Header Ads Widget

Ticker

6/recent/ticker-posts

Cách bật đăng nhập LDAP trong Windows Server & máy Client

Tuấn Vũ tháng 3 26, 2020

 LDAP là một phương thức xác thực trong Windows Server có thể cải thiện tính bảo mật của máy chủ thư mục. Khi được bật, nó sẽ từ chối mọi yêu cầu không yêu cầu ký hoặc nếu yêu cầu đó được sử dụng không được mã hóa SSL / TLS. Trong bài đăng này, chúng tôi sẽ chia sẻ cách bạn có thể kích hoạt đăng nhập LDAP trong Windows Server và máy khách. LDAP là viết tắt của Lightweight Directory Access Protocol (LDAP).

Cách bật LDAP trong máy tính Windows

Để đảm bảo rằng kẻ tấn công không sử dụng máy khách LDAP giả mạo để thay đổi cấu hình và dữ liệu máy chủ, điều cần thiết là phải bật ký LDAP. Điều quan trọng không kém là kích hoạt nó trên các máy khách.
  1. Đặt yêu cầu đăng nhập LDAP của máy chủ
  2. Đặt yêu cầu đăng nhập LDAP của máy khách bằng cách sử dụng chính sách máy tính cục bộ (GPO)
  3. Đặt yêu cầu đăng nhập LDAP của máy khách bằng cách sử dụng Domain Group Policy Object
  4. Đặt yêu cầu đăng nhập LDAP của máy khách bằng cách sử dụng các khóa Registry
  5. Cách xác minh thay đổi cấu hình
  6. Cách tìm các khách hàng không sử dụng tùy chọn “Require signing”
Phần cuối cùng giúp bạn tìm ra các máy khách không bật tính năng Require signing trên máy tính. Nó là một công cụ hữu ích cho các quản trị viên CNTT để cách ly các máy tính đó và cho phép cài đặt bảo mật trên các máy tính.

1] Đặt yêu cầu ký LDAP của máy chủ

 

  1. Mở Bảng điều khiển quản lý Microsoft (mmc.exe)
  2. Chọn  File > Add/Remove Snap-in > chọn Group Policy Object Editor, sau đó chọn Add
  3. Nó sẽ mở Group Policy Wizard. Nhấp vào nút Browse và chọn Default Domain Policy instead of Local Computer
  4. Nhấp vào nút OK, sau đó vào nút Finish và đóng nó.
  5. Chọn Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , sau đó chọn Security Options.
  6. Bấm chuột phải vào Domain controller: LDAP server signing requirements , sau đó chọn Properties.
  7. Trong hộp thoại Domain controller: LDAP server signing requirements Properties , bật Xác định cài đặt chính sách này, chọn Require signing in the Define this policy setting list, sau đó chọn OK.
  8. Kiểm tra lại các cài đặt và áp dụng chúng.

2] Đặt yêu cầu đăng nhập LDAP của máy khách bằng cách sử dụng  local computer policy



  1. Mở Run và nhập gpedit.msc và nhấn phím Enter.
  2. Tronggroup policy editor, điều hướng đến Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , sau đó chọn Security Options.
  3. Bấm chuột phải vào Network security: LDAP client signing requirements , sau đó chọn Properties.
  4. Trong hộp thoại Network security: LDAP client signing requirements Properties, chọn Require signing trong danh sách, sau đó chọn OK.
  5. Xác nhận thay đổi và áp dụng chúng.

3] Đặt yêu cầu ký LDAP của máy khách bằng cách sử dụng Đối tượng chính sách nhóm miền

  1. Mở Microsoft Management Console (mmc.exe)
  2. Chọn File > Add/Remove Snap-in > select Group Policy Object Editor , sau đó chọn Add .
  3. Nó sẽ mở Group Policy Wizard.. Nhấp vào nút Browse và chọn  Default Domain Policy  thay vì Local Computer
  4. Nhấp vào nút OK, sau đó vào nút Finish và đóng nó.
  5. Chọn Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , sau đó chọn Security Options .
  6. Trong hộp thoại Network security: LDAP client signing requirements Properties , chọn Require signing trong danh sách, sau đó chọn OK .
  7. Xác nhận thay đổi và áp dụng các cài đặt.

4] Đặt yêu cầu ký LDAP của máy khách bằng cách sử dụng các khóa đăng ký

Điều đầu tiên và quan trọng nhất cần làm là sao lưu  registry của bạn
  • Mở Registry Editor
  • Điều hướng đến HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Services \ <InstanceName> \ Parameters
  • Nhấp chuột phải vào khung bên phải và tạo DWORD mới với tên LDAPServerIntegrity
  • Để nó về giá trị mặc định của nó.
<InstanceName >: Tên của phiên bản AD LDS mà bạn muốn thay đổi.

5] Cách xác minh nếu thay đổi cấu hình bây giờ yêu cầu đăng nhập

Để đảm bảo chính sách bảo mật đang hoạt động ở đây là cách kiểm tra tính toàn vẹn của nó.
  1. Đăng nhập vào máy tính đã cài đặt Công cụ quản trị AD DS.
  2. Mở Run prompt và nhập ldp.exe và nhấn phím Enter. Nó là một giao diện người dùng được sử dụng để điều hướng trong không gian tên Active Directory
  3. Chọn Connection > Connect.
  4. Trong Server và Port, nhập tên máy chủ và cổng SSL / TLS của máy chủ thư mục của bạn, sau đó chọn OK.
  5. Sau khi kết nối được thiết lập, chọn Connection > Bind.
  6. Trong loại Bind, chọn Simple bind.
  7. Nhập tên người dùng và mật khẩu, sau đó chọn OK.
Nếu bạn nhận được thông báo lỗi cho biết Ldap_simple_bind_s() failed: Strong Authentication Required , thì bạn đã cấu hình thành công máy chủ thư mục của mình.

6] Cách tìm khách hàng không sử dụng tùy chọn Đăng ký Yêu cầu

Mỗi khi máy khách kết nối với máy chủ bằng giao thức kết nối không an toàn, nó sẽ tạo ra ID event 2889. Mục nhật ký cũng sẽ chứa địa chỉ IP của máy khách. Bạn sẽ cần kích hoạt tính năng này bằng cách đặt cài đặt chẩn đoán 16 LDAP Interface Events thành 2 (Cơ bản). Tìm hiểu cách định cấu hình ghi nhật ký sự kiện chẩn đoán AD và LDS tại Microsoft .
Đăng nhập LDAP là rất quan trọng và tôi hy vọng có thể giúp bạn hiểu rõ cách bạn có thể kích hoạt đăng nhập LDAP trong Windows Server và trên các máy khách.

 

 
 

 

 

Tags:

Đăng nhận xét

0 Nhận xét