LDAP-ondertekening^{(LDAP signing)} is een authenticatiemethode in Windows Server die de beveiliging van een directoryserver kan verbeteren. Eenmaal ingeschakeld, zal het elk verzoek weigeren dat niet om ondertekening vraagt ​​of als het verzoek niet-SSL/TLS-versleuteld gebruikt. In dit bericht zullen we delen hoe u LDAP - ondertekening in Windows Server en clientcomputers kunt inschakelen. LDAP staat voor   Lightweight Directory Access Protocol (LDAP).

LDAP- ondertekening inschakelen op Windows- computers

Om ervoor te zorgen dat de aanvaller geen vervalste LDAP -client gebruikt om de serverconfiguratie en gegevens te wijzigen, is het essentieel om LDAP - ondertekening in te schakelen. Het is net zo belangrijk om het in te schakelen op de clientcomputers.

1. Stel^(Set) de server- LDAP - ondertekeningsvereiste in
2. Stel de ^(Set)LDAP - ondertekeningsvereiste van de client in met behulp van Lokaal^(Local) computerbeleid
3. Stel de vereiste ^(Set)LDAP - ondertekening van de client in met behulp van het domeingroepsbeleidsobject^{(Domain Group Policy Object)}
4. Stel^(Set) de vereiste LDAP - ondertekening van de client in met behulp van registersleutels^(Registry)
5. Configuratiewijzigingen verifiëren
6. Klanten vinden die de optie "Ondertekening vereisen " niet gebruiken?^(Require)

De laatste sectie helpt u erachter te komen welke clients Ondertekening vereisen niet^{(do not have Require signing enabled)} op de computer zijn ingeschakeld. Het is een handig hulpmiddel voor IT-beheerders om die computers te isoleren en de beveiligingsinstellingen op de computers in te schakelen.

1] Stel^(Set) de server- LDAP - ondertekeningsvereiste in

1. Open Microsoft Management Console (mmc.exe)
2. Selecteer Bestand >  Module toevoegen^(Add) /verwijderen > selecteer  Groepsbeleidsobjecteditor^{(Group Policy Object Editor)} en selecteer vervolgens  Toevoegen^(Add) .
3. Het zal de wizard Groepsbeleid openen^{(Group Policy Wizard)} . Klik^(Click) op de knop Bladeren^(Browse) en selecteer  Standaard domeinbeleid^{(Default Domain Policy)} in plaats van Lokale computer
4. Klik^(Click) op de knop OK en vervolgens op de knop Voltooien^(Finish) en sluit deze.
5. Selecteer  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies en selecteer vervolgens Beveiligingsopties.
6. Klik met de rechtermuisknop op  Domeincontroller: LDAP-serverondertekeningsvereisten^{(Domain controller: LDAP server signing requirements)} en selecteer vervolgens Eigenschappen.
7. Schakel in het   dialoogvenster  Domeincontroller^(Domain) : LDAP -serverondertekeningsvereisten Eigenschappen de optie Deze beleidsinstelling ^(Properties)definiëren^(Define) in, selecteer  Ondertekening vereisen in de lijst Deze beleidsinstellingen definiëren^{(Require signing in the Define this policy setting list,)} en selecteer vervolgens OK.
8. Controleer de instellingen opnieuw en pas ze toe.

2] Stel de ^(Set)LDAP - ondertekeningsvereiste van de client in met behulp van het lokale computerbeleid

1. Open de prompt Uitvoeren^(Run) en typ gpedit.msc en druk op Enter .
2. Navigeer in de groepsbeleid-editor naar Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies en selecteer vervolgens  Beveiligingsopties.^{(Security Options.)}
3. Klik met de rechtermuisknop op Netwerkbeveiliging: LDAP-clientondertekeningsvereisten^{(Network security: LDAP client signing requirements)} en selecteer vervolgens Eigenschappen.
4. Selecteer in het  dialoogvenster Netwerkbeveiliging^(Network) : LDAP -clientondertekeningsvereisten Eigenschappen^(Properties) het  dialoogvenster  Ondertekening vereisen^{(Require signing)} in de lijst en kies vervolgens OK.
5. Bevestig wijzigingen en pas ze toe.

3] Stel^(Set) de client- LDAP - ondertekeningsvereiste in met behulp van een domeingroepsbeleidsobject^{(Group Policy Object)}

