Aktivierung der LDAP-Signatur in Windows Server

  • Artikel

Dieser Artikel beschreibt, wie Sie die LDAP-Signatur in Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 und Windows 11 aktivieren.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 11 (alle Editionen), Windows 10 (alle Editionen)
Ursprüngliche KB-Nummer: 935834

Zusammenfassung

Sie können die Sicherheit eines Verzeichnisservers erheblich verbessern, indem Sie den Server so konfigurieren, dass LDAP-Bindungen mit SASL (Simple Authentication and Security Layer) zurückgewiesen werden, die keine Signatur (Integritätsüberprüfung) erfordern, oder dass einfache LDAP-Bindungen zurückgewiesen werden, die über eine Klartextverbindung (ohne SSL/TLS-Verschlüsselung) hergestellt werden. SASL-Bindungen können Protokolle wie Negotiate, Kerberos, NTLM und Digest umfassen.

Unsignierter Netzwerkdatenverkehr ist anfällig für Replay-Angriffe. Bei solchen Angriffen fängt ein Eindringling den Authentifizierungsversuch und die Ausstellung eines Tickets ab. Der Angreifer kann das Ticket wiederverwenden, um die Identität des legitimen Benutzers anzunehmen. Außerdem ist der unsignierte Netzwerkdatenverkehr anfällig für MIM-Angriffe (Man-in-the-Middle), bei denen ein Eindringling Pakete zwischen dem Client und dem Server abfängt, die Pakete verändert und dann an den Server weiterleitet. Wenn dies auf einem LDAP-Server geschieht, kann ein Angreifer den Server zu Entscheidungen veranlassen, die auf gefälschten Abfragen vom LDAP-Client basieren.

Ermittlung von Clients, die die Option „Signatur erforderlich“ nicht verwenden

Nachdem Sie diese Konfigurationsänderung vorgenommen haben, funktionieren Clients, die sich auf unsignierte SASL- (Negotiate, Kerberos, NTLM oder Digest) LDAP-Bindungen oder auf einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung verlassen, nicht mehr. Um diese Clients zu ermitteln, protokolliert der Verzeichnisserver der Active Directory-Domänendienste (AD DS) oder Lightweight Directory Server (LDS) einmal alle 24 Stunden die Ereignis-ID 2887, um anzugeben, wie viele solcher Bindungen aufgetreten sind. Es wird empfohlen, diese Clients so zu konfigurieren, dass sie diese Bindungen nicht verwenden. Wenn diese Ereignisse über einen längeren Zeitraum nicht aufgetreten sind, sollten Sie den Server so konfigurieren, dass er diese Bindungen ablehnt.

Wenn Sie zum Identifizieren dieser Clients mehr Informationen benötigen, können Sie den Verzeichnisserver so konfigurieren, dass detailliertere Protokolle bereitgestellt werden. Durch diese zusätzliche Protokollierung wird die Ereignis-ID 2889 aufgezeichnet, wenn ein Client versucht, eine unsignierte LDAP-Bindung herzustellen. Der Protokolleintrag zeigt die IP-Adresse des Clients und die Identität an, mit der der Client versucht hat, sich zu authentifizieren. Sie können diese zusätzliche Protokollierung aktivieren, indem Sie die Diagnoseeinstellung 16 LDAP-Schnittstellenereignisse auf 2 (Standard) setzen. Weitere Informationen zum Ändern der Diagnoseeinstellungen finden Sie unter Konfiguration der Active Directory- und LDS-Diagnoseereignisprotokollierung.

Wenn der Verzeichnisserver so konfiguriert ist, dass er unsignierte SASL-LDAP-Bindungen oder einfache LDAP-Bindungen über eine Nicht-SSL/TLS-Verbindung ablehnt, protokolliert der Verzeichnisserver einmal alle 24 Stunden eine Zusammenfassung mit der Ereignis-ID 2888, wenn solche Bindungsversuche auftreten.

Konfiguration des Verzeichnisses so, dass eine LDAP-Server-Signatur für AD DS erforderlich ist

Informationen zu den möglichen Auswirkungen einer Änderung der Sicherheitseinstellungen finden Sie unter Probleme bei Clients, Diensten und Programmen können auftreten, wenn Sie die Sicherheitseinstellungen und die Zuweisung von Benutzerrechten ändern.

Verwenden von Gruppenrichtlinien

Festlegen der Signaturanforderung für LDAP-Server

  1. Wählen Sie Start>Ausführen, geben Sie mmc.exe ein, und klicken Sie dann auf OK.
  2. Wählen Sie Datei>Snap-In hinzufügen/entfernen, Gruppenrichtlinienverwaltungs-Editor und dann Hinzufügen aus.
  3. Wählen Sie Gruppenrichtlinienobjekt>Durchsuchen aus.
  4. Wählen Sie im Dialogfeld Durchsuchen nach einem Gruppenrichtlinienobjekt unter dem Bereich Domänen, OUs und verknüpfte Gruppenrichtlinienobjekte die Option Standarddomänencontrollerrichtlinie aus, und wählen Sie dann OK.
  5. Wählen Sie Fertig stellen aus.
  6. Wählen Sie OK aus.
  7. Wählen Sie der Reihe nach Standarddomänencontrollerrichtlinie>Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien und dann Sicherheitsoptionen aus.
  8. Klicken Sie mit der rechten Maustaste auf Domänencontroller: Signaturanforderungen für LDAP-Server und wählen Sie dann Eigenschaften aus.
  9. Aktivieren Sie im Dialogfeld Domänencontroller: Eigenschaften der Signaturanforderungen für LDAP-ServerDiese Richtlinieneinstellungen definieren, wählen Sie Signatur erforderlich in der Liste Diese Richtlinieneinstellungen definieren und wählen Sie dann OK.
  10. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.

