امن سازی ویندوز سرور 2012 – بخش شصت و یکم

cis-server2012R2

اطمینان از تنظیم Domain controller: LDAP server signing requirements روی Require signing (Scored) (DC only)

Profile Applicability

• Level 1 – Domain Controller

Description

این policy setting تعیین می‌کند که آیا سرور Lightweight Directory Access Protocol (LDAP) به کلاینت‌های LDAP برای مذاکره درباره امضای داده (data signing) نیاز دارد یا خیر.

حالت پیشنهادی برای این setting: Require signing است.

نکته: کامپیوترهای عضو دامنه باید دارای Network security باشند: الزامات امضای LDAP قانون (2.3.11.8) برای Negotiate signing یا موارد سطح بالاتر تنظیم شده است.

اگر نباشد، زمانی که signing value مورد نیاز که در بالا گفته شد در Domain Controllers تنظیم شود، باعث fail شدن احراز هویت شان می‌شود. خوشبختانه، Negotiate signing به صورت پیش‌فرض در پیکربندی client وجود دارد.

نکته2: این policy setting هیچ تاثیری درLDAP simple bind (ldap_simple_bind) یا LDAP simple bind through SSL (ldap_simple_bind_s) ندارد. هیچ کلاینت Microsoft LDAP با Windows XP Professional از LDAP simple bind یا LDAP simple bind through SSL برای گفتگو با یکDomain Controller استفاده نمی‌کند.

نکته3: قبل از فعال کردن این تنظیم، ابتدا باید اطمینان حاصل کنید که هیچ کلاینتی (از جمله برنامه‌های مبتنی بر سرور) که برای تأیید اعتبار با Active Directory از طریق unsigned LDAP تنظیم شده‌اند وجود ندارد، زیرا تغییر این تنظیم باعث خراب شدن آن برنامه‌ها می‌شود. چنین برنامه‌هایی ابتدا باید طوری دوباره پیکربندی شوند که از signed LDAP، Secure LDAP (LDAPS) یا IPsec-protected connections استفاده کنند.

Rationale

ترافیک شبکه امضا نشده (Unsigned network traffic) مستعد ابتلا به حملاتman-in-the-middle است. در چنین حملاتی، یک متجاوز packet های بین سرور و کلاینت را ضبط می‌کند، آن‌ها را اصلاح می‌کند و سپس آن‌ها را به کلاینت منتقل می‌کند. در مورد سرورهای LDAP، یک مهاجم می‌تواند باعث شود کلاینت بتواند تصمیماتی را اتخاذ کند که بر اساس record های اشتباه از دایرکتوری LDAP است.

برای کاهش ریسک چنین نفوذی در شبکه سازمان، می‌توانید اقدامات امنیتی فیزیکی قدرتمندی را برای محافظت از زیرساخت شبکه اعمال کنید. همچنین، می‌توانید حالت header احراز هویتIPsec (AH) را اجرا کنید، که احراز هویت متقابل و یکپارچگی packet را برای ترافیک IP انجام می‌دهد تا اجرای همه انواع حملاتman-in-the-middle را بسیار مشکل نماید.

علاوه بر این، اجازه استفاده از LDAP به طور منظم و unsigned، اجازه می‌دهد تا احراز هویت از طریق شبکه به صورت clear text دریافت شود که این امر به راحتی می‌تواند منجر به رهگیری رمزهای عبور حساب‌های توسط سایر سیستم‌های موجود در شبکه شود.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی می‌شود:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters:LDAPServerIntegrity

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Require signing قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: LDAP server signing requirements

Impact

در صورت استفاده TLS / SSL، گزینه LDAP data signing باید مورد negotiate قرار گیرد. کلاینت‌هایی که از LDAP signing پشتیبانی نمی‌کنند، قادر به اجرایqueries هایLDAP در برابرDomain Controllers نخواهند بود. کلیه رایانه‌های ویندوز 2000 در سازمان شما که از طریق رایانه‌های مبتنی بر Windows Server 2003 یا Windows XP اداره می‌شوند و از تأیید اعتبار Windows NT Challenge / Response (NTLM) استفاده می‌کنند، باید دارای Windows 2000 Service Pack 3 (SP3) باشند. از طرف دیگر، این کلاینت‌ها باید تغییر رجیستری داشته باشند.

همچنین برخی از سیستم عامل‌های غیر مایکروسافت ازLDAP signing پشتیبانی نمی‌کنند. اگر این policy setting را فعال کنید، رایانه‌های کلاینت که از آن سیستم عامل‌ها استفاده می‌کنند ممکن است نتوانند به منابع دامین دسترسی پیدا کنند.

Default Value

None. ( Data signingبرای اتصال به سرور نیاز نیست. اگر کلاینت درخواست data signing را داد، سرور از آن پشتیبانی می‌کند.)

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید