Windows
 Computer >> コンピューター >  >> システム >> Windows

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

LDAP署名 は、ディレクトリサーバーのセキュリティを向上させることができるWindowsServerの認証方法です。有効にすると、署名を要求しないリクエスト、またはリクエストが非SSL/TLS暗号化を使用している場合は拒否されます。この投稿では、WindowsServerとクライアントマシンでLDAP署名を有効にする方法を共有します。 LDAPは、 Lightweight Directory Access Protocolの略です。 (LDAP)。

WindowsコンピューターでLDAP署名を有効にする方法

攻撃者が偽造されたLDAPクライアントを使用してサーバーの構成とデータを変更しないようにするには、LDAP署名を有効にすることが不可欠です。クライアントマシンで有効にすることも同様に重要です。

  1. サーバーのLDAP署名要件を設定します
  2. ローカルコンピュータポリシーを使用して、クライアントのLDAP署名要件を設定します
  3. ドメイングループポリシーオブジェクトを使用して、クライアントのLDAP署名要件を設定します
  4. レジストリキーを使用してクライアントのLDAP署名要件を設定します
  5. 構成の変更を確認する方法
  6. 「署名が必要」オプションを使用しないクライアントを見つける方法

最後のセクションは、署名が有効になっていないクライアントを特定するのに役立ちます コンピューターで。これは、IT管理者がこれらのコンピューターを分離し、コンピューターのセキュリティ設定を有効にするための便利なツールです。

1]サーバーのLDAP署名要件を設定します

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

  1. Microsoft管理コンソール(mmc.exe)を開きます
  2. [ファイル]>[スナップインの追加と削除]を選択し、[グループポリシーオブジェクトエディター]を選択して、[追加]を選択します。
  3. グループポリシーウィザードが開きます。 [参照]ボタンをクリックして、[デフォルトのドメインポリシー]を選択します ローカルコンピュータの代わりに
  4. [OK]ボタンをクリックしてから、[完了]ボタンをクリックして、閉じます。
  5. [デフォルトのドメインポリシー]>[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]を選択します 、[セキュリティオプション]を選択します。
  6. 右クリックドメインコントローラー:LDAPサーバーの署名要件 、[プロパティ]を選択します。
  7. [ドメインコントローラー:LDAPサーバーの署名要件のプロパティ]ダイアログボックスで、[このポリシー設定を定義する]を有効にし、[[このポリシー設定の定義]リストで署名を要求する]を選択します 次に、[OK]を選択します。
  8. 設定を再確認して適用します。

2]ローカルコンピュータポリシーを使用してクライアントのLDAP署名要件を設定します

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

  1. 実行プロンプトを開き、gpedit.mscと入力して、Enterキーを押します。
  2. グループポリシーエディターで、[ローカルコンピューターポリシー]>[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]に移動します 、[セキュリティオプション]を選択します。
  3. ネットワークセキュリティ:LDAPクライアントの署名要件を右クリックします 、[プロパティ]を選択します。
  4. [ネットワークセキュリティ:LDAPクライアントの署名要件のプロパティ]ダイアログボックスで、[署名が必要]を選択します リストで[OK]を選択します。
  5. 変更を確認して適用します。

3]ドメイングループポリシーオブジェクトを使用してクライアントのLDAP署名要件を設定します

  1. Microsoft管理コンソール(mmc.exe)を開きます
  2. ファイルを選択します> スナップインの追加と削除> グループポリシーオブジェクトエディタを選択します 、[追加]を選択します 。
  3. グループポリシーウィザードが開きます。 [参照]ボタンをクリックして、デフォルトのドメインポリシーを選択します ローカルコンピュータの代わりに
  4. [OK]ボタンをクリックしてから、[完了]ボタンをクリックして、閉じます。
  5. デフォルトのドメインポリシーを選択します> コンピューターの構成> Windowsの設定> セキュリティ設定> ローカルポリシー 、[セキュリティオプション]を選択します 。
  6. ネットワークセキュリティ:LDAPクライアントの署名要件プロパティ ダイアログボックスで、[署名が必要]を選択します リストで[OK]を選択します 。
  7. 変更を確認して設定を適用します。

4]レジストリキーを使用してクライアントのLDAP署名要件を設定します

最初に行うことは、レジストリのバックアップを取ることです

  • レジストリエディタを開く
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ \ Parametersに移動します
  • 右ペインを右クリックして、 LDAPServerIntegrityという名前の新しいDWORDを作成します。
  • デフォルト値のままにします。

>:変更するADLDSインスタンスの名前。

5]構成の変更にサインインが必要かどうかを確認する方法

ここでセキュリティポリシーが機能していることを確認するには、その整合性を確認する方法があります。

  1. ADDS管理ツールがインストールされているコンピューターにサインインします。
  2. 実行プロンプトを開き、ldp.exeと入力して、Enterキーを押します。これは、ActiveDirectory名前空間をナビゲートするために使用されるUIです
  3. [接続]>[接続]を選択します。
  4. [サーバーとポート]に、サーバー名とディレクトリサーバーの非SSL / TLSポートを入力し、[OK]を選択します。
  5. 接続が確立されたら、[接続]>[バインド]を選択します。
  6. [バインドの種類]で、[シンプルバインド]を選択します。
  7. ユーザー名とパスワードを入力し、[OK]を選択します。

Ldap_simple_bind_s()が失敗しました:強力な認証が必要ですというエラーメッセージが表示された場合 、これでディレクトリサーバーが正常に構成されました。

6]「署名が必要」オプションを使用していないクライアントを見つける方法

クライアントマシンが安全でない接続プロトコルを使用してサーバーに接続するたびに、イベントID 2889が生成されます。ログエントリには、クライアントのIPアドレスも含まれます。 16 を設定して、これを有効にする必要があります LDAPインターフェイスイベント 診断設定を 2(基本)に設定します。 ここMicrosoftでADおよびLDS診断イベントログを構成する方法を学びます。

LDAP署名は非常に重要であり、WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法を明確に理解するのに役立つことを願っています。

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法
  1. Windows 11 でデスクトップ ステッカーを有効にする方法

    Microsoft が Windows 11 をリリースしたとき、これが新世代のオペレーティング システムの始まりになると述べていました。そして、アップデートを通じて時々新しい機能を導入することで、その仕事に固執しようとしています. Windows 22H2 バージョンのすべての Windows 11 ユーザーがすぐに利用できるようになる最新機能の 1 つは、デスクトップ ステッカーです。ただし、Windows 11 Insider Preview を実行している場合は、今すぐ小さな調整を加えてステッカーを有効にすることができます。 注意 :この調整は、Windows 11 ビルド 2516

  2. Windows 11 で DNS サーバーを変更する方法

    プライバシーを強化したい場合は、Windows 11 PC/ラップトップで DNS 設定を構成する必要があります。 Web ページが開かれている場合でも、アプリがバックグラウンドでサーバーに接続しようとしている場合でも、コンピューター上のすべてのインターネット通信を保護します。この分野に慣れていない場合は、この詳細な記事を読んで、Windows 11 で DNS サーバーを変更する方法を確認してください。 関連項目:Windows 11 でボリューム ラベルを変更する方法 DNS とは何ですか? なぜ DNS を変更する必要があるのですか? 私たちの多くは、インターネットに接続するため