Die LDAP-Signierung^{(LDAP signing)} ist eine Authentifizierungsmethode in Windows Server , die die Sicherheit eines Verzeichnisservers verbessern kann. Nach der Aktivierung werden alle Anfragen abgelehnt, die nicht zum Signieren auffordern oder wenn die Anfrage nicht SSL/TLS-verschlüsselt ist. In diesem Beitrag teilen wir Ihnen mit, wie Sie die LDAP - Signierung auf Windows Server- und Client-Computern aktivieren können. LDAP steht für   Lightweight Directory Access Protocol (LDAP).

So aktivieren Sie die LDAP - Signierung auf Windows -Computern

Um sicherzustellen, dass der Angreifer keinen gefälschten LDAP -Client verwendet, um die Serverkonfiguration und -daten zu ändern, ist es wichtig, die LDAP - Signierung zu aktivieren. Es ist ebenso wichtig, es auf den Client-Rechnern zu aktivieren.

1. Legen Sie die ^(Set)LDAP - Signaturanforderung des Servers fest
2. Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe der Richtlinie für lokale^(Local) Computer fest
3. Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe des Domänengruppenrichtlinienobjekts fest^{(Domain Group Policy Object)}
4. Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe von Registrierungsschlüsseln^(Registry) fest
5. So überprüfen Sie Konfigurationsänderungen
6. So finden Sie Clients, die die Option „Signierung erforderlich^(Require) “ nicht verwenden

Der letzte Abschnitt hilft Ihnen dabei, Clients zu ermitteln, bei denen Signieren erforderlich^{(do not have Require signing enabled)} auf dem Computer nicht aktiviert ist. Es ist ein nützliches Tool für IT-Administratoren, um diese Computer zu isolieren und die Sicherheitseinstellungen auf den Computern zu aktivieren.

1] Legen Sie die ^(Set)LDAP - Signaturanforderung des Servers fest

1. Öffnen Sie die Microsoft Management Console (mmc.exe)
2. Wählen Sie Datei >  Snap-In  hinzufügen /entfernen > ^(Add)Gruppenrichtlinienobjekt-Editor^{(Group Policy Object Editor)} und dann  Hinzufügen^(Add) aus .
3. Es öffnet den Gruppenrichtlinien-Assistenten^{(Group Policy Wizard)} . Klicken Sie^(Click) auf die Schaltfläche „ Durchsuchen^(Browse) “ und wählen Sie  „Standard-Domänenrichtlinie“^{(Default Domain Policy)} statt „Lokaler Computer“ aus
4. Klicken Sie^(Click) auf die Schaltfläche OK und dann auf die Schaltfläche Fertig^(Finish) stellen und schließen Sie es.
5. Wählen Sie  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies und dann Sicherheitsoptionen aus.
6. Klicken Sie mit der rechten Maustaste auf  Domänencontroller: Signaturanforderungen für LDAP-Server^{(Domain controller: LDAP server signing requirements)} und wählen Sie dann Eigenschaften aus.
7. Aktivieren Sie im   Dialogfeld  Eigenschaften für ^(Properties)Domänencontroller^(Domain) : Signaturanforderungen für LDAP -Server die Option Diese Richtlinieneinstellung definieren^(Define) , wählen  Sie in der Liste Diese Richtlinieneinstellung definieren die Option Signieren erforderlich aus,^{(Require signing in the Define this policy setting list,)} und wählen Sie dann OK aus.
8. Überprüfen Sie die Einstellungen erneut und übernehmen Sie sie.

2] Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe der lokalen Computerrichtlinie fest

1. Öffnen Sie die Eingabeaufforderung Ausführen^(Run) , geben Sie gpedit.msc ein und drücken Sie die Eingabetaste^(Enter) .
2. Navigieren Sie im Gruppenrichtlinien-Editor zu Richtlinie für Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies und wählen Sie dann  Sicherheitsoptionen aus.^{(Security Options.)}
3. Klicken Sie mit der rechten Maustaste auf Netzwerksicherheit: Signaturanforderungen für LDAP-Clients^{(Network security: LDAP client signing requirements)} und wählen Sie dann Eigenschaften aus.
4. Wählen Sie im   Dialogfeld  Eigenschaften für ^(Properties)Netzwerksicherheit^(Network) : Signaturanforderungen für LDAP -Clients die Option Signierung erforderlich in^{(Require signing)} der Liste aus, und wählen Sie dann OK aus.
5. Änderungen bestätigen und anwenden.

3] Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe eines Domänengruppenrichtlinienobjekts fest^{(Group Policy Object)}

1. Öffnen Sie die Microsoft Management Console (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Wählen Sie  Datei^(File)  >  Add/Remove Snap-in >  Gruppenrichtlinienobjekt  -Editor^{(Group Policy Object Editor)} und dann  Hinzufügen^(Add) aus .
3. Es öffnet den Gruppenrichtlinien-Assistenten^{(Group Policy Wizard)} . Klicken Sie^(Click) auf die Schaltfläche „ Durchsuchen^(Browse) “ und wählen Sie  „Standard-Domänenrichtlinie“^{(Default Domain Policy)} statt „Lokaler Computer“ aus
4. Klicken Sie^(Click) auf die Schaltfläche OK und dann auf die Schaltfläche Fertig^(Finish) stellen und schließen Sie es.
5. Wählen Sie  Standarddomänenrichtlinie^{(Default Domain Policy)}  >  Computerkonfiguration^{(Computer Configuration)}  >  Windows-Einstellungen^{(Windows Settings)}  >  Sicherheitseinstellungen^{(Security Settings)}  >  Lokale Richtlinien^{(Local Policies)} und dann  Sicherheitsoptionen^{(Security Options)} aus .
6. Wählen Sie im  Dialogfeld  Eigenschaften für Netzwerksicherheit: Signaturanforderungen für LDAP-Clients die Option Signieren erforderlich  ^{(Network security: LDAP client signing requirements Properties )}in ^{(Require signing )} der Liste aus und wählen Sie dann  OK .
7. Änderungen bestätigen^(Confirm) und Einstellungen übernehmen.

