Aktivieren von LDAP-Signaturen in Windows Server 2008

Gilt für: Windows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise without Hyper-VWindows Server 2008 for Itanium-Based Systems

SCHNELLE VERÖFFENTLICHUNG

ARTIKEL ZUR SCHNELLEN VERÖFFENTLICHUNG ENTHALTEN INFORMATIONEN ALS REAKTION AUF NEUE ODER EINMALIGE THEMEN UND KÖNNEN AKTUALISIERT WERDEN, WENN NEUE INFORMATIONEN ZUR VERFÜGUNG STEHEN.

EINFÜHRUNG


Sie können die Sicherheit eines Verzeichnisservers erheblich verbessern, indem Sie den Server so konfigurieren, dass SASL-LDAP-Bindungen (Simple Authentication and Security Layer), die keine Signaturen anfordern (Integritätsüberprüfung), oder einfache LDAP-Bindungen, die über eine Klartextverbindung (ohne SSL/TLS-Verschlüsselung) vorgenommen werden, abgelehnt werden. SASL kann Protokolle wie zum Beispiel Negotiate, Kerberos, NTLM und Digest einschließen.

Nicht signierter Netzwerkverkehr ist anfällig für Replay-Angriffe, bei denen ein Angreifer den Authentifizierungsversuch und die Ausstellung eines Tickets abfängt. Der Angreifer kann das Ticket wiederverwenden, um die Identität des legitimen Benutzers anzunehmen. Darüber hinaus ist nicht signierter Netzwerkverkehr anfällig für „Man-in-the-Middle“-Angriffe, bei denen ein Angreifer Pakete zwischen Client und Server abfängt, die Pakete ändert und sie anschließend an den Server weiterleitet. Wenn dies auf einem LDAP-Server geschieht, kann ein Angreifer den Server zu Entscheidungen veranlassen, die auf gefälschten Abfragen vom LDAP-Client basieren.

Dieser Artikel beschreibt, wie Sie Ihren Verzeichnisserver konfigurieren können, um ihn vor solchen Angriffen zu schützen.

Weitere Informationen


Ermitteln von Clients, die die Option „Signatur erforderlich“ nicht verwenden

Clients, die nicht signierte SASL-LDAP-Bindungen (Negotiate, Kerberos, NTLM oder Digest) oder einfache LDAP-Bindungen über eine Verbindung ohne SSL/TLS verwenden, funktionieren nach dieser Konfigurationsänderung nicht mehr. Um die Identifizierung dieser Clients zu erleichtern, protokolliert der Verzeichnisserver einmal alle 24 Stunden das Zusammenfassungsereignis 2887. Aus diesem geht hervor, wie viele solche Bindungen aufgetreten sind. Es wird empfohlen, diese Clients so zu konfigurieren, dass sie diese Bindungen nicht verwenden. Wenn diese Ereignisse über einen längeren Zeitraum nicht aufgetreten sind, sollten Sie den Server so konfigurieren, dass er diese Bindungen ablehnt.

Wenn Sie zum Identifizieren dieser Clients mehr Informationen benötigen, können Sie den Verzeichnisserver so konfigurieren, dass detailliertere Protokolle bereitgestellt werden. Bei dieser zusätzlichen Protokollierung wird das Ereignis 2889 protokolliert, wenn ein Client versucht, eine nicht signierte LDAP-Bindung zu erstellen. Im Protokoll wird die IP-Adresse des Clients angezeigt sowie die Identität, die der Client für die Authentifizierung zu verwenden versucht hat. Diese zusätzliche Protokollierung können Sie aktivieren, indem Sie die Diagnoseeinstellung LDAP-Schnittstellenereignisse auf 2 (Basic) (Einfach) festlegen. Weitere Informationen zum Ändern der Diagnoseeinstellungen finden Sie auf der folgenden Microsoft-Website:Wenn der Verzeichnisserver so konfiguriert ist, dass er nicht signierte SASL-LDAP-Bindungen oder einfache LDAP-Bindungen über Verbindungen ohne SSL/TLS ablehnt, und solche Bindungsversuche auftreten, protokolliert der Verzeichnisserver einmal alle 24 Stunden das Zusammenfassungsereignis 2888.

Konfigurieren des Verzeichnisses, sodass für LDAP-Server Signaturen erforderlich sind

Verwenden einer Gruppenrichtlinie

Festlegen der Signaturanforderung für LDAP-Server
  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc.exe ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf Gruppenrichtlinienverwaltungs-Editor und dann auf Hinzufügen.
  4. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen.
  5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt suchen unter dem Bereich Domänen, Organisationseinheiten und verknüpfte Gruppenrichtlinienobjekte auf Default Domain Policy (Standarddomänenrichtlinie) und dann auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf OK.
  8. Erweitern Sie nacheinander Default Domain Controller Policy (Standarddomänencontrollerrichtlinie), Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  9. Klicken Sie mit der rechten Maustaste auf Domänencontroller: Signaturanforderungen für LDAP-Server, und klicken Sie dann auf Eigenschaften.
  10. Aktivieren Sie im Dialogfeld Domänencontroller: Eigenschaften von Signaturanforderungen für LDAP-Server die Option Diese Richtlinieneinstellung definieren, wählen Sie in der Dropdownliste Diese Richtlinieneinstellung definieren die Option Signatur erforderlich aus, und klicken Sie dann auf OK.
  11. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.
Festlegen der Signaturanforderung für LDAP-Clients durch eine lokale Computerrichtlinie
  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc.exe ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen.
  4. Klicken Sie auf Fertig stellen.
  5. Klicken Sie auf OK.
  6. Erweitern Sie nacheinander Richtlinie für „Lokaler Computer“, Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  7. Doppelklicken Sie auf Netzwerksicherheit: Signaturanforderungen für LDAP-Clients, und klicken Sie dann auf Eigenschaften.
  8. Wählen Sie in der Dropdownliste im Dialogfeld Netzwerksicherheit: Eigenschaften von Signaturanforderungen für LDAP-Clients die Option Signatur erforderlich aus, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.
Festlegen der Signaturanforderung für LDAP-Clients durch ein Gruppenrichtlinienobjekt für Domänen
  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc.exe ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen.
  4. Klicken Sie auf Durchsuchen, und wählen Sie dann Default Domain Policy (Standarddomänenrichtlinie) (oder das Gruppenrichtlinienobjekt, für das Sie Signaturen für LDAP-Clients aktivieren möchten) aus.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf Schließen.
  8. Klicken Sie auf OK.
  9. Erweitern Sie nacheinander Default Domain Policy (Standarddomänenrichtlinie), Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  10. Wählen Sie in der Dropdownliste im Dialogfeld Netzwerksicherheit: Eigenschaften von Signaturanforderungen für LDAP-Clients die Option Signatur erforderlich aus, und klicken Sie dann auf OK.
  11. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

