Delen via

LDAP-aanmelding inschakelen in Windows Server

  • Artikel

In dit artikel wordt beschreven hoe u LDAP-aanmelding inschakelt in Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 en Windows 11.

Oorspronkelijk KB-nummer: 935834

Samenvatting

U kunt de beveiliging van een directoryserver aanzienlijk verbeteren door de server te configureren voor het weigeren van Simple Authentication and Security Layer (SASL) LDAP-bindingen waarvoor geen ondertekening (integriteitsverificatie) wordt verzocht, of om eenvoudige LDAP-bindingen te weigeren die worden uitgevoerd op een niet-SSL/TLS-versleutelde verbinding. SASL-bindingen kunnen protocollen bevatten zoals Negotiate, Kerberos, NTLM en Digest.

Niet-ondertekend netwerkverkeer is vatbaar voor replay-aanvallen. Bij dergelijke aanvallen onderschept een indringer de verificatiepoging en de uitgifte van een ticket. De indringer kan het ticket opnieuw gebruiken om de legitieme gebruiker te imiteren. Bovendien is niet-ondertekend netwerkverkeer vatbaar voor man-in-the-middle (MIM)-aanvallen waarbij een indringer pakketten tussen de client en de server vastlegt, de pakketten wijzigt en deze vervolgens doorstuurt naar de server. Als dit gebeurt op een LDAP-server, kan een aanvaller ervoor zorgen dat een server beslissingen neemt die zijn gebaseerd op vervalste aanvragen van de LDAP-client.

Clients detecteren die de optie Ondertekening vereisen niet gebruiken

Nadat u deze configuratiewijziging hebt aangebracht, werken clients die afhankelijk zijn van niet-ondertekende SASL-bindingen (Negotiate, Kerberos, NTLM of Digest) of eenvoudige LDAP-bindingen via een niet-SSL/TLS-verbinding niet meer. Om deze clients te helpen identificeren, registreert de directoryserver van Active Directory Domain Services (AD DS) of Lightweight Directory Server (LDS) elke 24 uur een samenvattingsgebeurtenis-id 2887 om aan te geven hoeveel dergelijke bindingen zijn opgetreden. We raden aan deze clients te configureren om dergelijke bindingen niet te gebruiken. Nadat dergelijke gebeurtenissen gedurende een langere periode niet zijn waargenomen, raden we u aan de server zo te configureren dat dergelijke bindingen worden geweigerd.

Als u meer informatie nodig hebt om dergelijke clients te identificeren, kunt u de directoryserver configureren om meer gedetailleerde logboeken op te geven. Met deze aanvullende logboekregistratie wordt een gebeurtenis-id 2889 geregistreerd wanneer een client probeert een niet-ondertekende LDAP-binding te maken. De logboekvermelding geeft het IP-adres van de client en de identiteit weer die de client heeft geprobeerd te gebruiken om te verifiëren. U kunt deze aanvullende logboekregistratie inschakelen door de diagnostische instelling 16 LDAP Interface-gebeurtenissen in te stellen op 2 (Basic). Zie Active Directory en logboekregistratie van diagnostische LDS-gebeurtenissen configureren voor meer informatie over het wijzigen van de diagnostische instellingen.

Als de directoryserver is geconfigureerd voor het weigeren van niet-ondertekende SASL LDAP-bindingen of eenvoudige LDAP-bindingen via een niet-SSL/TLS-verbinding, registreert de directoryserver een samenvattingsgebeurtenis-id 2888 één keer per 24 uur wanneer dergelijke bindingspogingen plaatsvinden.

De directory configureren om LDAP-serverondertekening voor AD DS te vereisen

Zie Client-, service- en programmaproblemen kunnen optreden als u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigt voor informatie over mogelijke gevolgen van het wijzigen van beveiligingsinstellingen.

Met behulp van Groepsbeleid

De vereiste voor LDAP-ondertekening van de server instellen

  1. Selecteer Start>Uitvoeren, typ mmc.exe en selecteer vervolgens OK.
  2. Selecteer Bestand>Module toevoegen/verwijderen, selecteer Groepsbeleid-beheereditor en selecteer vervolgens Toevoegen.
  3. Selecteer Groepsbeleid-object>Bladeren.
  4. Selecteer in het dialoogvenster Bladeren naar een groepsbeleid-object Het standaardbeleid voor domeincontrollers onder het gebied Domeinen, organisatie-eenheden en gekoppelde groepsbeleid-objecten en selecteer vervolgens OK.
  5. Selecteer Voltooien.
  6. Selecteer OK.
  7. Selecteer Standaardbeleid voor domeincontrollersComputerconfiguratie>Beleid>>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid en selecteer vervolgens Beveiligingsopties.
  8. Klik met de rechtermuisknop op Domeincontroller: vereisten voor LDAP-serverondertekening en selecteer vervolgens Eigenschappen.
  9. Schakel in het dialoogvenster Eigenschappen voor LDAP-serverondertekening de optie Deze beleidsinstelling definiëren in, selecteer Aanmelden vereisen in de lijst Deze beleidsinstellingen definiëren en selecteer vervolgens OK.
  10. Selecteer Ja in het dialoogvenster Instelling wijzigen bevestigen.

