LDAP potpisivanje^{(LDAP signing)} je metoda provjere autentičnosti u Windows Serveru^{(Windows Server)} koja može poboljšati sigurnost poslužitelja direktorija. Nakon što je omogućen, odbit će svaki zahtjev koji ne traži potpisivanje ili ako zahtjev ne koristi SSL/TLS šifriranje. U ovom ćemo postu podijeliti kako možete omogućiti LDAP potpisivanje na Windows Server i klijentskim strojevima. LDAP je skraćenica od   Lightweight Directory Access Protocol (LDAP).

Kako omogućiti LDAP potpisivanje na Windows računalima

Kako bi bili sigurni da napadač ne koristi krivotvoreni LDAP klijent za promjenu konfiguracije poslužitelja i podataka, bitno je omogućiti LDAP potpisivanje. Jednako ga je važno omogućiti na klijentskim strojevima.

1. Postavite zahtjev za ^(Set)LDAP potpisivanje poslužitelja
2. Postavite zahtjev za potpisivanje ^(Set)LDAP klijenta pomoću politike lokalnog računala^(Local)
3. Postavite^(Set) zahtjev za potpisivanje LDAP klijenta korištenjem Objekta politike grupe domene^{(Domain Group Policy Object)}
4. Postavite zahtjev za potpisivanje ^(Set)LDAP klijenta pomoću ključeva registra^(Registry)
5. Kako provjeriti promjene konfiguracije
6. Kako pronaći klijente koji ne koriste opciju " Zahtijevaj^(Require) potpisivanje" .

Posljednji odjeljak pomaže vam da shvatite klijente koji nemaju omogućenu opciju Zahtijevaj potpisivanje^{(do not have Require signing enabled)} na računalu. To je koristan alat za IT administratore da izoliraju ta računala i omoguće sigurnosne postavke na računalima.

1] Postavite zahtjev za ^(Set)LDAP potpisivanje poslužitelja

1. Otvorite Microsoftovu upravljačku konzolu^{(Microsoft Management Console)} (mmc.exe)
2. Odaberite File >  Add /Remove Snap-in > odaberite  Group Policy Object Editor , a zatim odaberite  Add .
3. Otvorit će se čarobnjak za grupna pravila^{(Group Policy Wizard)} . Kliknite^(Click) na gumb Pregledaj^(Browse) i odaberite  Default Domain Policy umjesto Lokalno računalo
4. Kliknite^(Click) gumb U redu, a zatim gumb Završi^(Finish) i zatvorite ga.
5. Odaberite  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , a zatim odaberite Sigurnosne opcije.
6. Desnom tipkom miša kliknite  Kontroler domene: zahtjevi za potpisivanje LDAP poslužitelja^{(Domain controller: LDAP server signing requirements)} , a zatim odaberite Svojstva.
7. U  dijaloškom okviru Svojstva^(Properties) kontroler domene : Zahtjevi za potpisivanje ^(Domain)LDAP poslužitelja  omogućite  Definiraj^(Define) ovu postavku politike, odaberite  Zahtijevaj potpisivanje na popisu Definiraj ovu postavku politike,^{(Require signing in the Define this policy setting list,)} a zatim odaberite U redu.
8. Ponovno provjerite postavke i primijenite ih.

2] Postavite zahtjev za potpisivanje ^(Set)LDAP klijenta pomoću politike lokalnog računala

1. Otvorite Run prompt i upišite gpedit.msc i pritisnite tipku Enter .
2. U uređivaču grupnih pravila idite na Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , a zatim odaberite  Sigurnosne opcije.^{(Security Options.)}
3. Desnom tipkom miša kliknite Mrežna sigurnost: zahtjevi za potpisivanje LDAP klijenta^{(Network security: LDAP client signing requirements)} , a zatim odaberite Svojstva.
4. U  dijaloškom okviru Svojstva ^(Properties)Mrežna^(Network) sigurnost: Zahtjevi za potpisivanje LDAP klijenta  odaberite  Zahtijevaj potpisivanje^{(Require signing)} na popisu, a zatim odaberite U redu.
5. Potvrdite promjene i primijenite ih.

3] Postavite^(Set) zahtjev za potpisivanje LDAP klijenta korištenjem objekta grupne politike domene^{(Group Policy Object)}

1. Otvorite Microsoftovu upravljačku konzolu (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Odaberite  File  >  Add/Remove Snap-in >  odaberite  Group Policy Object Editor , a zatim odaberite  Add .
3. Otvorit će se čarobnjak za grupna pravila^{(Group Policy Wizard)} . Kliknite^(Click) na gumb Pregledaj^(Browse) i odaberite  Default Domain Policy umjesto Lokalno računalo
4. Kliknite^(Click) gumb U redu, a zatim gumb Završi^(Finish) i zatvorite ga.
5. Odaberite  Zadana pravila domene^{(Default Domain Policy)}  >  Konfiguracija računala^{(Computer Configuration)}  >  Postavke sustava Windows^{(Windows Settings)}  >  Sigurnosne postavke^{(Security Settings)}  >  Lokalna pravila^{(Local Policies)} , a zatim odaberite  Sigurnosne opcije^{(Security Options)} .
6. U  dijaloškom okviru Svojstva Mrežna sigurnost: Zahtjevi za potpisivanje LDAP klijenta ^{(Network security: LDAP client signing requirements Properties )} odaberite  Zahtijevaj potpisivanje ^{(Require signing )} na popisu, a zatim odaberite  U redu^(OK) .
7. Potvrdite^(Confirm) promjene i primijenite postavke.

