerini anımsatmak için Olay Kimliği 2886 günlüğe kaydedilir:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2886
Task Category: LDAP Interface
Level: Warning
Keywords: Classic
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.
Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds.
For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.
Olay Kimliği 2887
Bir sorun istemcisi algılandığında ancak izin verilirse, son 24 saatin özet olayı (Olay Kimliği 2887) günlüğe kaydedilir:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2887
Task Category: LDAP Interface
Level: Warning
Keywords: Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection
This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.
Summary information on the number of these binds received within the past 24 hours is below.
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.
Number of simple binds performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: <count of binds>
Olay Kimliği 2888
Sorun istemcisi reddedildiğinde, son 24 saatin özet olayı (Olay Kimliği 2888) günlüğe kaydedilir:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2888
Task Category: LDAP Interface
Level: Information
Keywords: Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection
This directory server is configured to reject such binds. This is the recommended configuration setting, and significantly enhances the security of this server. For more details, please see http://go.microsoft.com/fwlink/?LinkID=87923.
Summary information on the number of such binds received within the past 24 hours is below.
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.
Number of simple binds rejected because they were performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds rejected because they were performed without signing: <count of binds>
Olay Kimliği 2889
Bir sorun istemcisi bağlanmaya çalıştığında Olay Kimliği 2889 günlüğe kaydedilir:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2889
Task Category: LDAP Interface
Level: Information
Keywords: Classic
Description:
The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a clear text (non-SSL/TLS-encrypted) LDAP connection.
Client IP address:
<IP address>:<TCP port>
Identity the client attempted to authenticate as:
contoso\<username>
Binding Type:
0 – Simple Bind that does not support signing
1 – SASL Bind that does not use signing
Başvurular
- ADV190023: LDAP Kanal Bağlamasını ve LDAP İmzalamasını Etkinleştirme için Microsoft Kılavuzu
- Windows için 2020 LDAP kanalı bağlama ve LDAP imzalama gereksinimi
- Windows için 2020, 2023 ve 2024 LDAP kanalı bağlama ve LDAP imzalama gereksinimleri (KB4520412)
- Active Directory ve LDS tanılama olay günlüğünü yapılandırma
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin