Windows Server'da LDAP imzalamayı etkinleştirme

  • Makale

Bu makalede Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 ve Windows 11'da LDAP imzalamanın nasıl etkinleştirileceği açıklanır.

Şunlar için geçerlidir: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 11 - tüm sürümler, Windows 10 - tüm sürümler
Orijinal KB numarası: 935834

Özet

Sunucuyu, imzalama (bütünlük doğrulaması) istemeyen Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) LDAP bağlamalarını reddedecek veya net bir metin (SSL/TLS şifreli olmayan) bağlantısında gerçekleştirilen LDAP basit bağlamalarını reddedecek şekilde yapılandırarak dizin sunucusunun güvenliğini önemli ölçüde geliştirebilirsiniz. SASL bağlamaları Negotiate, Kerberos, NTLM ve Digest gibi protokolleri içerebilir.

İmzasız ağ trafiği yeniden yürütme saldırılarına duyarlıdır. Bu tür saldırılarda saldırgan, kimlik doğrulama girişimini ve bir biletin verilmesini durdurur. Davetsiz misafir, geçerli kullanıcının kimliğine bürünmek için bileti yeniden kullanabilir. Ayrıca, imzalanmamış ağ trafiği, bir davetsiz misafirin istemci ile sunucu arasındaki paketleri yakaladığı, paketleri değiştirdiği ve ardından sunucuya ilettiği ortadaki adam (MIM) saldırılarına duyarlıdır. Bu, bir LDAP sunucusunda oluşursa bir saldırgan, bir sunucunun LDAP istemcisinden gelen sahte istekleri temel alan kararlar vermesine neden olabilir.

İmzalama gerektir seçeneğini kullanmayan istemcileri bulma

Bu yapılandırma değişikliğini yaptıktan sonra, imzalanmamış SASL (Negotiate, Kerberos, NTLM veya Digest) LDAP bağlamalarını veya SSL/TLS olmayan bir bağlantı üzerinden LDAP basit bağlamalarını kullanan istemciler çalışmayı durdurur. Bu istemcilerin tanımlanmasına yardımcı olmak için Active Directory Etki Alanı Hizmetleri (AD DS) veya Basit Dizin Sunucusu'nun (LDS) dizin sunucusu, bu tür bağlamaların kaç tanesinin gerçekleştiğini belirtmek için 24 saatte bir bir özet Olay Kimliği 2887'yi günlüğe kaydeder. Bu istemcileri bu tür bağlamaları kullanmayacak şekilde yapılandırmanızı öneririz. Uzun süre boyunca böyle bir olay gözlemlenmedikten sonra, sunucuyu bu tür bağlamaları reddedecek şekilde yapılandırmanızı öneririz.

Bu tür istemcileri tanımlamak için daha fazla bilgiye sahip olmanız gerekiyorsa dizin sunucusunu daha ayrıntılı günlükler sağlayacak şekilde yapılandırabilirsiniz. Bu ek günlük kaydı, bir istemci imzasız LDAP bağlaması yapmaya çalıştığında bir Olay Kimliği 2889'u günlüğe kaydedecektir. Günlük girdisi, istemcinin IP adresini ve istemcinin kimlik doğrulaması için kullanmayı denediğini kimliği gösterir. 16 LDAP Arabirim Olayları tanılama ayarını 2 (Temel) olarak ayarlayarak bu ek günlüğü etkinleştirebilirsiniz. Tanılama ayarlarını değiştirme hakkında daha fazla bilgi için bkz. Active Directory ve LDS tanılama olay günlüğünü yapılandırma.

Dizin sunucusu, imzalanmamış SASL LDAP bağlamalarını veya SSL/TLS olmayan bir bağlantı üzerinden LDAP basit bağlamalarını reddedecek şekilde yapılandırılmışsa dizin sunucusu, bu tür bağlama girişimleri gerçekleştiğinde 24 saatte bir özet Olay Kimliği 2888'i günlüğe kaydeder.

Dizini, AD DS için LDAP sunucu imzalaması gerektirecek şekilde yapılandırma

Güvenlik ayarlarını değiştirmenin olası etkileri hakkında bilgi için bkz. Güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirirseniz istemci, hizmet ve program sorunları oluşabilir.

Grup İlkesi’ni Kullanma

Sunucu LDAP imzalama gereksinimini ayarlama

  1. Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
  2. Dosya>Ek Bileşen Ekle/Kaldır'ı seçin, Grup İlkesi Yönetim Düzenleyicisi'ni ve ardından Ekle'yi seçin.
  3. Grup İlkesi Nesnesi>Gözat'ı seçin.
  4. Bir Grup İlkesi Nesnesine Gözat iletişim kutusunda, Etki Alanları, OU'lar ve bağlantılı Grup İlkesi Nesneleri alanının altında Varsayılan Etki Alanı Denetleyicisi İlkesi'ni seçin ve ardından Tamam'ı seçin.
  5. Bitir'i seçin.
  6. Tamam'ı seçin.
  7. Varsayılan Etki Alanı Denetleyicisi İlkesi>Bilgisayar Yapılandırması>İlkeler>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
  8. Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri'ne sağ tıklayın ve Öellikler'i seçin.
  9. Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri Özellikler iletişim kutusunda, Bu ilke ayarını tanımla'yı etkinleştirin, Bu ilke ayarını tanımla listesinde İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
  10. Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.

