微软计划于2020年1月推出补丁更新,启用LDAP签名。虽然目前版本的操作系统已经包含了这个功能,但是微软并没有将它启用。随着时间推移,网络上的威胁越来越多。凭据重放和中间人攻击在LDAP的攻击中显得极为有效。所以,我们需要尽快启用LDAP签名这个安全特性。值得注意的是微软的目录服务通常在企业内部用作最基本的身份验证,很多其它系统也依赖于Windows提供的LDAP服务,这些三方系统的兼容性需要得到足够的测试。建议先在某些域控上启用策略,完成测试验证。
先来看一下当前默认情况下的域环境的LDAP连接情况。在客户端输入ldp来尝试手动连接。当然,如果你的计算机上显示没有ldp.exe这个程序的话,是因为没有安装AD部分的RSAT。需要在添加删除Windows功能中手动添加。如果看不到图,请点我。
添加完毕后,就可以运行ldp.exe了。在这里,我们输入域控的计算机名,并使用默认的389进行连接。
连接成功后,点击Bind,选择Simple bind,并输入用户名和密码。