Aktivieren der LDAP-Signierung in Windows Server 2008

SCHNELLE VERÖFFENTLICHUNG

SCHNELLE VERÖFFENTLICHUNG ARTIKELN GEBEN INFORMATIONEN ÜBER ENTSTEHENDE ODER EINDEUTIGE THEMEN UND KANN AKTUALISIERT WERDEN, SOBALD NEUER INFORMATIONEN VERFÜGBAR SIND.

Einführung

Die Sicherheit eines Verzeichnisservers kann erheblich verbessert werden, durch konfigurieren des Servers Simple Authentication and Security Layer (SASL) LDAP-Bindungen zurückweisen, die keine anfordern (Integrität Signaturüberprüfung) oder einfache LDAP-Bindungen ab, die für einen unverschlüsselten Text (nicht SSL/TLS-verschlüsselte) Verbindung durchgeführt werden. SASLs kann Protokolle wie Negotiate, Kerberos, NTLM und Digestauthentifizierung Protokolle enthalten.

Nicht signierter Netzwerkverkehr ist anfällig gegenüber replay-Angriffen in denen Eindringling authentifiziert und der Ausstellung eines Tickets abfängt. Der Angreifer kann das Ticket wiederverwenden, um legitime Benutzer zu imitieren. Nicht signierter Netzwerkverkehr ist darüber hinaus anfällig für Man-in-the-Middle-Angriffe, in denen ein Eindringling Pakete zwischen dem Client und Server manipuliert und anschließend an den Server weiterleitet. In diesem Fall auf einem LDAP-Server kann ein Angreifer einen Server zu, die auf gefälschte Anfragen vom LDAP-Client basieren.

Dieser Artikel beschreibt das Konfigurieren des Verzeichnisservers zum Schutz vor solchen Angriffen.

Weitere Informationen

Wie Sie Clients ermitteln, die nicht die Option "Signatur erforderlich" nutzen

Clients, die sich auf nicht signierte SASL (Negotiate, Kerberos, NTLM oder Digest) LDAP-Bindungen oder auf LDAP einfache Bindungen über eine nicht funktionierende SSL/TLS-Verbindung verlassen, nachdem Sie diese Konfigurationsänderung vornehmen. Um diese Kunden zu identifizieren, protokolliert der Verzeichnisserver Zusammenfassungsereignis 2887 einmal alle 24 Stunden an, wie viele bindet aufgetreten. Es wird empfohlen, dass Sie diese Clients konfigurieren, um solche Bindungen nicht benutzen. Wenn keine derartigen Ereignisse für einen längeren Zeitraum beobachtet werden, wird empfohlen, dass Sie den Server zum Ablehnen von solchen Bindungen konfigurieren.

Wenn Sie weitere Informationen zur Identifizierung solcher Clients benötigen, können Sie den Verzeichnisserver konfigurieren, um detailliertere Protokolle zu erstellen. Diese zusätzliche Protokollierung protokolliert ein Ereignis 2889, wenn ein Client versucht, eine nicht signierte LDAP-Bindung zu etablieren. Die Protokollierung wird die IP-Adresse des Clients und die Identität, die der Client zu authentifizieren versucht zeigen. Sie können diese zusätzliche Protokollierung durch Festlegen der LDAP-Interface Events Diagnostic stellen auf 2 (Basic)ein. Weitere Informationen zum Ändern der Diagnose finden Sie auf folgender Microsoft-Website:Wenn der Verzeichnisserver nicht signierte SASL LDAP-Bindungen oder einfache LDAP-Bindungen über eine SSL/TLS-Verbindung ablehnen konfiguriert ist, protokolliert der Verzeichnisserver ein Zusammenfassungsereignis 2888 einmal alle 24 Stunden, wenn solche Versuchsbindungen auftreten.

Wie man das Verzeichnis konfiguriert um LDAP-Signaturen erforderlich zu machen

Mithilfe von Gruppenrichtlinien

Zum Festlegen der Servers LDAP-Signatur Erforderung
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc.exe, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins klicken Sie Gruppenrichtlinienverwaltungs-Editor, und klicken Sie auf Hinzufügen.
  4. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen.
  5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt suchen klicken Sie auf Default Domain Policy im Bereich Domänen, Organisationseinheiten und verknüpfte Gruppenrichtlinienobjekte , und klicken Sie auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf OK.
  8. Erweitern Sie Domänencontroller, Computerkonfiguration, erweitern Sie Richtlinien, Windows-Einstellungen, erweitern Sie Sicherheit, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  9. Mit der rechten Maustaste Domänencontroller: LDAP-Server Signieren Vorschriften, und klicken Sie dann auf Eigenschaften.
  10. In der Domänencontroller: LDAP-Server Signieren Vorschriften Eigenschaften Dialogfeld aktivieren diese Einstellung Signatur erforderlich in der Liste diese Einstellung aktivieren, und klicken Sie auf OK.
  11. Klicken Sie im Dialogfeld Einstellung bestätigen auf Ja.
Wie die LDAP-Signierung erforderlich durch lokale Computerrichtlinie festlegen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc.exe, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins klicken Sie auf Gruppenrichtlinienobjekt-Editorund klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf Fertig stellen.
  5. Klicken Sie auf OK.
  6. Erweitern Sie Lokale Computerrichtlinie, Computerkonfiguration, erweitern Sie Richtlinien, Windows-Einstellungen, erweitern Sie Sicherheit, erweitern Sie Lokale Richtlinien, und klicken Sie auf Sicherheitsoptionen.
  7. Mit der rechten Maustaste Sicherheit: LDAP-Client Signieren Vorschriften, und klicken Sie dann auf Eigenschaften.
  8. In der Sicherheit: LDAP-Client Signieren Vorschriften Eigenschaften Dialogfeld, klicken Sie auf Signatur erforderlich in der Dropdown-Liste, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Einstellung bestätigen auf Ja.
Die LDAP-Signierung Anforderung über eine Domäne Gruppenrichtlinienobjekt festlegen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc.exe, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins klicken Sie auf Gruppenrichtlinienobjekt-Editorund klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf Durchsuchen, und wählen Sie Default Domain Policy (oder das Gruppenrichtlinienobjekt für den Client LDAP-Signierung aktivieren möchten).
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf Schließen.
  8. Klicken Sie auf OK.
  9. Standarddomänenrichtlinieerweitern erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, Sicherheit, erweitern Sie Lokale Richtlinien, und anschließend klicken Sie auf Sicherheitsoptionen.
  10. Im Dialogfeld Netzwerksicherheit: Signaturanforderungen Eigenschaften für LDAP-Clients klicken Sie auf Signatur erforderlich in der Dropdown-Liste, und klicken Sie dann auf OK.
  11. Klicken Sie im Dialogfeld Einstellung bestätigen auf Ja.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