4] Postavite zahtjev za potpisivanje ^(Set)LDAP klijenta pomoću ključeva registra

Prva i glavna stvar koju trebate učiniti je napraviti sigurnosnu kopiju vašeg registra

• Otvorite uređivač registra
• Idite na HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Desnom tipkom miša kliknite^{(Right-click)} desno okno i stvorite novi DWORD s imenom LDAPServerIntegrity
• Ostavite na zadanu vrijednost.

<InstanceName >: Naziv AD LDS instance koju želite promijeniti.

5] Kako^(How) provjeriti zahtijevaju li promjene konfiguracije sada prijavu

Kako biste bili sigurni da sigurnosna politika radi, evo kako provjeriti njezin integritet.

1. Prijavite se na računalo na kojem su instalirani AD DS Admin Tools .
2. Otvorite Run prompt, upišite ldp.exe i pritisnite tipku Enter . To je korisničko sučelje koje se koristi za navigaciju kroz imenski prostor Active Directory
3. Odaberite Veza > Povezivanje.
4. U  Poslužitelj^(Server)  i  priključak^(Port) upišite naziv poslužitelja i port koji nije SSL/TLS poslužitelja imenika, a zatim odaberite U redu.
5. Nakon što se veza uspostavi, odaberite Veza > Vezati.
6. U  odjeljku^(Bind) Vrsta povezivanja odaberite  Jednostavna veza.^(Simple)
7. Upišite korisničko ime i lozinku, a zatim odaberite U redu.

Ako dobijete poruku o pogrešci koja kaže da  Ldap_simple_bind_s() nije uspio: potrebna je jaka provjera autentičnosti^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} , tada ste uspješno konfigurirali svoj poslužitelj direktorija.

6] Kako^(How) pronaći klijente koji ne koriste opciju “ Zahtijevaj^(Require) potpisivanje” .

Svaki put kada se klijentski stroj poveže s poslužiteljem pomoću nesigurnog protokola povezivanja, generira ID događaja 2889^{(Event ID 2889)} . Unos zapisnika će također sadržavati IP adrese klijenata. Morat ćete to omogućiti postavljanjem  dijagnostičke postavke  16  događaja LDAP sučelja na ^{(LDAP Interface Events)}2 (Osnovno). ^{(2 (Basic). )}Saznajte kako konfigurirati AD i LDS dijagnostičke zapise događaja ovdje u Microsoftu^{(here at Microsoft)} .

LDAP potpisivanje^{(LDAP Signing)} je ključno i nadam se da vam je moglo pomoći da jasno shvatite kako možete omogućiti LDAP potpisivanje u Windows Serveru^{(Windows Server)} i na klijentskim strojevima.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Konfigurirajte zaključavanje računa klijenta za daljinski pristup u Windows Serveru

• Onemogućite administrativna dijeljenja s Windows Servera

• Iperius Backup je besplatni softver za sigurnosno kopiranje za Windows Server

• Kako komprimirati napuhane košnice registra u Windows Serveru

• Kako omogućiti i konfigurirati starenje i čišćenje DNS-a u Windows Serveru

• Najbolji besplatni FTP klijent softver za Windows 10 PC

• Instalirajte Remote Server Administration Tools (RSAT) na Windows 10

• Sigurnosno kopirajte VMware virtualne strojeve s Azure Backup Server

• Sinkronizirajte Windows 10 sat s internetskim poslužiteljem vremena

• Popravi Omegle pogrešku pri povezivanju s poslužiteljem (2022)

• Vaš DNS poslužitelj možda nije dostupan u sustavu Windows 11/10

• DHCP Client Service daje pogrešku Pristup odbijen u sustavu Windows 11/10

• Usluga Windows Camera Frame Server neočekivano je prekinuta

• RSAT-u nedostaju alati DNS poslužitelja u sustavu Windows 10

• Kako promijeniti DNS poslužitelj na Windows 11

• Daljinski pristup računalu sa sustavom Windows XP ili Windows Server 2003

• Usluga klijenta grupnih pravila nije uspjela pri prijavi u sustav Windows 11/10

• Kako konfigurirati globalne postavke proxy poslužitelja u sustavu Windows 10

• Popravak Ne može doći do pogreške VPN poslužitelja na PIA-i u sustavu Windows 11

• Kako napustiti Discord server (2022.)