本文介绍了网络安全策略中关于LDAP客户端签名的要求,强调了数据签名在保护网络安全中的重要性,特别是防止中间人攻击。建议将'网络安全:LDAP客户端签名要求'设置为'要求签名',以确保客户端和服务器之间的通信安全。不正确的配置可能导致数据丢失、访问问题或安全漏洞。默认设置通常为'协商签名',但为了增强安全性,应将其与'域控制器:LDAP服务器签名要求'同步设置为'要求签名'。
网络安全: LDAP 客户端签名要求
04/19/2017
本文内容
适用范围
Windows 10
此适用于 IT 专业人员的安全策略参考主题介绍了此策略设置的最佳方案、位置、值、策略管理和安全注意事项。 此信息适用于至少运行 Windows Server 2008 操作系统的计算机。
参考
此策略设置确定代表发出 LDAP BIND 请求的客户端设备请求的数据签名级别。 下面的列表描述了数据签名级别:
无。 LDAP BIND 请求通过调用方指定的选项发出。
协商签名。 如果尚未启动传输层安全性/安全套接字层 (TLS/SSL) ,则除了调用者指定的选项之外,还通过设置 LDAP 数据签名选项来启动 LDAP BIND 请求。 如果已启动 TLS/SSL,则使用调用方指定的选项启动 LDAP BIND 请求。
需要签名。 此级别与协商签名 相同。 但是,如果 LDAP 服务器的中间 saslBindInProgress 响应不指示需要 LDAP 通信签名,则返回一条消息,指示 LDAP BIND 命令请求失败。
误用此策略设置是可能导致数据丢失或数据访问或安全性问题的常见错误。
可能值
无
协商签名
需要签名
未定义
最佳做法
将"网络安全: LDAP 客户端签名要求"和"域控制器: LDAP 服务器签名要求"设置设置为"要求签名"。 若要避免使用未签名流量,请同时将客户端和服务器端设置为要求签名。 不设置其中一个面将阻止客户端计算机与服务器通信。 这可能会导致许多功能失败,包括用户身份验证、组策略和登录脚本。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
协商签名
DC 有效默认设置
协商签名
成员服务器有效默认设置
协商签名
客户端计算机有效默认设置
协商签名
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,无需重新启动设备,此策略更改将生效。
组策略
修改此设置可能会影响与客户端设备、服务和应用程序的兼容性。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
未签名的网络流量易受中间人攻击,其中一位管理员捕获客户端计算机和服务器之间的数据包,修改数据包,然后将数据包转发到服务器。 对于 LDAP 服务器,这种易见性意味着攻击者可能导致服务器做出基于来自 LDAP 查询的假数据或更改的数据的决策。 若要降低网络中这种风险,可以实施强大的物理安全措施来保护网络基础结构。 此外,如果您需要通过 IPsec 身份验证标头在所有网络数据包上进行数字签名,则会使所有类型的中间人攻击变得极为困难。
对策
将"网络安全: LDAP 客户端签名要求"设置配置为 "要求签名"。
潜在影响
如果将客户端配置为需要 LDAP 签名,则可能无法与不需要对请求进行签名的 LDAP 服务器进行通信。 若要避免此问题,请确保"网络安全: LDAP客户端签名要求"和"域控制器 : LDAP服务器签名要求"设置都设置为"要求签名"。
相关主题
扫一扫
2114
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
