ЛДАП потписивање^{(LDAP signing)} је метод провјере аутентичности у Виндовс Серверу^{(Windows Server)} који може побољшати сигурност сервера директорија. Једном када се омогући, одбациће сваки захтев који не тражи потписивање или ако захтев користи не-ССЛ/ТЛС шифровање. У овом посту ћемо поделити како можете да омогућите ЛДАП^(LDAP) потписивање на Виндовс Сервер^{(Windows Server)} и клијентским машинама. ЛДАП^(LDAP) је скраћеница од   Лигхтвеигхт Дирецтори Аццесс Протоцол^{(Lightweight Directory Access Protocol)} (ЛДАП).

Како омогућити ЛДАП^(LDAP) потписивање на Виндовс^(Windows) рачунарима

Да би се уверио да нападач не користи фалсификовани ЛДАП^(LDAP) клијент да промени конфигурацију сервера и податке, неопходно је омогућити ЛДАП^(LDAP) потписивање. Подједнако је важно то омогућити на клијентским машинама.

1. Поставите захтев за ^(Set)ЛДАП^(LDAP) потписивање сервера
2. Подесите захтев за ^(Set)ЛДАП^(LDAP) потписивање клијента користећи смернице локалног^(Local) рачунара
3. Подесите захтев за потписивање ^(Set)ЛДАП^(LDAP) клијента користећи објекат смерница групе домена^{(Domain Group Policy Object)}
4. Поставите захтев за ^(Set)ЛДАП^(LDAP) потписивање клијента помоћу кључева регистратора^(Registry)
5. Како проверити промене конфигурације
6. Како пронаћи клијенте који не користе опцију „ Захтевај^(Require) потписивање“ .

Последњи одељак вам помаже да откријете клијенте који немају омогућено Захтевај потписивање^{(do not have Require signing enabled)} на рачунару. То је корисна алатка за ИТ администраторе да изолују те рачунаре и омогуће безбедносна подешавања на рачунарима.

1] Поставите захтев за ^(Set)ЛДАП^(LDAP) потписивање сервера

1. Отворите Мицрософт Манагемент Цонсоле^{(Microsoft Management Console)} (ммц.еке)
2. Изаберите Филе >  Адд^(Add) /Ремове Снап-ин > изаберите  Гроуп Полици Објецт Едитор^{(Group Policy Object Editor)} , а затим изаберите  Адд^(Add) .
3. Отвориће чаробњак за групне политике^{(Group Policy Wizard)} . Кликните^(Click) на дугме Прегледај^(Browse) и изаберите  Подразумевана политика домена^{(Default Domain Policy)} уместо Локални рачунар
4. Кликните^(Click) на дугме ОК, а затим на дугме Заврши^(Finish) и затворите га.
5. Изаберите  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , а затим изаберите Безбедносне опције.
6. Кликните десним тастером миша на  Контролер домена: Захтеви за потписивање ЛДАП сервера^{(Domain controller: LDAP server signing requirements)} , а затим изаберите Својства.
7. У  дијалогу Својства^(Properties) контролер домена^(Domain) : Захтеви за потписивање ЛДАП^(LDAP) сервера  омогућите  Дефинишите^(Define) ову поставку политике, изаберите  Захтевај потписивање на листи Дефинишите ову поставку политике,^{(Require signing in the Define this policy setting list,)} а затим изаберите ОК.
8. Поново проверите подешавања и примените их.

2] Подесите захтев за потписивање ^(Set)ЛДАП^(LDAP) клијента помоћу политике локалног рачунара

1. Отворите позив за покретање^(Run) и откуцајте гпедит.мсц и притисните тастер Ентер^(Enter) .
2. У уређивачу групних смерница идите на Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , а затим изаберите  Безбедносне опције.^{(Security Options.)}
3. Кликните десним тастером миша на Мрежна безбедност: Захтеви за потписивање ЛДАП клијента^{(Network security: LDAP client signing requirements)} , а затим изаберите Својства.
4. У  дијалогу Мрежна^(Network) безбедност: Захтеви за потписивање ЛДАП^(LDAP) клијента Својства^(Properties)  изаберите  Захтевај потписивање^{(Require signing)} на листи, а затим изаберите ОК.
5. Потврдите промене и примените их.

3] Подесите^(Set) захтев за потписивање ЛДАП^(LDAP) клијента коришћењем објекта групне политике домена^{(Group Policy Object)}

1. Отворите Мицрософт Манагемент Цонсоле (ммц.еке)^{(Open Microsoft Management Console (mmc.exe))}
2. Изаберите  Филе^(File)  >  Add/Remove Snap-in >  изаберите  Гроуп Полици Објецт Едитор^{(Group Policy Object Editor)} , а затим изаберите  Адд^(Add) .
3. Отвориће чаробњак за групне политике^{(Group Policy Wizard)} . Кликните^(Click) на дугме Прегледај^(Browse) и изаберите  Подразумевана политика домена^{(Default Domain Policy)} уместо Локални рачунар
4. Кликните^(Click) на дугме ОК, а затим на дугме Заврши^(Finish) и затворите га.
5. Изаберите  Подразумеване смернице домена^{(Default Domain Policy)}  >  Конфигурација рачунара^{(Computer Configuration)}  >  Виндовс подешавања^{(Windows Settings)}  >  Безбедносне поставке^{(Security Settings)}  >  Локалне смернице^{(Local Policies)} , а затим изаберите  Безбедносне опције^{(Security Options)} .
6. У  дијалогу Мрежна безбедност: Захтеви за потписивање ЛДАП клијента Својства ^{(Network security: LDAP client signing requirements Properties )} изаберите  Захтевај потписивање ^{(Require signing )} на листи, а затим изаберите  ОК^(OK) .
7. Потврдите^(Confirm) промене и примените подешавања.

