WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

LDAP署名(LDAP signing)は、ディレクトリサーバーのセキュリティを向上させることができるWindowsServer(Windows Server)認証方法です。有効にすると、署名を要求しない要求、または要求が非SSL/TLS暗号化を使用している場合は拒否されます。この投稿では、 WindowsServerとクライアントマシンでLDAP署名を有効にする方法を共有します。(Windows Server)LDAPは、(LDAP)ライトウェイトディレクトリアクセスプロトコル(Lightweight Directory Access Protocol)(LDAP)の略です  。

WindowsコンピューターでLDAP署名を有効にする方法

攻撃者が偽造されたLDAPクライアントを使用してサーバーの構成とデータを変更しないようにするには、 LDAP署名を有効にすることが不可欠です。クライアントマシンでそれを有効にすることも同様に重要です。

  1. (Set)サーバーのLDAP署名要件を設定します
  2. (Set)ローカル(Local)コンピューターポリシーを使用して、クライアントのLDAP署名要件を設定します
  3. (Set)ドメイングループポリシーオブジェクト(Domain Group Policy Object)を使用して、クライアントのLDAP署名要件を設定します
  4. (Set)レジストリ(Registry)キーを使用して、クライアントのLDAP署名要件を設定します
  5. 構成の変更を確認する方法
  6. 「署名が必要(Require)」オプションを使用しないクライアントを見つける方法

最後のセクションは、コンピューターで[署名が必要]が有効になっていない(do not have Require signing enabled)クライアントを特定するのに役立ちます。これは、IT管理者がこれらのコンピューターを分離し、コンピューターのセキュリティ設定を有効にするための便利なツールです。

1]サーバーのLDAP署名要件を設定します(Set)

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

  1. Microsoft管理コンソール(Microsoft Management Console)(mmc.exe)を開く
  2. [ファイル]>[ スナップインの 追加と削除]を選択し、[(Add)グループポリシーオブジェクトエディター]を選択して、[(Group Policy Object Editor)追加](Add)を選択します 。
  3. グループポリシーウィザード(Group Policy Wizard)が開きます。[(Click)参照(Browse)]ボタンをクリックし、ローカルコンピューターの代わりに[デフォルトのドメインポリシー(Default Domain Policy)]を選択します 
  4. [(Click) OK]ボタンをクリックしてから、 [完了(Finish)]ボタンをクリックして閉じます。
  5. Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policiesを選択し、[セキュリティオプション]を選択します。
  6. [ドメインコントローラー:LDAPサーバーの署名要件(Domain controller: LDAP server signing requirements)]を右クリック し、[プロパティ]を選択します。
  7. ドメイン(Domain)コントローラー:LDAPサーバーの署名要件のプロパティ(Properties) ]ダイアログボックスで、[このポリシー設定の定義]を有効に し、[このポリシー設定の定義]リストで[署名が必要]を選択 (Define)(Require signing in the Define this policy setting list,)、[OK]を選択します。
  8. 設定を再確認して適用してください。

2]ローカルコンピューターポリシーを使用して、クライアントのLDAP署名要件を設定します(Set)

WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法

  1. 実行(Run)プロンプトを開き、gpedit.mscと入力して、Enterキー(Enter)を押します。
  2. グループポリシーエディターで、 Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policiesセキュリティのオプション(Security Options.)]を選択します 。
  3. [ネットワークセキュリティ:LDAPクライアントの署名要件(Network security: LDAP client signing requirements)]を右クリックし、[プロパティ]を選択します。
  4. ネットワーク(Network)セキュリティ:LDAPクライアントの署名要件のプロパティ(Properties) ]ダイアログボックス で、リストから[署名が必要]を選択し、[OK]を選択します。(Require signing)
  5. 変更を確認して適用します。

3]ドメイングループポリシーオブジェクト(Group Policy Object)を使用して、クライアントのLDAP署名要件を設定します(Set)

