Windows Server'da LDAP İmzalamayı Etkinleştir

Nisan ayında güncellendi 2024: Optimizasyon aracımızla hata mesajları almayı bırakın ve sisteminizi yavaşlatın. şimdi al Bu bağlantıyı

1. Indirin ve yükleyin onarım aracı burada.
2. Bilgisayarınızı taramasına izin verin.
3. Araç daha sonra Bilgisayarını tamir et.

Basit Dizin Erişim Protokolü (LDAP), dizin hizmetlerini korumak için Windows Server Active Directory (AD) tarafından kullanılan standart bir uygulama protokolüdür. İstemci cihazlar ve uygulamalar, LDAP "bağlama" işlemlerini kullanarak AD'nin kimliğini doğrular. Basit LDAP bağlama, kullanıcı kimlik bilgilerinin ağ üzerinden düz metin olarak gönderilmesini içerir. Bu, kullanıcı adı ve şifresinin şifrelenmediği anlamına gelir. DA basit bağlamayı desteklese de, önerilen bir yaklaşım değildir.

Basit LDAP bağları kullanan uygulamalar, bunun yerine karakterleri ve mühürleri (doğrulama / bütünlük ve şifreleme) destekleyen Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) bağlamaları kullanacak şekilde yükseltilmelidir. Yükseltilemeyen uygulamalar, bazen LDAPS olarak adlandırılan TLS üzerinden LDAP kullanabilir, ancak uygulama ve bakım daha karmaşıktır.

İyi haber şu ki, şu anda desteklenen tüm Windows sürümleri varsayılan olarak imzalı LDAP bağlantılarıyla görüşüyor. Ancak Active Directory, LDAP imzası "gerekli" olarak ayarlanmadıkça basit LDAP bağlantılarını kabul eder. Bir etki alanında LDAP "gerekli" olarak ayarlanmışsa, basit LDAP bağlantıları başarısız olur. Bu nedenle, basit LDAP bağlamalarının kullanılmadığından emin olmak istiyorsanız, AD'yi LDAP imzası gerektirecek şekilde yapılandırmanız gerekir. Herhangi bir güvenlik değişikliğinde olduğu gibi, bir etki alanının LDAP imzalaması kullanmasına izin vermeden önce, basit LDAP bağlamalarına dayanan uygulamalarınız olmadığından emin olmak için kapsamlı bir test gerçekleştirmelisiniz.

LDAP İmza Düzeyleri

SASL'nin Active Directory'de veri imzalamak için kullanabileceği üç düzey vardır

• Gerekli değil (seviye 0)
• İki tarafın da yetenekli olup olmadığını imzalayın (seviye 1)
• Her zaman imzala (seviye 2)

Bir etki alanı denetleyicisinde, gerekli imza düzeyi, kayıt defteri anahtarındaki LdapServerIntegrity (REG_DWORD) değeri altında HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ parametresinde tanımlanır. Değer, Etki Alanı Denetleyicisi: Ldap Sunucusu İmza Gereksinimleri altındaki Bilgisayar Yapılandırması \ Windows Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri altındaki Grup İlkesi tarafından geçersiz kılınabilir.

Microsoft, yöneticilerin LdapServerIntegrity değerini 190023'den 1'ye yükselterek ADV2'te açıklanan sertleştirme değişikliklerini yapmasını önerir.

müşteri

İstemci imza düzeyi, HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP kayıt defteri anahtarında LdapClientIntegrity değeri altında tanımlanır. Değer, Ağ Güvenliği: LDAP İstemcisi İmzalama Gereksinimleri altındaki Bilgisayar Yapılandırması \ Windows Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri altındaki grup ilkesi kullanılarak değiştirilebilir.

Windows 7'ye (Service Pack 1) LDAP imzalama desteği eklendi ve Windows Server 2008 R2. Hem istemci hem de sunucu bunu destekliyorsa ve 1 veya daha büyük bir değere sahipse, müzakere edecek ve kullanacaklardır.

Bazı eski PowerShell veya Visual Basic komut dosyaları, komut dosyası LDAP imzası istemiyorsa düz metin kimlik bilgileriyle bir LDAP bağlantısı açmaya çalışabilir. Bkz. DC'lerinize düz metin LDAP bağlantılarını belirleme.

Grup İlkesi Kullanarak LDAP İmzalamayı Etkinleştirme

LDAP sunucusu imza gereksinimi nasıl belirtilir

• Başlat> Çalıştır'ı seçin, mmc.exe yazın ve Tamam'ı seçin.
• Dosya> Anlık Görüntü Ekle / Kaldır'ı, Grup İlkesi Yönetimi Düzenleyicisi'ni ve Ekle'yi seçin.
• Grup İlkesi Nesnesi Seç> Gözat'ı seçin.
• Grup İlkesi Nesnesi Bul iletişim kutusunda, Etki Alanları, VEYA ve İlgili Grup İlkesi Nesneleri alanında Varsayılan Etki Alanı Denetleyicisi İlkesi'ni ve Tamam'ı seçin.
• Son'u seçin.
• Tamam seçeneğini seçin.
• Varsayılan Etki Alanı Denetleyicisi İlkesi> Bilgisayar Yapılandırması> İlkeler> Windows Ayarları> Güvenlik Ayarları> Yerel İlkeler'i ve Güvenlik Seçenekleri'ni seçin.
• Etki Alanı Denetleyicisi: LDAP Sunucusu İmza Gereksinimleri'ne sağ tıklayın ve Özellikler'i seçin.
• Etki Alanı Denetleyicisi: LDAP Sunucusu İmza Gereksinimleri özelliklerinde, bu ilke ayarını etkinleştirin, Bu ilke tanımını belirle listesinden İmza gereksinimleri'ni seçin ve Tamam'ı seçin.
• Ayarları Değiştirmeyi Onayla iletişim kutusunda Evet'i seçin.

Müşterinin LDAP imza isteğini Yerel Grup İlkesi kullanarak tanımlamak için

Başlat> Çalıştır'ı seçin, mmc.exe yazın ve Tamam'ı seçin.
Dosya> Anlık Görüntü Ekle / Kaldır'ı seçin.
Anlık Görüntü Ekle veya Kaldır iletişim kutusunda, Grup İlkesi Nesne Düzenleyicisi'ni ve sonra Ekle'yi seçin.
Son'u seçin.
Tamam'ı seçin.
Yerel Bilgisayar İlkesi> Bilgisayar Yapılandırması> İlkeler> Windows Ayarları> Güvenlik Ayarları> Yerel İlkeler'i seçin ve Güvenlik Seçenekleri'ni seçin.
Ağ güvenliği: LDAP istemcisi imzalama gereksinimleri'ni sağ tıklatın ve Özellikler'i seçin.
Ağ Güvenliği: LDAP İstemcisi İmza Gereksinimleri Özellikleri altında, listeden İmza Gereksinimleri'ni ve Tamam'ı seçin.
Ayarları Değiştirmeyi Onayla iletişim kutusunda Evet'i seçin.

https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server

Uzman İpucu: Bu onarım aracı, depoları tarar ve bu yöntemlerden hiçbiri işe yaramadıysa, bozuk veya eksik dosyaları değiştirir. Sorunun sistem bozulmasından kaynaklandığı çoğu durumda iyi çalışır. Bu araç, performansı en üst düzeye çıkarmak için sisteminizi de optimize eder. tarafından indirilebilir Burayı tıklatarak