4] Подесите захтев за потписивање ^(Set)ЛДАП^(LDAP) клијента помоћу кључева регистратора

Прва и најважнија ствар коју треба да урадите је да направите резервну копију свог регистра

• Отворите уређивач регистра
• Идите на HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Кликните десним тастером миша^{(Right-click)} на десно окно и креирајте нови ДВОРД^(DWORD) са именом ЛДАПСерверИнтегрити^{(LDAPServerIntegrity)}
• Оставите је на подразумевану вредност.

<InstanceName >: Име АД ЛДС^{(AD LDS)} инстанце коју желите да промените.

5] Како^(How) проверити да ли промене конфигурације сада захтевају пријаву

Да бисте били сигурни да безбедносна политика функционише, ево како да проверите њен интегритет.

1. Пријавите се на рачунар на коме су инсталиране АД ДС Админ Тоолс .^{(AD DS Admin Tools)}
2. Отворите позив за покретање^(Run) и откуцајте лдп.еке и притисните тастер Ентер^(Enter) . То је кориснички интерфејс који се користи за навигацију кроз именски простор Ацтиве Дирецтори^{(Active Directory)}
3. Изаберите Веза > Повежи.
4. У  Сервер^(Server)  и  порт^(Port) откуцајте име сервера и порт који није ССЛ/ТЛС сервера директоријума, а затим изаберите ОК.
5. Када се веза успостави, изаберите Веза > Веза.
6. У оквиру  Тип^(Bind) повезивања изаберите  Једноставно^(Simple) повезивање.
7. Унесите корисничко име и лозинку, а затим изаберите ОК.

Ако добијете поруку о грешци која каже да  Лдап_симпле_бинд_с() није успео: потребна је јака аутентификација^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , онда сте успешно конфигурисали сервер директоријума.

6] Како^(How) пронаћи клијенте који не користе опцију „ Захтевај^(Require) потписивање“ .

Сваки пут када се клијентска машина повеже са сервером користећи небезбедни протокол везе, генерише ИД догађаја 2889^{(Event ID 2889)} . Унос дневника ће такође садржати ИП адресе клијената. Ово ћете морати да омогућите постављањем  дијагностичке поставке  16  ЛДАП Интерфаце Евентс на ^{(LDAP Interface Events)}2 (Основно). ^{(2 (Basic). )}Сазнајте како да конфигуришете АД и ЛДС^(LDS) дијагностичко евидентирање догађаја овде у Мицрософт^{(here at Microsoft)} -у .

ЛДАП потписивање^{(LDAP Signing)} је кључно и надам се да вам је могло помоћи да јасно разумете како можете да омогућите ЛДАП^(LDAP) потписивање у Виндовс Сервер^{(Windows Server)} -у и на клијентским машинама.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Конфигуришите закључавање налога клијента за даљински приступ у Виндовс Серверу

• Онемогућите административна дељења са Виндовс сервера

• Ипериус Бацкуп је бесплатан софтвер за прављење резервних копија за Виндовс Сервер

• Како компримовати надувене кошнице регистра у Виндовс Серверу

• Како омогућити и конфигурисати старење и чишћење ДНС-а у Виндовс серверу

• Виндовс Упдате клијент није успео да открије са грешком 0к8024001ф

• Поправи Омегле грешку при повезивању са сервером (2022)

• Решите проблеме са мрежним повезивањем Виндовс сервера преко ПоверСхелл-а

• РСАТ-у недостају алати ДНС сервера у оперативном систему Виндовс 10

• Поправка Не могу да дођем до грешке ВПН сервера на ПИА на Виндовс 11

• Публиц ДНС Сервер Тоол је бесплатан ДНС мењач за Виндовс 10

• Користите командну линију Вссадмин за управљање ВСС-ом у оперативном систему Виндовс 11/10

• Поправи грешку сервера није пронађен у Фирефок-у

• Поправите шифру грешке Виндовс Сервер Упдате Сервицес 0к80072ЕЕ6

• Како подесити ФТП сервер у Виндовс-у користећи ИИС

• Како аутоматизовати резервну копију Виндовс Сервера на Амазон С3

• Најбољи бесплатни софтвер за ФТП клијент за Виндовс 10 рачунар

• Поправи сајт није могуће приступити, ИП сервера није могуће пронаћи

• Услуга клијента групних смерница није успела да се пријави у Виндовс 11/10

• Како да креирате јавни ВПН сервер на Виндовс 10