域控制器: LDAP 服务器签名要求
介绍了有关“域控制器: LDAP 服务器签名要求”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置确定轻型目录访问协议 (LDAP) 服务器是否需要 LDAP 客户端协商数据签名。
未签名的网络流量容易受到中间人攻击,在此类攻击中入侵者捕获服务器和客户端设备之间的数据包,并在将其转发到客户端设备之前对其进行修改。对于 LDAP 服务器,这意味着恶意用户可能会导致客户端设备基于 LDAP 目录中的错误记录做出决策。你可以通过实现强物理安全措施来保护网络基础结构,从而降低恶意用户在公司网络中实现此目标的风险。此外,实现 Internet 协议安全 (IPsec) 身份验证标头模式(可为 IP 流量提供相互的身份验证验证和数据包完整性)可使所有类型的中间人攻击变得极其困难。
此设置对 LDAP 简单绑定或通过 SSL 的 LDAP 简单绑定没有任何影响。
如果需要签名,将拒绝 LDAP 简单绑定和通过 SSL 的 LDAP 简单绑定请求。
小心
如果你将服务器设置为“需要签名”,还必须设置客户端设备。不设置客户端设备会导致丢失与服务器的连接。
可能值
无。绑定服务器不需要数据签名。如果客户端计算机请求数据签名,服务器会支持它。
需要签名。必须协商 LDAP 数据签名选项,除非正在使用传输层安全/安全套接字层 (TLS/SSL)。
未定义。
最佳做法
- 最好将“域控制器: LDAP 服务器签名要求”设置为“需要签名”****。不支持 LDAP 签名的客户端将无法针对域控制器执行 LDAP 查询。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
未定义 |
DC 有效默认设置 |
无 |
成员服务器有效默认设置 |
无 |
客户端计算机有效默认设置 |
无 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
未签名的网络流量容易受到中间人攻击。在此类攻击中,入侵者捕获服务器和客户端设备之间的数据包、对其进行修改,然后将其转发到客户端设备。在连接 LDAP 服务器的情况下,攻击者可能会导致客户端设备基于 LDAP 目录中的错误记录做出决策。若要在组织网络中降低此类入侵的风险,你可以实现强物理安全措施来保护网络基础结构。你还可以实现 Internet 协议安全 (IPsec) 身份验证标头模式(可为 IP 流量执行相互的身份验证验证和数据包完整性)来使所有类型的中间人攻击变得极其困难。
对策
将“域控制器: LDAP 服务器签名要求”设置配置为“需要签名”****。
潜在影响
不支持 LDAP 签名的客户端设备无法针对域控制器运行 LDAP 查询。