اطمینان از تنظیم Domain controller: LDAP server signing requirements روی Require signing (Scored) (DC only)
Profile Applicability
• Level 1 – Domain Controller
Description
این policy setting تعیین میکند که آیا سرور Lightweight Directory Access Protocol (LDAP) به کلاینتهای LDAP برای مذاکره درباره امضای داده (data signing) نیاز دارد یا خیر.
حالت پیشنهادی برای این setting: Require signing است.
نکته: کامپیوترهای عضو دامنه باید دارای Network security باشند: الزامات امضای LDAP قانون (2.3.11.8) برای Negotiate signing یا موارد سطح بالاتر تنظیم شده است.
اگر نباشد، زمانی که signing value مورد نیاز که در بالا گفته شد در Domain Controllers تنظیم شود، باعث fail شدن احراز هویت شان میشود. خوشبختانه، Negotiate signing به صورت پیشفرض در پیکربندی client وجود دارد.
نکته2: این policy setting هیچ تاثیری درLDAP simple bind (ldap_simple_bind) یا LDAP simple bind through SSL (ldap_simple_bind_s) ندارد. هیچ کلاینت Microsoft LDAP با Windows XP Professional از LDAP simple bind یا LDAP simple bind through SSL برای گفتگو با یکDomain Controller استفاده نمیکند.
نکته3: قبل از فعال کردن این تنظیم، ابتدا باید اطمینان حاصل کنید که هیچ کلاینتی (از جمله برنامههای مبتنی بر سرور) که برای تأیید اعتبار با Active Directory از طریق unsigned LDAP تنظیم شدهاند وجود ندارد، زیرا تغییر این تنظیم باعث خراب شدن آن برنامهها میشود. چنین برنامههایی ابتدا باید طوری دوباره پیکربندی شوند که از signed LDAP، Secure LDAP (LDAPS) یا IPsec-protected connections استفاده کنند.
Rationale
ترافیک شبکه امضا نشده (Unsigned network traffic) مستعد ابتلا به حملاتman-in-the-middle است. در چنین حملاتی، یک متجاوز packet های بین سرور و کلاینت را ضبط میکند، آنها را اصلاح میکند و سپس آنها را به کلاینت منتقل میکند. در مورد سرورهای LDAP، یک مهاجم میتواند باعث شود کلاینت بتواند تصمیماتی را اتخاذ کند که بر اساس record های اشتباه از دایرکتوری LDAP است.
برای کاهش ریسک چنین نفوذی در شبکه سازمان، میتوانید اقدامات امنیتی فیزیکی قدرتمندی را برای محافظت از زیرساخت شبکه اعمال کنید. همچنین، میتوانید حالت header احراز هویتIPsec (AH) را اجرا کنید، که احراز هویت متقابل و یکپارچگی packet را برای ترافیک IP انجام میدهد تا اجرای همه انواع حملاتman-in-the-middle را بسیار مشکل نماید.
علاوه بر این، اجازه استفاده از LDAP به طور منظم و unsigned، اجازه میدهد تا احراز هویت از طریق شبکه به صورت clear text دریافت شود که این امر به راحتی میتواند منجر به رهگیری رمزهای عبور حسابهای توسط سایر سیستمهای موجود در شبکه شود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters:LDAPServerIntegrity
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Require signing قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: LDAP server signing requirements
Impact
در صورت استفاده TLS / SSL، گزینه LDAP data signing باید مورد negotiate قرار گیرد. کلاینتهایی که از LDAP signing پشتیبانی نمیکنند، قادر به اجرایqueries هایLDAP در برابرDomain Controllers نخواهند بود. کلیه رایانههای ویندوز 2000 در سازمان شما که از طریق رایانههای مبتنی بر Windows Server 2003 یا Windows XP اداره میشوند و از تأیید اعتبار Windows NT Challenge / Response (NTLM) استفاده میکنند، باید دارای Windows 2000 Service Pack 3 (SP3) باشند. از طرف دیگر، این کلاینتها باید تغییر رجیستری داشته باشند.
همچنین برخی از سیستم عاملهای غیر مایکروسافت ازLDAP signing پشتیبانی نمیکنند. اگر این policy setting را فعال کنید، رایانههای کلاینت که از آن سیستم عاملها استفاده میکنند ممکن است نتوانند به منابع دامین دسترسی پیدا کنند.
Default Value
None. ( Data signingبرای اتصال به سرور نیاز نیست. اگر کلاینت درخواست data signing را داد، سرور از آن پشتیبانی میکند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.