Festlegung der Client-LDAP-Signaturanforderungen mithilfe der lokalen Computerrichtlinie

  1. Wählen Sie Start>Ausführen, geben Sie mmc.exe ein, und klicken Sie dann auf OK.
  2. Wählen Sie Datei>Snap-Ins hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen.
  4. Wählen Sie Fertig stellen aus.
  5. Wählen Sie OK aus.
  6. Wählen Sie lokale Computerrichtlinie>Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  7. Klicken Sie mit der rechten Maustaste auf Netzwerksicherheit: Signaturanforderungen für LDAP-Clients, und wählen Sie Eigenschaften aus.
  8. Wählen Sie im Dialogfeld Netzwerksicherheit: Signaturanforderungen für LDAP-Clients die Option Signierung erforderlich in der Liste aus, und klicken Sie auf OK.
  9. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.

Festlegen der Signaturanforderung für LDAP-Clients durch ein Gruppenrichtlinienobjekt für Domänen

  1. Wählen Sie Start>Ausführen, geben Sie mmc.exe ein, und klicken Sie dann auf OK.
  2. Wählen Sie Datei>Snap-Ins hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf Gruppenrichtlinienobjekt-Editor und dann auf Hinzufügen.
  4. Klicken Sie auf Durchsuchen, und wählen Sie dann Standarddomänenrichtlinie (oder das Gruppenrichtlinienobjekt, für das Sie Signaturen für LDAP-Clients aktivieren möchten) aus.
  5. Wählen Sie OK aus.
  6. Wählen Sie Fertig stellen aus.
  7. Wählen Sie Schließen aus.
  8. Wählen Sie OK aus.
  9. Wählen Sie nacheinander Standarddomänenrichtlinie>Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  10. Wählen Sie im Dialogfeld Netzwerksicherheit: Signaturanforderungen für LDAP-Clients die Option Signierung erforderlich in der Liste aus, und klicken Sie auf OK.
  11. Klicken Sie im Dialogfeld Einstellungsänderung bestätigen auf Ja.

Festlegen der Signaturanforderung für LDAP-Clients mithilfe von Registrierungsschlüsseln

Wichtig

Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.

Für Active Directory Lightweight Directory Services (AD LDS) ist der Registrierungsschlüssel standardmäßig nicht verfügbar. Daher müssen Sie unter dem folgenden Registrierungsunterschlüssel den Registrierungseintrag LDAPServerIntegrity mit dem Typ „REG_DWORD“ erstellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Hinweis

Der Platzhalter <InstanceName> steht dabei für den Namen der AD LDS-Instanz, die Sie ändern möchten.

Der Registrierungseintrag hat folgende mögliche Werte:

  • 0: Signieren ist deaktiviert.
  • 2: Signieren ist aktiviert.

Wenn Sie diesen Wert ändern, wird der neue Wert sofort übernommen. Sie müssen den Computer nicht neu starten.

Überprüfen von Konfigurationsänderungen

  1. Melden Sie sich bei einem Computer an, auf dem die AD DS-Admin-Tools installiert sind.

  2. Wählen Sie Start>Ausführen, geben Sie ldp.exe ein, und klicken Sie dann auf OK.

  3. Wählen Sie Verbindung>Verbinden.

  4. Geben Sie in die Felder Server und Port den Servernamen und den Nicht-SSL/TLS-Port Ihres Verzeichnisservers ein, und klicken Sie dann auf OK.

    Hinweis

    Für Active Directory-Domänencontroller gilt Port 389.

  5. Nachdem eine Verbindung hergestellt wurde, wählen Sie Verbindung>Binden.

  6. Wählen Sie unter Bindungstyp die Option Einfache Bindung aus.

  7. Geben Sie den Benutzernamen und das Kennwort ein, und klicken Sie auf OK.

    Wenn die folgende Fehlermeldung angezeigt wird, haben Sie den Verzeichnisserver erfolgreich konfiguriert:

    Ldap_simple_bind_s() fehlgeschlagen: Starke Authentifizierung erforderlich

Ereignisreferenz für LDAP-Signaturanforderungen

Ereignis-ID 2886

Nach dem Starten der DS-Dienste wird die Ereignis-ID 2886 protokolliert, um Administratoren daran zu erinnern, signierungsanforderungen zu aktivieren:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2886
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server. 
 
Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds. 
 
For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923. 
 
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Ereignis-ID 2887

Wenn ein Problemclient erkannt, aber zugelassen wird, wird ein Zusammenfassungsereignis (Ereignis-ID 2887) der letzten 24 Stunden protokolliert:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2887
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: <count of binds>

Ereignis-ID 2888

Wenn ein Problemclient abgelehnt wird, wird ein Zusammenfassungsereignis (Ereignis-ID 2888) der letzten 24 Stunden protokolliert:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2888
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is configured to reject such binds.  This is the recommended configuration setting, and significantly enhances the security of this server. For more details, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of such binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds rejected because they were performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds rejected because they were performed without signing: <count of binds>

Ereignis-ID 2889

Wenn ein Problemclient versucht, eine Verbindung herzustellen, wird die Ereignis-ID 2889 protokolliert:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2889
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a clear text (non-SSL/TLS-encrypted) LDAP connection. 
 
Client IP address:
<IP address>:<TCP port>
Identity the client attempted to authenticate as:
contoso\<username>
Binding Type:
0 – Simple Bind that does not support signing
1 – SASL Bind that does not use signing

References