4] Legen Sie^(Set) die Client- LDAP - Signaturanforderung mithilfe von Registrierungsschlüsseln fest

Als Erstes sollten Sie eine Sicherungskopie Ihrer Registrierung erstellen

• Öffnen Sie den Registrierungseditor
• Navigieren Sie zu HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Klicken Sie^{(Right-click)} mit der rechten Maustaste auf den rechten Bereich und erstellen Sie ein neues DWORD mit dem Namen LDAPServerIntegrity
• Belassen Sie es auf seinem Standardwert.

<InstanceName >: Name der AD LDS- Instanz, die Sie ändern möchten.

5] So^(How) überprüfen Sie, ob Konfigurationsänderungen jetzt eine Anmeldung erfordern

Um sicherzustellen, dass die Sicherheitsrichtlinie funktioniert, können Sie hier ihre Integrität überprüfen.

1. Melden Sie sich bei einem Computer an, auf dem die AD DS-Verwaltungstools^{(AD DS Admin Tools)} installiert sind.
2. Öffnen Sie die Eingabeaufforderung Ausführen^(Run) , geben Sie ldp.exe ein und drücken Sie die Eingabetaste^(Enter) . Es ist eine Benutzeroberfläche, die zum Navigieren durch den Active Directory -Namespace verwendet wird
3. Wählen Sie Verbindung > Verbinden.
4. Geben  Sie unter Server  und  Port den Servernamen und den Nicht-SSL/TLS-Port Ihres Verzeichnisservers ein und wählen Sie dann OK aus.
5. Nachdem eine Verbindung hergestellt wurde, wählen Sie Verbindung > Binden.
6. Wählen Sie unter  Bindungstyp die Option  Einfache ^(Simple)Bindung^(Bind) aus .
7. Geben Sie den Benutzernamen und das Kennwort ein und wählen Sie dann OK aus.

Wenn Sie die Fehlermeldung  Ldap_simple_bind_s() failed: Strong Authentication Required erhalten , haben Sie Ihren Verzeichnisserver erfolgreich konfiguriert.

6] So^(How) finden Sie Clients, die die Option „Signierung erforderlich^(Require) “ nicht verwenden

Jedes Mal, wenn ein Clientcomputer über ein unsicheres Verbindungsprotokoll eine Verbindung zum Server herstellt, wird die Ereignis-ID 2889^{(Event ID 2889)} generiert . Der Protokolleintrag enthält auch die IP-Adressen der Clients. Sie müssen dies aktivieren, indem Sie die  Diagnoseeinstellung  16  LDAP-Schnittstellenereignisse auf ^{(LDAP Interface Events)}2 (Basis) setzen. ^{(2 (Basic). )}Erfahren Sie hier bei Microsoft^{(here at Microsoft)} , wie Sie die AD- und LDS- Diagnoseereignisprotokollierung konfigurieren .

Die LDAP-Signatur ist von entscheidender Bedeutung, und ich hoffe, dass dies Ihnen dabei helfen konnte, klar zu verstehen, wie Sie die ^{(LDAP Signing)}LDAP - Signatur in Windows Server und auf den Clientcomputern aktivieren können.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Konfigurieren Sie die Kontosperrung des RAS-Clients in Windows Server

• Deaktivieren Sie administrative Freigaben von Windows Server

• Iperius Backup ist eine kostenlose Backup-Software für Windows Server

• So komprimieren Sie aufgeblähte Registrierungsstrukturen in Windows Server

• So aktivieren und konfigurieren Sie DNS-Alterung und -Aufräumarbeiten in Windows Server

• Fix Kann den VPN-Serverfehler auf PIA unter Windows 11 nicht erreichen

• Beheben Sie Verbindungsprobleme mit dem Windows Server-Netzwerk über PowerShell

• Wie man Time Server in Windows 11/10 hinzufügt oder ändert

• So installieren und zeigen Sie Remoteserver-Verwaltungstools (RSAT) in Windows 11 an

• Setzen Sie den Windows Update-Client mithilfe des PowerShell-Skripts zurück

• Behebung, dass ARK keine Serverinformationen für Einladungen abfragen konnte

• So automatisieren Sie die Windows Server-Sicherung auf Amazon S3

• So beheben Sie den Fehler „RPC-Server ist nicht verfügbar“ in Windows

• Behebung des Fehlers „Ausführung des Windows Media Player-Servers fehlgeschlagen“.

• Der Gruppenrichtlinien-Clientdienst hat die Anmeldung in Windows 11/10 nicht bestanden

• So ändern Sie den DNS-Server unter Windows 11

• So entfernen Sie Rollen und Features in Windows Server

• Beheben Sie den Fehler „Ihr DNS-Server ist möglicherweise nicht verfügbar“.

• Der DHCP-Clientdienst gibt in Windows 11/10 den Fehler „Zugriff verweigert“ aus

• Filezilla Server und Client einrichten: Screenshot und Video-Tutorial