Domänencontroller: Signaturanforderungen für LDAP-Server

Gilt für

  • Windows 10

In diesem Artikel werden bewährte Methoden, Speicherort, Werte und Sicherheitsüberlegungen für den Domänencontroller beschrieben: Sicherheitsrichtlinieneinstellung für LDAP-Serversignaturanforderungen .

Verweis

Diese Richtlinieneinstellung bestimmt, ob für den LDAP-Server (Lightweight Directory Access Protocol) LDAP-Clients zum Aushandeln der Datensignierung erforderlich sind.

Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe, bei denen ein Eindringling Pakete zwischen dem Server und dem Clientgerät erfasst und ändert, bevor er sie an das Clientgerät weiterleitet. Im Beispiel eines LDAP-Servers kann ein böswilliger Benutzer dazu führen, dass ein Clientgerät Entscheidungen basierend auf falschen Datensätzen aus dem LDAP-Verzeichnis treffen kann. Sie können dieses Risiko in einem Unternehmensnetzwerk verringern, indem Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Darüber hinaus kann die Implementierung des IPsec-Authentifizierungsheadermodus (Internet Protocol Security), der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr bereitstellt, alle Arten von Man-in-the-Middle-Angriffen erschweren.

Diese Einstellung hat keine Auswirkungen auf die einfache LDAP-Bindung über SSL (LDAP TCP/636).

Wenn das Signieren erforderlich ist, werden einfache LDAP-Bindungen, die nicht SSL verwenden, abgelehnt (LDAP TCP/389).

Vorsicht: Wenn Sie den Server auf "Signatur erforderlich" festlegen, müssen Sie auch das Clientgerät festlegen. Das Nicht-Festlegen des Clientgeräts führt zu einem Verbindungsverlust mit dem Server.

Mögliche Werte

  • Keine Datensignaturen sind nicht erforderlich, um eine Bindung mit dem Server zu erstellen. Wenn der Clientcomputer die Datensignierung anfordert, unterstützt der Server dies.
  • Signatur erforderlich. Die LDAP-Datensignaturoption muss ausgehandelt werden, es sei denn, Transport Layer Security/Secure Sockets Layer (TLS/SSL) wird verwendet.
  • Nicht definiert.

Bewährte Methoden

  • Es wird empfohlen, domänencontroller: LDAP-Serversignaturanforderungen auf " Signatur erforderlich" festzulegen. Clients, die die LDAP-Signatur nicht unterstützen, können KEINE LDAP-Abfragen für die Domänencontroller ausführen.

Pfad

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgeführt.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht definiert
Standarddomänencontroller-Richtlinie Nicht definiert
Standardeinstellungen für eigenständige Server Nicht definiert
Dc Effektive Standardeinstellungen Keine
Effektive Standardeinstellungen für Mitgliedsserver Keine
Effektive Standardeinstellungen für Clientcomputer Keine

Richtlinienverwaltung

In diesem Abschnitt werden Features und Tools beschrieben, die Ihnen bei der Verwaltung dieser Richtlinie zur Verfügung stehen.

Neustartanforderungen

Keine. Änderungen an dieser Richtlinie werden ohne Geräteneustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinie verteilt werden.

Sicherheitsüberlegungen

In diesem Abschnitt wird beschrieben, wie ein Angreifer eine Funktion oder deren Konfiguration ausnutzen könnte, wie die geeigneten Schutzmaßnahmen implementiert werden und welche negativen Auswirkungen die Implementierung geeigneter Schutzmaßnahmen haben kann.

Sicherheitsrisiko

Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe. Bei solchen Angriffen erfasst ein Eindringling Pakete zwischen dem Server und dem Clientgerät, ändert sie und leitet sie dann an das Clientgerät weiter. Bei LDAP-Servern kann ein Angreifer dazu führen, dass ein Clientgerät Entscheidungen treffen kann, die auf falschen Datensätzen aus dem LDAP-Verzeichnis basieren. Um das Risiko eines solchen Angriffs in das Netzwerk einer Organisation zu verringern, können Sie starke physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Sie können auch den IPsec-Authentifizierungsheadermodus (Internet Protocol Security) implementieren, der die gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr durchführt, um alle Arten von Man-in-the-Middle-Angriffen zu erschweren.

Gegenmaßnahme

Konfigurieren Sie den Domänencontroller: Einstellung der LDAP-Serversignaturanforderungen auf "Signatur erforderlich".

Mögliche Auswirkung

Clientgeräte, die keine LDAP-Signatur unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.

Verwandte Themen