微軟計划於2020年1月推出補丁更新,啟用LDAP簽名。雖然目前版本的操作系統已經包含了這個功能,但是微軟並沒有將它啟用。隨着時間推移,網絡上的威脅越來越多。憑據重放和中間人攻擊在LDAP的攻擊中顯得極為有效。所以,我們需要盡快啟用LDAP簽名這個安全特性。值得注意的是微軟的目錄服務通常在企業內部用作最基本的身份驗證,很多其它系統也依賴於Windows提供的LDAP服務,這些三方系統的兼容性需要得到足夠的測試。建議先在某些域控上啟用策略,完成測試驗證。
先來看一下當前默認情況下的域環境的LDAP連接情況。在客戶端輸入ldp來嘗試手動連接。當然,如果你的計算機上顯示沒有ldp.exe這個程序的話,是因為沒有安裝AD部分的RSAT。需要在添加刪除Windows功能中手動添加。如果看不到圖,請點我。
添加完畢后,就可以運行ldp.exe了。在這里,我們輸入域控的計算機名,並使用默認的389進行連接。
連接成功后,點擊Bind,選擇Simple bind,並輸入用戶名和密碼。
可以看到,目前是可以正常連接到域控的。接下去我們就要進行安全加固了。
首先,需要在域控制器上啟用策略。我一直推薦不要修改Default Domain Policy和Default Domain Controllers Policy這2條默認策略,可以在域級別新建一條LDAP的策略進行修改。然后把同樣的這條策略應用到Domain Controllers這個OU上,並且確保優先級高於默認策略。因為Default Domain Controllers Policy中可能已經將Domain controller: LDAP server signing requirements定義為了None。至少在我的測試環境中是這樣的,為此我還花費了不少時間來解決這個問題。
策略的位於Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options。找到Domain controller: LDAP server signing requirements。將其從Not Defined改成Require signing。
然后,修改域控上的注冊表鍵值。HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ldapserverintegrity
將ldapserverintegrity從1修改為2。需要注意的是如果不修改組策略而直接修改注冊表鍵值,這個值會被修改回1。我就遇到了在添加的LDAP策略中修改后這個鍵值仍然會被改回1。這是由於我的環境中默認域控器策略中定義了這條策略,但是它被設置為None。
接下去就是客戶端策略的修改了。同樣在客戶端所在OU上新建一條策略,然后修改其中的Computer Configuration--Policies--Windows Settings--Security Settings--Local Policies--Security Options下的Network security:LDAP client signing requirements,將其改為Require signing。建議同樣在域控的LDAP策略中將它也設置一下,因為域控也可以作為LDAP客戶端。
同樣的需要修改注冊表鍵值,HKLM\SYSTEM\CurrentControlSet\Services\ldap下的ldapclientintegrity。將它改成2。
然后,采用同樣的方式用ldp連接域控。會發現使用simple bind的連接失敗了,需要更強的驗證方式。更強的LDAP驗證方式包括SSL。如果采用SSL按微軟的說法是仍然可以使用simple bind的。詳細請參考這里:
如果服務器上啟用了LDAP的基本日志,就能看到相應信息。啟用方法是將注冊表中的HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics下的16 LDAP Interface Events從1修改為2。日志啟用的詳細信息請參考這篇文章:
服務器的Directory Service中會記錄2889的事件,說明有人試圖使用非簽名的方式明文連接LDAP服務。
參考文章:
https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server-2008