823659 Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit Clients, Diensten und Programmen auftreten

Verwenden von Registrierungsschlüsseln

Wenn Sie die Registrierung automatisch ändern lassen möchten, lesen Sie den Abschnitt Problem automatisch beheben. Wenn Sie die Registrierungsschlüssel lieber manuell ändern möchten, lesen Sie den Abschnitt Problem manuell beheben.

Problem automatisch beheben

Um dieses Problem automatisch zu beheben, klicken Sie auf die Schaltfläche Fix it oder den Link „Problem beheben“. Klicken Sie dann im Dialogfeld Dateidownload auf Ausführen, und folgen Sie den Schritten im Fix it-Assistenten.
Hinweise
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht den Computer verwenden, auf dem das Problem auftritt, speichern Sie die automatische Korrektur auf einem Speicherstick oder einer CD, und führen Sie sie anschließend auf dem vom Problem betroffenen Computer aus.
Lesen Sie anschließend den Abschnitt Wurde das Problem behoben?.

Problem manuell beheben

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
  1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Klicken Sie mit der rechten Maustaste auf den Registrierungseintrag LDAPServerIntegrity, und klicken Sie dann auf Ändern.
  4. Ändern Sie den Wert in 2, und klicken Sie dann auf OK.
  5. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Klicken Sie mit der rechten Maustaste auf den Registrierungseintrag ldapclientintegrity, und klicken Sie dann auf Ändern.
  7. Ändern Sie den Wert in 2, und klicken Sie dann auf OK.
Für Active Directory Lightweight Directory Services (AD LDS) ist der Registrierungsschlüssel standardmäßig nicht verfügbar. Daher müssen Sie unter dem folgenden Registrierungsunterschlüssel den Registrierungseintrag „LDAPServerIntegrity“ mit dem Typ „REG_DWORD“ erstellen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Instanzname>\Parameters
Hinweis Der Platzhalter <Instanzname> steht für den Namen der AD LDS-Instanz, die Sie ändern möchten.

Überprüfen von Konfigurationsänderungen

  1. Klicken Sie auf Start und auf Ausführen, geben Sie ldp.exe ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Geben Sie in die Felder Server und Port den Servernamen und den Nicht-SSL/TLS-Port Ihres Verzeichnisservers ein, und klicken Sie dann auf OK.

    Hinweis
    Für Active Directory-Domänencontroller gilt Port 389.
  4. Wenn die Verbindung hergestellt wurde, wählen Sie im Menü Verbindung die Option Binden aus.
  5. Wählen Sie unter Bindungstyp die Option Einfache Bindung aus.
  6. Geben Sie den Benutzernamen und das Kennwort ein, und klicken Sie auf OK.
Wenn die folgende Fehlermeldung angezeigt wird, haben Sie den Verzeichnisserver erfolgreich konfiguriert:
Ldap_simple_bind_s() fehlgeschlagen: Strenge Authentifizierung erforderlich

Wurde das Problem behoben?

  • Testen Sie, ob das Problem behoben ist. Wenn das Problem beseitigt ist, sind Sie mit diesem Abschnitt fertig. Wenn das Problem noch nicht behoben ist, wenden Sie sich an den Support.
  • Ihr Feedback ist uns wichtig. Um uns Ihr Feedback zu übermitteln oder uns über Probleme mit dieser Lösung zu informieren, schreiben Sie einen Kommentar im Fix it-Blog, oder senden Sie uns eine E-Mail-Nachricht.

HAFTUNGSAUSSCHLUSS

MICROSOFT BZW. IHRE JEWEILIGEN LIEFERANTEN GEBEN ZU KEINEM ZWECK IRGENDWELCHE ZUSICHERUNGEN HINSICHTLICH DER EIGNUNG DER ANGABEN IN DEN DOKUMENTEN UND ZUGEHÖRIGEN GRAFIKEN, DIE AUF DIESER WEBSITE VERÖFFENTLICHT SIND. DIE AUF DIESER WEBSITE VERÖFFENTLICHTEN DOKUMENTE UND ZUGEHÖRIGEN GRAFIKEN KÖNNEN TECHNISCHE UNGENAUIGKEITEN ODER SCHREIBFEHLER ENTHALTEN. DIE HIER ENTHALTENEN INFORMATIONEN WERDEN REGELMÄSSIG GEÄNDERT. MICROSOFT BZW. IHRE JEWEILIGEN LIEFERANTEN KÖNNEN JEDERZEIT VERBESSERUNGEN UND/ODER ÄNDERUNGEN AN DEN HIER BESCHRIEBENEN PRODUKTEN UND/ODER PROGRAMMEN VORNEHMEN.