نحوه فعال کردن امضای LDAP در Windows Server & Client Machines

امضای LDAP(LDAP signing) یک روش احراز هویت در سرور ویندوز(Windows Server) است که می تواند امنیت سرور دایرکتوری را بهبود بخشد. پس از فعال شدن، هر درخواستی را که درخواست امضا نداشته باشد یا در صورتی که درخواست از رمزگذاری نشده SSL/TLS استفاده می‌کند، رد می‌کند. در این پست، نحوه فعال کردن امضای LDAP را در (LDAP)ویندوز سرور(Windows Server) و ماشین های کلاینت به اشتراک خواهیم گذاشت. LDAP مخفف   Lightweight Directory Access Protocol (LDAP) است.

نحوه فعال کردن ثبت نام LDAP در رایانه های ویندوزی(Windows)

برای اطمینان از اینکه مهاجم از کلاینت LDAP جعلی برای تغییر پیکربندی سرور و داده ها استفاده نمی کند، فعال کردن امضای LDAP ضروری است. (LDAP)به همان اندازه مهم است که آن را در ماشین های مشتری فعال کنید.

  1. (Set)شرط امضای LDAP سرور را تنظیم کنید
  2. (Set)با استفاده از خط مشی رایانه محلی(Local) ، الزامات امضای LDAP مشتری را تنظیم کنید
  3. (Set)با استفاده از Domain Group Policy Object(Domain Group Policy Object) الزامات امضای LDAP مشتری را تنظیم کنید
  4. (Set)با استفاده از کلیدهای رجیستری(Registry) ، الزامات امضای LDAP مشتری را تنظیم کنید
  5. نحوه تأیید تغییرات پیکربندی
  6. چگونه مشتریانی را پیدا کنیم که از گزینه " نیاز(Require) به امضا" استفاده نمی کنند

بخش آخر به شما کمک می‌کند تا مشتریانی را که Require signing را(do not have Require signing enabled) در رایانه فعال نکرده‌اند، کشف کنید. این یک ابزار مفید برای مدیران فناوری اطلاعات است تا آن رایانه ها را ایزوله کنند و تنظیمات امنیتی را در رایانه ها فعال کنند.

1] شرط امضای LDAP سرور را تنظیم کنید(Set)

نحوه فعال کردن امضای LDAP در Windows Server & Client Machines

  1. باز کردن کنسول مدیریت مایکروسافت(Microsoft Management Console) (mmc.exe)
  2. File >  Add /Remove Snap-in را انتخاب کنید >  Group Policy Object Editor را انتخاب کنید و سپس  Add را انتخاب کنید .
  3. ویزارد Group Policy(Group Policy Wizard) را باز می کند . روی(Click) دکمه Browse کلیک کنید و به جای Local Computer گزینه  Default Domain Policy را انتخاب کنید(Default Domain Policy)
  4. بر روی(Click) دکمه OK و سپس بر روی دکمه Finish کلیک کرده و آن را ببندید.
  5. Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies را انتخاب  کنید و سپس Security Options را انتخاب کنید.
  6. روی Domain controller: LDAP server signing requirements(Domain controller: LDAP server signing requirements) کلیک راست کنید  و سپس Properties را انتخاب کنید.
  7. در   کادر محاوره ای  Domain controller: LDAP signing server requires Properties ، Define this policy setting را فعال کنید،  Require signing را در لیست Define this policy setting را(Require signing in the Define this policy setting list,) انتخاب کنید و سپس OK را انتخاب کنید.
  8. تنظیمات را دوباره بررسی کنید و آنها را اعمال کنید.

2] با استفاده از خط مشی رایانه محلی، الزامات امضای LDAP مشتری را تنظیم کنید(Set)

نحوه فعال کردن امضای LDAP در Windows Server & Client Machines

  1. Run prompt را باز کنید و gpedit.msc را تایپ کنید و کلید Enter را فشار دهید .
  2. در ویرایشگر خط مشی گروه، به Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies و سپس  Security Options را انتخاب کنید.(Security Options.)
  3. روی امنیت شبکه: الزامات امضای کلاینت LDAP(Network security: LDAP client signing requirements) کلیک راست کنید و سپس Properties را انتخاب کنید.
  4. در   کادر محاوره ای  Network Security: LDAP signing client requirements Properties ، Require signing را در لیست انتخاب کنید و سپس OK را انتخاب کنید.
  5. تغییرات را تایید و اعمال کنید.

