نحوه فعال کردن امضای LDAP در Windows Server & Client Machines
امضای LDAP(LDAP signing) یک روش احراز هویت در سرور ویندوز(Windows Server) است که می تواند امنیت سرور دایرکتوری را بهبود بخشد. پس از فعال شدن، هر درخواستی را که درخواست امضا نداشته باشد یا در صورتی که درخواست از رمزگذاری نشده SSL/TLS استفاده میکند، رد میکند. در این پست، نحوه فعال کردن امضای LDAP را در (LDAP)ویندوز سرور(Windows Server) و ماشین های کلاینت به اشتراک خواهیم گذاشت. LDAP مخفف Lightweight Directory Access Protocol (LDAP) است.
نحوه فعال کردن ثبت نام LDAP در رایانه های ویندوزی(Windows)
برای اطمینان از اینکه مهاجم از کلاینت LDAP جعلی برای تغییر پیکربندی سرور و داده ها استفاده نمی کند، فعال کردن امضای LDAP ضروری است. (LDAP)به همان اندازه مهم است که آن را در ماشین های مشتری فعال کنید.
- (Set)شرط امضای LDAP سرور را تنظیم کنید
- (Set)با استفاده از خط مشی رایانه محلی(Local) ، الزامات امضای LDAP مشتری را تنظیم کنید
- (Set)با استفاده از Domain Group Policy Object(Domain Group Policy Object) الزامات امضای LDAP مشتری را تنظیم کنید
- (Set)با استفاده از کلیدهای رجیستری(Registry) ، الزامات امضای LDAP مشتری را تنظیم کنید
- نحوه تأیید تغییرات پیکربندی
- چگونه مشتریانی را پیدا کنیم که از گزینه " نیاز(Require) به امضا" استفاده نمی کنند
بخش آخر به شما کمک میکند تا مشتریانی را که Require signing را(do not have Require signing enabled) در رایانه فعال نکردهاند، کشف کنید. این یک ابزار مفید برای مدیران فناوری اطلاعات است تا آن رایانه ها را ایزوله کنند و تنظیمات امنیتی را در رایانه ها فعال کنند.
1] شرط امضای LDAP سرور را تنظیم کنید(Set)
- باز کردن کنسول مدیریت مایکروسافت(Microsoft Management Console) (mmc.exe)
- File > Add /Remove Snap-in را انتخاب کنید > Group Policy Object Editor را انتخاب کنید و سپس Add را انتخاب کنید .
- ویزارد Group Policy(Group Policy Wizard) را باز می کند . روی(Click) دکمه Browse کلیک کنید و به جای Local Computer گزینه Default Domain Policy را انتخاب کنید(Default Domain Policy)
- بر روی(Click) دکمه OK و سپس بر روی دکمه Finish کلیک کرده و آن را ببندید.
- Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies را انتخاب کنید و سپس Security Options را انتخاب کنید.
- روی Domain controller: LDAP server signing requirements(Domain controller: LDAP server signing requirements) کلیک راست کنید و سپس Properties را انتخاب کنید.
- در کادر محاوره ای Domain controller: LDAP signing server requires Properties ، Define this policy setting را فعال کنید، Require signing را در لیست Define this policy setting را(Require signing in the Define this policy setting list,) انتخاب کنید و سپس OK را انتخاب کنید.
- تنظیمات را دوباره بررسی کنید و آنها را اعمال کنید.
2] با استفاده از خط مشی رایانه محلی، الزامات امضای LDAP مشتری را تنظیم کنید(Set)
- Run prompt را باز کنید و gpedit.msc را تایپ کنید و کلید Enter را فشار دهید .
- در ویرایشگر خط مشی گروه، به Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies و سپس Security Options را انتخاب کنید.(Security Options.)
- روی امنیت شبکه: الزامات امضای کلاینت LDAP(Network security: LDAP client signing requirements) کلیک راست کنید و سپس Properties را انتخاب کنید.
- در کادر محاوره ای Network Security: LDAP signing client requirements Properties ، Require signing را در لیست انتخاب کنید و سپس OK را انتخاب کنید.
- تغییرات را تایید و اعمال کنید.
3] با استفاده از یک شیء Group Policy Object ، الزامات امضای (Group Policy Object)LDAP کلاینت را تنظیم کنید(Set)
- کنسول مدیریت مایکروسافت (mmc.exe) را باز کنید(Open Microsoft Management Console (mmc.exe))
- File > Add/Remove Snap-in >Group Policy Object Editor را انتخاب کنید و سپس Add را انتخاب کنید .
- ویزارد Group Policy(Group Policy Wizard) را باز می کند . روی(Click) دکمه Browse کلیک کنید و به جای Local Computer گزینه Default Domain Policy را انتخاب کنید(Default Domain Policy)
- بر روی(Click) دکمه OK و سپس بر روی دکمه Finish کلیک کرده و آن را ببندید.
- Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies را انتخاب کنید و سپس Security Options را انتخاب کنید .
- در کادر محاوره ای Network Security: LDAP signing client requirements Properties ، (Network security: LDAP client signing requirements Properties )Require signing را در لیست انتخاب کنید و سپس OK را انتخاب کنید .
- تغییرات را تایید کنید(Confirm) و تنظیمات را اعمال کنید.
4] با استفاده از کلیدهای رجیستری، الزامات امضای LDAP مشتری را تنظیم کنید(Set)
اولین و مهمترین کاری که باید انجام دهید این است که از رجیستری خود یک نسخه پشتیبان تهیه کنید
- ویرایشگر رجیستری را باز کنید
- به HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- روی قسمت سمت راست کلیک کنید(Right-click) و یک DWORD جدید با نام LDAPServerIntegrity ایجاد کنید.(LDAPServerIntegrity)
- آن را به مقدار پیش فرض خود رها کنید.
<InstanceName >: نام نمونه AD LDS که می خواهید تغییر دهید.
5] نحوه(How) بررسی اینکه آیا تغییرات پیکربندی اکنون نیاز به ورود به سیستم دارد یا خیر
برای اطمینان از کارآمد بودن خط مشی امنیتی در اینجا نحوه بررسی یکپارچگی آن است.
- به رایانهای وارد شوید که ابزارهای مدیریت AD DS(AD DS Admin Tools) را نصب کرده است.
- Run prompt را باز کنید و ldp.exe را تایپ کنید و کلید Enter را فشار دهید . این یک رابط کاربری است که برای پیمایش در فضای نام Active Directory استفاده می شود(Active Directory)
- Connection > Connect را انتخاب کنید.
- در Server and Port ، نام سرور و پورت غیر SSL/TLS سرور دایرکتوری خود را تایپ کرده و OK را انتخاب کنید.
- پس از برقراری ارتباط، Connection > Bind را انتخاب کنید.
- در قسمت Bind(Bind) type، Simple bind را انتخاب کنید.
- نام کاربری و رمز عبور را تایپ کرده و OK را انتخاب کنید.
اگر پیغام خطایی دریافت کردید که میگوید ()Ldap_simple_bind_s شکست خورد: تأیید اعتبار قوی مورد نیاز(Ldap_simple_bind_s() failed: Strong Authentication Required) است، در این صورت سرور دایرکتوری خود را با موفقیت پیکربندی کردهاید.
6] نحوه(How) پیدا کردن مشتریانی که از گزینه " نیاز(Require) به امضا" استفاده نمی کنند
هر بار که یک ماشین کلاینت با استفاده از یک پروتکل اتصال ناامن به سرور متصل می شود، شناسه رویداد 2889(Event ID 2889) را تولید می کند . ورودی گزارش همچنین شامل آدرس IP مشتریان خواهد بود. شما باید با تنظیم 16 LDAP Interface Interface(LDAP Interface Events) Diagnostic تنظیمات تشخیصی روی 2 (Basic) این را فعال کنید. (2 (Basic). )در اینجا در Microsoft(here at Microsoft) بیاموزید که چگونه ثبت رویدادهای تشخیصی AD و LDS را پیکربندی کنید .
امضای LDAP(LDAP Signing) بسیار مهم است، و امیدوارم بتواند به شما کمک کند تا به وضوح درک کنید که چگونه میتوانید امضای LDAP را در (LDAP)سرور ویندوز(Windows Server) و در ماشینهای کلاینت فعال کنید.
Related posts
پیکربندی Remote Access Client Account Lockout در Windows Server
سهام اداری غیر فعال کردن از Windows Server
Iperius Backup: نرم افزار به طور خودکار پشتیبان گیری در Windows 10
چگونه برای فشرده سازی Bloated Registry HIVES در Windows Server
چگونه به Enable & Configure DNS Aging و Scavenging در Windows Server
چگونه برای ایجاد یک VPN Server عمومی در Windows 10
نحوه رفع خطای RPC Server is Unavailable در ویندوز
Synchronize Windows 10 Clock با Internet Time Server
Windows Camera Frame Server service به طور غیر منتظره خاتمه یافت
Use Vssadmin command-line برای مدیریت VSS در Windows 10
نحوه راه اندازی یک سرور FTP در ویندوز با استفاده از IIS
چگونه برای اضافه کردن و یا تغییر Time Server در Windows 10
چگونه برای حذف Roles and Features در Windows Server
DHCP Client Service می دهد Access Denied error در Windows 11/10
Install Remote Server Administration Tools (RSAT) در ویندوز 10
Access FTP Server با استفاده از Command Prompt در Windows 10
نحوه تغییر سرور DNS در ویندوز 11
Public DNS Server Tool DNS changer رایگان برای Windows 10 است
رفع خطای Windows Media Player Server Execution Failed
چگونه برای فعال کردن DNS Client Service اگر در Windows 10 خاکستری