  1. Microsoft管理コンソール(mmc.exe)を開く(Open Microsoft Management Console (mmc.exe))
  2. [ファイル](File)  >  [Add/Remove Snap-in >選択 し、  [ グループポリシーオブジェクトエディター]を選択して、[(Group Policy Object Editor)追加](Add)を選択します 。
  3. グループポリシーウィザード(Group Policy Wizard)が開きます。[(Click)参照(Browse)]ボタンをクリックし、ローカルコンピューターの代わりに[デフォルトのドメインポリシー(Default Domain Policy)]を選択します 
  4. [(Click) OK]ボタンをクリックしてから、 [完了(Finish)]ボタンをクリックして閉じます。
  5. 既定のドメインポリシー(Default Domain Policy)]  >[ コンピューターの構成(Computer Configuration)]  >[  Windowsの設定](Windows Settings)  >[ セキュリティの設定](Security Settings)  >[ ローカルポリシー(Local Policies)]を選択し、[ セキュリティオプション(Security Options)]を選択します。
  6. ネットワークセキュリティ:LDAPクライアントの署名要件のプロパティ (Network security: LDAP client signing requirements Properties )]ダイアログボックス で、リストから [署名が必要 ]を選択し、[ (Require signing )OK ]を選択します。
  7. 変更を確認(Confirm)し、設定を適用します。

4]レジストリキーを使用してクライアントのLDAP署名要件を設定します(Set)

最初に行うことは、レジストリのバックアップを取ることです

  • レジストリエディタを開く
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parametersに移動します
  • (Right-click)右ペインを右クリックして、 LDAPServerIntegrityという名前の新しいDWORDを作成します(DWORD)
  • デフォルト値のままにします。

<InstanceName >:変更するADLDSインスタンスの名前。

5]構成の変更にサインインが必要かどうかを確認する方法(How)

ここでセキュリティポリシーが機能していることを確認するには、その整合性を確認する方法があります。

  1. ADDS管理ツール(AD DS Admin Tools)がインストールされているコンピューターにサインインします。
  2. 実行(Run)プロンプトを開き、ldp.exeと入力して、Enterキー(Enter)を押します。これは、 ActiveDirectory(Active Directory)名前空間をナビゲートするために使用されるUIです。
  3. [接続]>[接続]を選択します。
  4. [サーバー(Server) と ポート(Port)]に 、サーバー名とディレクトリサーバーの非SSL / TLSポートを入力し、[OK]を選択します。
  5. 接続が確立されたら、[接続]>[バインド]を選択します。
  6. [バインド(Bind)の種類]で 、[シンプル(Simple)バインド]を選択します 。
  7. ユーザー名とパスワードを入力し、[OK]を選択します。

Ldap_simple_bind_s()が失敗し(Ldap_simple_bind_s() failed: Strong Authentication Required)たというエラーメッセージが表示された場合  :強力な認証が必要です。これで、ディレクトリサーバーは正常に構成されました。

6] 「署名が必要(Require)」オプションを使用しないクライアントを見つける方法(How)

クライアントマシンが安全でない接続プロトコルを使用してサーバーに接続するたびに、イベントID2889(Event ID 2889)が生成されます。ログエントリには、クライアントのIPアドレスも含まれます。16  LDAPインターフェイスイベント(LDAP Interface Events) 診断設定を 2(基本)(2 (Basic). )に設定して、これを有効にする必要があります。ここMicrosoftでADおよび(here at Microsoft)LDS診断イベントロギングを構成する方法を学びます。

LDAP署名(LDAP Signing)は非常に重要であり、WindowsServerおよびクライアントマシンでLDAP署名を有効にする方法を明確に理解するのに役立つことを願っています。(Windows Server)



明美 高橋

About the author

私は経験豊富なソフトウェア エンジニアであり、ユーザー アカウント、家族の安全、Google Chrome テクノロジの開発と管理に 10 年以上の経験があります。私は数学とコンピュータ サイエンスの強力な基礎を持っており、それを使用して自分のスキルを明確かつ簡潔に説明しています。


Related posts