3] با استفاده از یک شیء Group Policy Object ، الزامات امضای (Group Policy Object)LDAP کلاینت را تنظیم کنید(Set)

  1. کنسول مدیریت مایکروسافت (mmc.exe) را باز کنید(Open Microsoft Management Console (mmc.exe))
  2. File  >  Add/Remove Snap-in >Group Policy Object Editor را انتخاب   کنید  و سپس  Add را انتخاب کنید .
  3. ویزارد Group Policy(Group Policy Wizard) را باز می کند . روی(Click) دکمه Browse کلیک کنید و به جای Local Computer گزینه  Default Domain Policy را انتخاب کنید(Default Domain Policy)
  4. بر روی(Click) دکمه OK و سپس بر روی دکمه Finish کلیک کرده و آن را ببندید.
  5. Default Domain Policy  >  Computer Configuration  >  Windows Settings  >  Security Settings  >  Local Policies را انتخاب  کنید و سپس  Security Options را انتخاب کنید .
  6. در  کادر محاوره ای  Network Security: LDAP signing client requirements Properties  ، (Network security: LDAP client signing requirements Properties )Require signing  را در لیست انتخاب کنید و سپس  OK را انتخاب کنید .
  7. تغییرات را تایید کنید(Confirm) و تنظیمات را اعمال کنید.

4] با استفاده از کلیدهای رجیستری، الزامات امضای LDAP مشتری را تنظیم کنید(Set)

اولین و مهمترین کاری که باید انجام دهید این است که از رجیستری خود یک نسخه پشتیبان تهیه کنید

  • ویرایشگر رجیستری را باز کنید
  • به HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • روی قسمت سمت راست کلیک کنید(Right-click) و یک DWORD جدید با نام LDAPServerIntegrity ایجاد کنید.(LDAPServerIntegrity)
  • آن را به مقدار پیش فرض خود رها کنید.

<InstanceName >: نام نمونه AD LDS که می خواهید تغییر دهید.

5] نحوه(How) بررسی اینکه آیا تغییرات پیکربندی اکنون نیاز به ورود به سیستم دارد یا خیر

برای اطمینان از کارآمد بودن خط مشی امنیتی در اینجا نحوه بررسی یکپارچگی آن است.

  1. به رایانه‌ای وارد شوید که ابزارهای مدیریت AD DS(AD DS Admin Tools) را نصب کرده است.
  2. Run prompt را باز کنید و ldp.exe را تایپ کنید و کلید Enter را فشار دهید . این یک رابط کاربری است که برای پیمایش در فضای نام Active Directory استفاده می شود(Active Directory)
  3. Connection > Connect را انتخاب کنید.
  4. در  Server  and  Port ، نام سرور و پورت غیر SSL/TLS سرور دایرکتوری خود را تایپ کرده و OK را انتخاب کنید.
  5. پس از برقراری ارتباط، Connection > Bind را انتخاب کنید.
  6. در  قسمت Bind(Bind) type،  Simple bind را انتخاب کنید.
  7. نام کاربری و رمز عبور را تایپ کرده و OK را انتخاب کنید.

اگر پیغام خطایی دریافت کردید که می‌گوید  ()Ldap_simple_bind_s شکست خورد: تأیید اعتبار قوی مورد نیاز(Ldap_simple_bind_s() failed: Strong Authentication Required) است، در این صورت سرور دایرکتوری خود را با موفقیت پیکربندی کرده‌اید.

6] نحوه(How) پیدا کردن مشتریانی که از گزینه " نیاز(Require) به امضا" استفاده نمی کنند

هر بار که یک ماشین کلاینت با استفاده از یک پروتکل اتصال ناامن به سرور متصل می شود، شناسه رویداد 2889(Event ID 2889) را تولید می کند . ورودی گزارش همچنین شامل آدرس IP مشتریان خواهد بود. شما باید با تنظیم 16  LDAP Interface Interface(LDAP Interface Events)  Diagnostic تنظیمات تشخیصی روی  2 (Basic) این را فعال کنید. (2 (Basic). )در اینجا در Microsoft(here at Microsoft) بیاموزید که چگونه ثبت رویدادهای تشخیصی AD و LDS را پیکربندی کنید .

امضای LDAP(LDAP Signing) بسیار مهم است، و امیدوارم بتواند به شما کمک کند تا به وضوح درک کنید که چگونه می‌توانید امضای LDAP را در (LDAP)سرور ویندوز(Windows Server) و در ماشین‌های کلاینت فعال کنید.



کرشمه رنجبر

About the author

من یک توسعه دهنده آیفون و macOS هستم که در هر دو ویندوز 11/10 و جدیدترین پلتفرم iOS اپل تجربه دارم. با بیش از 10 سال تجربه، درک عمیقی از نحوه ایجاد و مدیریت فایل ها در هر دو سیستم عامل دارم. مهارت‌های من فراتر از ساختن فایل‌ها است - من همچنین دانش قوی درباره محصولات اپل، ویژگی‌های آنها و نحوه استفاده از آنها دارم.


Related posts