Come abilitare la firma LDAP in Windows Server e macchine client

La firma LDAP(LDAP signing) è un metodo di autenticazione in Windows Server che può migliorare la sicurezza di un server di directory. Una volta abilitato, rifiuterà qualsiasi richiesta che non richieda la firma o se la richiesta utilizza una crittografia non SSL/TLS. In questo post, condivideremo come abilitare la firma LDAP nei (LDAP)computer Windows Server(Windows Server) e client. LDAP sta per   LDAP ( Lightweight Directory Access Protocol ).

Come abilitare la firma LDAP nei computer Windows

Per assicurarsi che l'autore dell'attacco non utilizzi un client LDAP contraffatto per modificare la configurazione e i dati del server, è essenziale abilitare la firma LDAP . È altrettanto importante abilitarlo sui computer client.

  1. Impostare(Set) il requisito di firma LDAP del server
  2. Impostare(Set) il requisito di firma LDAP del client utilizzando il criterio del computer locale(Local)
  3. Impostare(Set) il requisito di firma LDAP del client utilizzando l' oggetto Criteri di gruppo di dominio(Domain Group Policy Object)
  4. Impostare(Set) il requisito di firma LDAP del client utilizzando le chiavi del Registro di sistema(Registry)
  5. Come verificare le modifiche alla configurazione
  6. Come trovare clienti che non utilizzano l'opzione " Richiedi(Require) firma".

L'ultima sezione ti aiuta a capire i client che non hanno Richiedi firma abilitato(do not have Require signing enabled) sul computer. È uno strumento utile per gli amministratori IT per isolare quei computer e abilitare le impostazioni di sicurezza sui computer.

1] Impostare(Set) il requisito di firma LDAP del server

Come abilitare la firma LDAP in Windows Server e macchine client

  1. Apri Microsoft Management Console (mmc.exe)
  2. Seleziona File >  Aggiungi(Add) /Rimuovi snap-in > seleziona  Editor oggetti Criteri di gruppo(Group Policy Object Editor) e quindi seleziona  Aggiungi(Add) .
  3. Si aprirà la procedura guidata Criteri(Group Policy Wizard) di gruppo . Fare clic(Click) sul pulsante Sfoglia(Browse) e selezionare  Criterio dominio predefinito(Default Domain Policy) anziché Computer locale
  4. Fare clic(Click) sul pulsante OK, quindi sul pulsante Fine(Finish) e chiuderlo.
  5. Seleziona  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , quindi seleziona Opzioni di sicurezza.
  6. Fare clic con il pulsante destro del mouse su  Controller di dominio: requisiti di firma del server LDAP(Domain controller: LDAP server signing requirements) e quindi selezionare Proprietà.
  7. Nella   finestra di dialogo  Proprietà(Properties) controller di dominio(Domain) : requisiti di firma del server LDAP , abilitare (LDAP)Definisci(Define) questa impostazione dei criteri, selezionare  Richiedi la firma nell'elenco Definisci questa impostazione dei criteri(Require signing in the Define this policy setting list,) e quindi selezionare OK.
  8. Ricontrolla le impostazioni e applicale.

2] Impostare il requisito di firma (Set)LDAP del client utilizzando il criterio del computer locale

Come abilitare la firma LDAP in Windows Server e macchine client

  1. Apri il prompt Esegui(Run) e digita gpedit.msc e premi il tasto Invio(Enter) .
  2. Nell'editor dei criteri di gruppo, vai a Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies e quindi seleziona  Opzioni di sicurezza.(Security Options.)
  3. Fare clic con il pulsante destro del mouse su Sicurezza di rete: requisiti(Network security: LDAP client signing requirements) di firma del client LDAP e quindi selezionare Proprietà.
  4. Nella   finestra di dialogo  Proprietà(Properties) sicurezza di rete(Network) : requisiti di firma client LDAP , selezionare (LDAP)Richiedi firma(Require signing) nell'elenco e quindi scegliere OK.
  5. Conferma le modifiche e applicale.