Yerel bilgisayar ilkesini kullanarak istemci LDAP imzalama gereksinimini ayarlama

  1. Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
  2. Dosya>Ek Bileşenleri Ekle/Kaldır'ı seçin.
  3. Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Grup İlkesi Nesne Düzenleyicisi'ni ve ardından Ekle'yi seçin.
  4. Bitir'i seçin.
  5. Tamam'ı seçin.
  6. Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>İlkeler>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
  7. Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri'ne sağ tıklayın ve Özellikler'i seçin.
  8. Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri Özellikleri iletişim kutusunda, Listeden İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
  9. Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.

Etki alanı Grup İlkesi Nesnesi kullanarak istemci LDAP imzalama gereksinimini ayarlama

  1. Başlat>Çalıştır'ı seçin, mmc.exe yazın ve ardından Tamam'ı seçin.
  2. Dosya>Ek Bileşenleri Ekle/Kaldır'ı seçin.
  3. Ek Bileşen Ekle veya Kaldır iletişim kutusunda, Grup İlkesi Nesne Düzenleyicisi'ni ve ardından Ekle'yi seçin.
  4. Gözat'ı ve ardından Varsayılan Etki Alanı İlkesi'ni (veya istemci LDAP imzalamasını etkinleştirmek istediğiniz Grup İlkesi Nesnesi) seçin.
  5. Tamam'ı seçin.
  6. Bitir'i seçin.
  7. Kapat'ı seçin.
  8. Tamam'ı seçin.
  9. Varsayılan Etki Alanı İlkesi>Bilgisayar Yapılandırması>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
  10. Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri Özellikleri iletişim kutusunda, Listeden İmzalamayı gerektir'i seçin ve ardından Tamam'ı seçin.
  11. Ayar Değişimini Onaylayın iletişim kutusunda Eveet'i seçin.

Kayıt defteri anahtarlarını kullanarak istemci LDAP imzalama gereksinimini ayarlama

Önemli

Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, bir sorun olması halinde geri yükleyebilmek için kayıt defterini yedekleyin.

Varsayılan olarak, Active Directory Basit Dizin Hizmetleri (AD LDS) için kayıt defteri anahtarı kullanılamaz. Bu nedenle, aşağıdaki kayıt defteri alt anahtarı altında REG_DWORD türünde bir LDAPServerIntegrity kayıt defteri girdisi oluşturmanız gerekir:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Not

<InstanceName> yer tutucusu, değiştirmek istediğiniz AD LDS örneğinin adını temsil eder.

Kayıt defteri girdisi aşağıdaki olası değerlere sahiptir:

  • 0: İmzalama devre dışı bırakıldı.
  • 2: İmzalama etkin.

Bu değeri değiştirdiğinizde, yeni değer hemen geçerlilik kazanır. Bilgisayarı yeniden başlatmanız gerekmez.

Yapılandırma değişikliklerini doğrulama

  1. AD DS Yönetici Araçları'nın yüklü olduğu bir bilgisayarda oturum açın.

  2. Başlat>Çalıştır'ı seçin, ldp.exe yazın ve ardından Tamam'ı seçin.

  3. Bağlantı>Bağlan'ı seçin.

  4. Sunucu'da ve Bağlantı Noktası'nda, sunucu adını ve dizin sunucunuzun SSL/TLS olmayan bağlantı noktasını yazın ve Tamam'ı seçin.

    Not

    Active Directory Etki Alanı Denetleyicisi için geçerli bağlantı noktası 389'dur.

  5. Bir bağlantı kurulduktan sonra Bağlantı>Bağlama'yı seçin.

  6. Bağlama türü'nün altında Basit bağlama'yı seçin.

  7. Kullanıcı adı ve parolayı yazın ve ardından Tamam'ı seçin.

    Aşağıdaki hata iletisini alırsanız dizin sunucunuzu başarıyla yapılandırmışsınız demektir:

    Ldap_simple_bind_s() başarısız oldu: Güçlü Kimlik Doğrulaması Gerekiyor

LDAP imzalama gereksinimleri için olay başvurusu

Olay Kimliği 2886

DS hizmetlerini başlattıktan sonra, yöneticilere imzalama gereksinimlerini etkinleştirmelerini anımsatmak için Olay Kimliği 2886 günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2886
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server. 
 
Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds. 
 
For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923. 
 
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Olay Kimliği 2887

Bir sorun istemcisi algılandığında ancak izin verilirse, son 24 saatin özet olayı (Olay Kimliği 2887) günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2887
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: <count of binds>

Olay Kimliği 2888

Sorun istemcisi reddedildiğinde, son 24 saatin özet olayı (Olay Kimliği 2888) günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2888
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is configured to reject such binds.  This is the recommended configuration setting, and significantly enhances the security of this server. For more details, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of such binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds rejected because they were performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds rejected because they were performed without signing: <count of binds>

Olay Kimliği 2889

Bir sorun istemcisi bağlanmaya çalıştığında Olay Kimliği 2889 günlüğe kaydedilir:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2889
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a clear text (non-SSL/TLS-encrypted) LDAP connection. 
 
Client IP address:
<IP address>:<TCP port>
Identity the client attempted to authenticate as:
contoso\<username>
Binding Type:
0 – Simple Bind that does not support signing
1 – SASL Bind that does not use signing

Başvurular