1. Open Microsoft Management Console (mmc.exe)
2. Selecteer  Bestand^(File)  >  Add/Remove Snap-in >  selecteer  Groepsbeleidsobjecteditor^{(Group Policy Object Editor)} en selecteer vervolgens  Toevoegen^(Add) .
3. Het zal de wizard Groepsbeleid openen^{(Group Policy Wizard)} . Klik^(Click) op de knop Bladeren^(Browse) en selecteer  Standaard domeinbeleid^{(Default Domain Policy)} in plaats van Lokale computer
4. Klik^(Click) op de knop OK en vervolgens op de knop Voltooien^(Finish) en sluit deze.
5. Selecteer  Standaard domeinbeleid^{(Default Domain Policy)}  >  Computerconfiguratie^{(Computer Configuration)}  >  Windows-instellingen^{(Windows Settings)}  >  Beveiligingsinstellingen^{(Security Settings)}  >  Lokaal beleid^{(Local Policies)} en selecteer vervolgens  Beveiligingsopties^{(Security Options)} .
6. Selecteer in het  dialoogvenster Netwerkbeveiliging: LDAP-clientondertekeningsvereisten Eigenschappen ^{(Network security: LDAP client signing requirements Properties )} het dialoogvenster  Ondertekening vereisen ^{(Require signing )} in de lijst en kies vervolgens  OK .
7. Bevestig^(Confirm) wijzigingen en pas de instellingen toe.

4] Stel de ^(Set)LDAP -ondertekeningsvereiste van de client in met behulp van registersleutels

Het eerste en belangrijkste dat u moet doen, is een back-up van uw register maken

• Register-editor openen
• Navigeer naar HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Klik met de rechtermuisknop^{(Right-click)} op het rechterdeelvenster en maak een nieuwe DWORD met de naam LDAPServerIntegrity
• Laat het op de standaardwaarde staan.

<InstanceName >: naam van het AD LDS- exemplaar dat u wilt wijzigen.

5] Hoe^(How) u kunt controleren of configuratiewijzigingen nu aanmelding vereisen?

Om er zeker van te zijn dat het beveiligingsbeleid hier werkt, kunt u de integriteit ervan controleren.

1. Meld u aan bij een computer waarop de AD DS-beheerprogramma^{(AD DS Admin Tools)} 's zijn geïnstalleerd.
2. Open de prompt Uitvoeren^(Run) , typ ldp.exe en druk op Enter . Het is een gebruikersinterface die wordt gebruikt om door de Active Directory -naamruimte te navigeren
3. Selecteer Verbinding > Verbinden.
4. Typ bij  Server  en  poort^(Port) de servernaam en de niet-SSL/TLS-poort van uw directoryserver en selecteer vervolgens OK.
5. Nadat een verbinding tot stand is gebracht, selecteert u Verbinding > Binden.
6. Selecteer  onder  Type binding de optie ^(Bind)Eenvoudige^(Simple) binding.
7. Typ de gebruikersnaam en het wachtwoord en selecteer vervolgens OK.

Als u een foutmelding krijgt met de melding  Ldap_simple_bind_s() failed: Strong Authentication Required , dan heeft u uw directoryserver met succes geconfigureerd.

6] Hoe^(How) u klanten kunt vinden die de optie "Ondertekening vereisen " niet gebruiken^(Require)

Elke keer dat een clientcomputer verbinding maakt met de server via een onveilig verbindingsprotocol, wordt gebeurtenis-ID 2889^{(Event ID 2889)} gegenereerd . De logboekinvoer bevat ook de IP-adressen van de clients. U moet dit inschakelen door de  diagnostische instelling voor  16  LDAP-interfacegebeurtenissen in te stellen op ^{(LDAP Interface Events)}2 (Basic). Lees hier bij Microsoft^{(here at Microsoft)} hoe u logboekregistratie van diagnostische AD- en LDS -gebeurtenissen kunt configureren .

LDAP-ondertekening^{(LDAP Signing)} is cruciaal en ik hoop dat het u heeft kunnen helpen om duidelijk te begrijpen hoe u LDAP - ondertekening in Windows Server en op de clientcomputers kunt inschakelen.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Configureer Remote Access Client Account Lockout in Windows Server

• Beheer gedeelde mappen uitschakelen vanaf Windows Server

• Iperius Backup is gratis back-upsoftware voor Windows Server

• Hoe Bloated Registry Hives in Windows Server te comprimeren

• Hoe DNS-veroudering en opruiming in Windows Server in te schakelen en te configureren

• Hoe de back-up van Windows Server naar Amazon S3 te automatiseren

• Hoe de 'RPC-server is niet beschikbaar'-fout in Windows te repareren

• Fix Kan de VPN-serverfout niet bereiken op PIA op Windows 11

• Hoe de DNS Client Service in te schakelen als deze grijs is weergegeven in Windows 10

• Public DNS Server Tool is een gratis DNS-wisselaar voor Windows 10

• Een Discord-server verlaten (2022)

• Problemen met Windows Server Network-connectiviteit oplossen via PowerShell

• Fix Omegle-fout bij verbinding met server (2022)

• Hoe Time Server toe te voegen of te wijzigen in Windows 11/10

• Een openbare VPN-server maken op Windows 10

• Fix Windows Store-fout De server struikelde

• Installeer Remote Server Administration Tools (RSAT) op Windows 10

• Fix ARK kan serverinformatie niet opvragen voor uitnodiging

• Fix Windows Media Player Server Execution Failed Fout

• De Groepsbeleid-clientservice is mislukt bij het aanmelden in Windows 11/10