3] Impostare il requisito di firma (Set)LDAP del client utilizzando un oggetto Criteri di gruppo(Group Policy Object) di dominio

  1. Apri Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Seleziona  File  >  Add/Remove Snap-in >  seleziona  Editor oggetti Criteri di gruppo(Group Policy Object Editor) e quindi seleziona  Aggiungi(Add) .
  3. Si aprirà la procedura guidata Criteri(Group Policy Wizard) di gruppo . Fare clic(Click) sul pulsante Sfoglia(Browse) e selezionare  Criterio dominio predefinito(Default Domain Policy) anziché Computer locale
  4. Fare clic(Click) sul pulsante OK, quindi sul pulsante Fine(Finish) e chiuderlo.
  5. Seleziona  Criteri di dominio predefiniti(Default Domain Policy)  >  Configurazione computer(Computer Configuration)  >  Impostazioni di Windows(Windows Settings)  >  Impostazioni di sicurezza(Security Settings)  >  Criteri locali(Local Policies) , quindi seleziona  Opzioni di sicurezza(Security Options) .
  6. Nella  finestra di dialogo  Proprietà sicurezza di rete: requisiti di firma client LDAP  , selezionare (Network security: LDAP client signing requirements Properties )Richiedi firma (Require signing ) nell'elenco e quindi scegliere  OK .
  7. Conferma(Confirm) le modifiche e applica le impostazioni.

4] Impostare il requisito di firma (Set)LDAP del client utilizzando le chiavi di registro

La prima e più importante cosa da fare è fare un backup del registro

  • Apri l'editor del registro
  • Passare a HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Fare clic(Right-click) con il pulsante destro del mouse sul riquadro di destra e creare una nuova DWORD con il nome LDAPServerIntegrity
  • Lascialo al suo valore predefinito.

<InstanceName >: nome dell'istanza di AD LDS che si desidera modificare.

5] Come(How) verificare se le modifiche alla configurazione ora richiedono l'accesso

Per assicurarsi che la politica di sicurezza funzioni, ecco come verificarne l'integrità.

  1. Accedi a un computer in cui sono installati gli strumenti di amministrazione di Servizi di dominio Active Directory .(AD DS Admin Tools)
  2. Aprire il prompt Esegui(Run) , digitare ldp.exe e premere il tasto Invio(Enter) . È un'interfaccia utente utilizzata per navigare nello spazio dei nomi di Active Directory
  3. Seleziona Connessione > Connetti.
  4. In  Server  e  porta(Port) , digitare il nome del server e la porta non SSL/TLS del server di directory, quindi selezionare OK.
  5. Dopo aver stabilito una connessione, selezionare Connessione > Associa.
  6. In  Tipo di associazione(Bind) , seleziona  Associazione semplice(Simple) .
  7. Digitare il nome utente e la password, quindi selezionare OK.

Se ricevi un messaggio di errore che dice  Ldap_simple_bind_s() non riuscito: Strong Authentication Required(Ldap_simple_bind_s() failed: Strong Authentication Required) , allora hai configurato correttamente il tuo server di directory.

6] Come(How) trovare i clienti che non utilizzano l'opzione " Richiedi(Require) firma".

Ogni volta che una macchina client si connette al server utilizzando un protocollo di connessione non sicuro, genera l' ID evento 2889(Event ID 2889) . La voce di registro conterrà anche gli indirizzi IP dei client. Sarà necessario abilitarlo impostando l'  impostazione diagnostica  16  LDAP Interface Events su (LDAP Interface Events)2 (Base). (2 (Basic). )Scopri come configurare la registrazione degli eventi diagnostici AD e LDS qui su Microsoft(here at Microsoft) .

La firma LDAP(LDAP Signing) è fondamentale e spero che sia stata in grado di aiutarti a capire chiaramente come abilitare la firma LDAP in (LDAP)Windows Server e sui computer client.



Edoardo Fabbri

About the author

Sono uno sviluppatore web con esperienza di lavoro sia con Windows 11 che con Windows 10. Sono anche un utente di Firefox da molti anni e sono diventato abbastanza abile nell'uso della nuovissima console di gioco Xbox One. I miei interessi principali risiedono nello sviluppo di software, in particolare nello sviluppo web e mobile, nonché nella scienza dei dati. Sono molto ben informato sui vari sistemi informatici e sul loro utilizzo, quindi posso fornire un feedback imparziale su vari programmi o servizi che potresti utilizzare.


Related posts