De client-LDAP-ondertekeningsvereiste instellen met behulp van lokaal computerbeleid

  1. Selecteer Start>Uitvoeren, typ mmc.exe en selecteer vervolgens OK.
  2. Selecteer Bestand>Module toevoegen/verwijderen.
  3. Selecteer in het dialoogvenster Modules toevoegen of verwijderen Groepsbeleid-objecteditor en selecteer vervolgens Toevoegen.
  4. Selecteer Voltooien.
  5. Selecteer OK.
  6. Selecteer Lokaal computerbeleid>Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid en selecteer vervolgens Beveiligingsopties.
  7. Klik met de rechtermuisknop op Netwerkbeveiliging: vereisten voor LDAP-clientondertekening en selecteer vervolgens Eigenschappen.
  8. Selecteer In het dialoogvenster Netwerkbeveiliging: eigenschappen van de LDAP-clientondertekeningsvereisten de optie Aanmelden vereisen in de lijst en selecteer vervolgens OK.
  9. Selecteer Ja in het dialoogvenster Instelling wijzigen bevestigen.

De client-LDAP-ondertekeningsvereiste instellen met behulp van een domein Groepsbeleid-object

  1. Selecteer Start>Uitvoeren, typ mmc.exe en selecteer vervolgens OK.
  2. Selecteer Bestand>Module toevoegen/verwijderen.
  3. Selecteer in het dialoogvenster Modules toevoegen of verwijderen Groepsbeleid-objecteditor en selecteer vervolgens Toevoegen.
  4. Selecteer Bladeren en selecteer vervolgens Standaarddomeinbeleid (of het Groepsbeleid-object waarvoor u client-LDAP-ondertekening wilt inschakelen).
  5. Selecteer OK.
  6. Selecteer Voltooien.
  7. Selecteer Sluiten.
  8. Selecteer OK.
  9. Selecteer Standaarddomeinbeleid>Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid en selecteer vervolgens Beveiligingsopties.
  10. Selecteer In het dialoogvenster Netwerkbeveiliging: eigenschappen van de LDAP-clientondertekeningsvereisten de optie Aanmelden vereisen in de lijst en selecteer vervolgens OK.
  11. Selecteer Ja in het dialoogvenster Instelling wijzigen bevestigen.

De client-LDAP-ondertekeningsvereiste instellen met behulp van registersleutels

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Maak een back-up van het register voor herstel in geval van problemen voordat u het wijzigt.

Voor Active Directory Lightweight Directory Services (AD LDS) is de registersleutel standaard niet beschikbaar. Daarom moet u een LDAPServerIntegrity registervermelding maken van het REG_DWORD type onder de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Notitie

De tijdelijke aanduiding <InstanceName> vertegenwoordigt de naam van het AD LDS-exemplaar dat u wilt wijzigen.

De registervermelding heeft de volgende mogelijke waarden:

  • 0: Ondertekening is uitgeschakeld.
  • 2: Ondertekening is ingeschakeld.

Wanneer u deze waarde wijzigt, wordt de nieuwe waarde onmiddellijk van kracht. U hoeft de computer niet opnieuw op te starten.

Configuratiewijzigingen controleren

  1. Meld u aan bij een computer waarop de AD DS Beheerhulpprogramma's zijn geïnstalleerd.

  2. Selecteer Start>Uitvoeren, typ ldp.exe en selecteer vervolgens OK.

  3. Selecteer Verbinding>Verbinden.

  4. Typ in Server en Poort de servernaam en de niet-SSL/TLS-poort van uw directoryserver en selecteer vervolgens OK.

    Notitie

    Voor een Active Directory-domeincontroller is de toepasselijke poort 389.

  5. Nadat een verbinding tot stand is gebracht, selecteert u Verbinding>Binding.

  6. Selecteer onder Bindtype de optie Eenvoudige binding.

  7. Voer uw gebruikersnaam en wachtwoord in en selecteer OK.

    Als u het volgende foutbericht ontvangt, heeft u directoryserver succesvol geconfigureerd:

    Ldap_simple_bind_s() mislukt: sterke verificatie vereist

Naslaginformatie over gebeurtenissen voor LDAP-ondertekeningsvereisten

Gebeurtenis-id 2886

Na het starten van DS-services wordt gebeurtenis-id 2886 geregistreerd om beheerders eraan te herinneren dat ze ondertekeningsvereisten moeten inschakelen:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2886
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server. 
 
Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds. 
 
For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923. 
 
You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Gebeurtenis-id 2887

Wanneer een probleemclient wordt gedetecteerd, maar is toegestaan, wordt een samenvattingsgebeurtenis (gebeurtenis-id 2887) van de afgelopen 24 uur vastgelegd:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2887
Task Category: LDAP Interface
Level:         Warning
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: <count of binds>

Gebeurtenis-id 2888

Wanneer een probleemclient wordt geweigerd, wordt een samenvattingsgebeurtenis (gebeurtenis-id 2888) van de afgelopen 24 uur vastgelegd:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2888
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a clear text (non-SSL/TLS-encrypted) connection

This directory server is configured to reject such binds.  This is the recommended configuration setting, and significantly enhances the security of this server. For more details, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of such binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds rejected because they were performed without SSL/TLS: <count of binds>
Number of Negotiate/Kerberos/NTLM/Digest binds rejected because they were performed without signing: <count of binds>

Gebeurtenis-id 2889

Wanneer een probleemclient verbinding probeert te maken, wordt gebeurtenis-id 2889 geregistreerd:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Event ID:      2889
Task Category: LDAP Interface
Level:         Information
Keywords:      Classic
Description:
The following client performed a SASL (Negotiate/Kerberos/NTLM/Digest) LDAP bind without requesting signing (integrity verification), or performed a simple bind over a clear text (non-SSL/TLS-encrypted) LDAP connection. 
 
Client IP address:
<IP address>:<TCP port>
Identity the client attempted to authenticate as:
contoso\<username>
Binding Type:
0 – SASL Bind that does not use signing
1 – Simple Bind that does not support signing

Verwijzingen