Netzwerksicherheit: Signaturanforderungen für LDAP-Clients
Im vorliegenden Referenzthema zu Sicherheitsrichtlinien für IT-Spezialisten werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für diese Richtlinieneinstellung beschrieben. Diese Informationen gelten für Computer, auf denen mindestens das Betriebssystem Windows Server 2008 ausgeführt wird.
Referenzen
Diese Richtlinieneinstellung bestimmt die Datensignaturstufe, die im Namen von Clientgeräten, welche LDAP BIND-Anforderungen senden, angefordert wird. Die Datensignaturstufen werden in der folgenden Liste beschrieben:
Keine: Die LDAP BIND-Anforderung wird mit den vom Aufrufer festgelegten Optionen gesendet.
Signatur aushandeln: Wenn TLS/SSL (Transport Layer Security/Secure Sockets Layer) nicht gestartet wurde, wird die LDAP BIND-Anforderung mit eingestellter LDAP-Datensignaturoption initiiert (zusätzlich zu den vom Aufrufer festgelegten Optionen). Wenn TLS\SSL gestartet wurde, wird die LDAP BIND-Anforderung mit den vom Aufrufer festgelegten Optionen initiiert.
Signatur erforderlich: Diese Stufe entspricht Signatur aushandeln. Wenn die Zwischenantwort „saslBindInProgress“ des LDAP-Servers jedoch nicht besagt, dass eine Signatur des LDAP-Datenverkehrs erforderlich ist, erhält der Aufrufer eine Meldung mit dem Hinweis, dass die Anforderung mit dem LDAP BIND-Befehl fehlgeschlagen ist.
Eine falsche Verwendung dieser Richtlinieneinstellung ist ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.
Mögliche Werte
Keine
Signatur aushandeln
Signatur erforderlich
Nicht definiert
Bewährte Methoden
- Legen Sie für Domänencontroller: Signaturanforderungen für LDAP-Server die Option Signatur erforderlich fest. Wenn Sie festlegen, dass für den Server LDAP-Signaturen erforderlich sind, müssen Sie die gleiche Einstellung auch für die Clientgeräte festlegen. Wenn Sie die Einstellung nicht für die Clientgeräte festlegen, können diese nicht mit dem Server kommunizieren. Dies kann zu Fehlern bei zahlreichen Features führen, u. a. bei der Benutzerauthentifizierung, der Gruppenrichtlinie und bei Anmeldeskripts.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Signatur aushandeln |
Effektive Standardeinstellungen für DC |
Signatur aushandeln |
Effektive Standardeinstellungen für Mitgliedsserver |
Signatur aushandeln |
Effektive Standardeinstellungen für Clientcomputer |
Signatur aushandeln |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientgeräten, Diensten und Anwendungen auswirken.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe, bei denen ein Angreifer die Pakete zwischen dem Clientcomputer und dem Server abfängt, manipuliert und anschließend an den Server weiterleitet. Bei einem LDAP-Server bedeutet diese Anfälligkeit, dass ein Angreifer einen Server veranlassen könnte, Entscheidungen zu treffen, die auf falschen oder geänderten Daten aus den LDAP-Abfragen basieren. Um dieses Risiko im Netzwerk zu mindern, können Sie zum Schutz der Netzwerkinfrastruktur strenge physische Sicherheitsmaßnahmen implementieren. Darüber hinaus können Sie alle Arten von Man-in-the-Middle-Angriffen extrem erschweren, wenn Sie digitale Signaturen für alle Netzwerkpakete über IPsec-Authentifizierungsheader anfordern.
Gegenmaßnahme
Legen Sie für die Einstellung Netzwerksicherheit: Signaturanforderungen für LDAP-Clients die Option Signatur erforderlich fest.
Mögliche Auswirkung
Wenn Sie den Server so konfigurieren, dass LDAP-Signaturen erforderlich sind, müssen Sie auch die Clientcomputer dementsprechend konfigurieren. Wenn Sie die Clientgeräte nicht konfigurieren, können diese nicht mit dem Server kommunizieren. Dies kann zu Fehlern bei zahlreichen Features führen, u. a. bei der Benutzerauthentifizierung, der Gruppenrichtlinie und bei Anmeldeskripts.