823659 Client Service und Programm-Inkompatibilitäten, die auftreten können, wenn Sie Einstellungen und Ändern von Benutzerrechten

Wie Sie Registrierungsschlüssel verwenden

Wenn Sie den Registrierungsschlüssel ändern lassen, gehen Sie zum Abschnitt "Fix it für mich". Möchten Sie die Registrierungsschlüssel zu ändern, gehen Sie zum Abschnitt "Problem manuell beheben".

Automatisch mit Fix it beheben lassen

Um dieses Problem automatisch zu beheben, klicken Sie auf die Fix it -Schaltfläche oder einen Link, klicken Sie auf Ausführen im Dialogfeld Dateidownload und dann folgen Sie den Schritten in den Fix es Assistenten.
Notes
  • Dieser Assistent ist nur auf Englisch verfügbar. Die automatische Korrektur funktioniert jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht den Computer verwenden, auf dem das Problem auftritt, speichern Sie die Fix it Lösung auf ein Flashlaufwerk oder eine CD, und führen Sie es auf dem Computer, auf dem das Problem auftritt.
Wechseln Sie dann zum Abschnitt "Wurde das Problem behoben?".

Lassen Sie mich das Problem manuell beheben

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Klicken Sie Registrierungseintrag LDAPServerIntegrity und dann auf Ändern.
  4. Ändern Sie Wert in 2, und klicken Sie auf OK.
  5. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Maustaste auf den Registrierungseintrag " Ldapclientintegrity " und klicken Sie auf Ändern.
  7. Ändern Sie den Wert auf 2, und klicken Sie dann auf OK.
Standardmäßig ist für Active Directory Lightweight Directory Services (AD LDS) der Registrierungsschlüssel nicht verfügbar. Daher müssen Sie einen Registrierungseintrag LDAPServerIntegrity vom Typ REG_DWORD im folgenden Registrierungsunterschlüssel erstellen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Hinweis Der Platzhalter < InstanceName > steht der Name des AD LDS-Instanz, die Sie ändern möchten.

Konfiguration überprüfen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ldp.exeund klicken Sie dann auf OK.
  2. Klicken Sie im Menü Verbindung Verbinden.
  3. Geben Sie im Feld und im Feld Port den Servernamen und die SSL/TLS-Anschluss des Verzeichnisservers und klicken Sie dann auf OK.

    Hinweis für eine Active Directory-Domänencontroller ist der jeweilige Anschluss 389.
  4. Nach dem Herstellen einer Verbindung wählen Sie im Menü Verbindung binden .
  5. Wählen Sie unter Typ binden einfache Bindung.
  6. Geben Sie den Benutzernamen und das Kennwort, und klicken Sie dann auf OK.
Wenn Sie die folgende Fehlermeldung erhalten, haben Sie den Verzeichnisservers erfolgreich installiert:
Fehler Ldap_simple_bind_s(): starke Authentifizierung erforderlich

Wurde das Problem behoben?

  • Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, Sie sind mit diesem Abschnitt fertig. Wenn das Problem nicht behoben ist, können Sie sich an den Support wenden.
  • Wir schätzen Ihr Feedback. Feedback geben oder Probleme mit dieser Lösung zu informieren, einen Kommentar im "Fix it für mich" Blog, oder senden Sie uns eine e-Mail.

HAFTUNGSAUSSCHLUSS

MICROSOFT UND/ODER SEINE JEWEILIGEN LIEFERANTEN ÜBERNEHMEN KEINE VERANTWORTUNG FÜR DIE EIGNUNG DER INFORMATIONEN IN DEN DOKUMENTEN UND GRAFIKEN AUF DIESER WEBSITE ZWECKEN. DOKUMENTE UND GRAFIKEN AUF DIESER WEBSITE KÖNNEN KLEINERE TECHNISCHE ODER TYPOGRAFISCHE FEHLER ENTHALTEN. ÄNDERT IN REGELMÄßIGEN ABSTÄNDEN INFORMATIONEN HINZUGEFÜGT. MICROSOFT UND SEINE LIEFERANTEN STELLEN VERBESSERUNG ODER ÄNDERUNG DES PRODUKTS (S) ODER PROGRAMM (S) BESCHRIEBENEN JEDERZEIT.

Weitere Informationen über die Vereinbarung finden Sie auf folgender Microsoft-Website:
Eigenschaften

Artikelnummer: 935834 – Letzte Überarbeitung: 17.02.2017 – Revision: 2

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

Feedback