Domänencontroller: Signaturanforderungen für LDAP-Server
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Domänencontroller: Signaturanforderungen für LDAP-Server beschrieben.
Referenz
Diese Einstellung bestimmt, ob der LDAP-Server (Lightweight Directory Access Protocol) fordert, dass LDAP-Clients eine Datensignatur aushandeln müssen.
Nicht signierter Netzwerkdatenverkehr ist anfällig für Man-in-the-Middle-Angriffe, bei denen ein Angreifer Pakete zwischen dem Server und dem Clientgerät abfängt und manipuliert, bevor sie an das Clientgerät weitergeleitet werden. Für einen LDAP-Server bedeutet dies, dass ein böswilliger Benutzer ein Clientgerät mit falschen Datensätzen aus dem LDAP-Verzeichnis veranlassen kann, Entscheidungen zu treffen. In einem Unternehmensrisiko können Sie das Risiko derartiger Aktivitäten eines böswilligen Benutzers mindern, indem Sie strenge physische Sicherheitsmaßnahmen zum Schutz der Netzwerkinfrastruktur implementieren. Darüber hinaus kann die Implementierung des IPsec (Internet Protocol Security)-Authentifizierungsheadermodus, der gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr sicherstellt, sämtliche Formen von Man-in-the-Middle-Angriffe extrem erschweren.
Diese Einstellung hat keinen Einfluss auf einfache LDAP-Bindungen oder einfache LDAP-Bindungen über SSL.
Wenn das Signieren erforderlich ist, werden Anfragen für einfache LDAP-Bindungen und einfache LDAP-Bindungen über SSL abgelehnt.
Achtung
Wenn Sie den Server auf „Signatur erforderlich“ festlegen, müssen Sie auch das Clientgerät festlegen. Wenn das Clientgerät nicht festgelegt wird, geht die Verbindung mit dem Server verloren.
Mögliche Werte
Keine. Datensignaturen sind nicht erforderlich, um Bindungen mit dem Server herzustellen. Sollte der Clientcomputer Datensignaturen fordern, wird dies vom Server unterstützt.
Signatur erforderlich. Die LDAP-Datensignatur-Option muss ausgehandelt werden, es sei denn, SSL/TLS (Transport Layer Security/Secure Sockets Layer) wird verwendet.
Nicht definiert.
Bewährte Methoden
- Es wird empfohlen, Domänencontroller: Signaturanforderungen für LDAP-Server auf Signatur erforderlich festzulegen. Clients, die keine LDAP-Signaturen unterstützen, können keine LDAP-Abfragen für die Domänencontroller ausführen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für DC |
Keine |
Effektive Standardeinstellungen für Mitgliedsserver |
Keine |
Effektive Standardeinstellungen für Clientcomputer |
Keine |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Nicht signierter Netzwerkverkehr ist anfällig für Man-in-the-Middle-Angriffe. Bei derartigen Angriffen fängt ein Angreifer solche Pakete zwischen dem Server und dem Clientgerät ab, modifiziert sie und leitet sie anschließend an das Clientgerät weiter. In Bezug auf LDAP-Server könnte ein Angreifer ein Clientgerät veranlassen, Entscheidungen zu treffen, die auf falschen Datensätzen aus dem LDAP-Verzeichnis basieren. Um das Risiko eines solchen Eindringens in das Netzwerk einer Organisation zu mindern, können Sie zum Schutz der Netzwerkinfrastruktur strenge physische Sicherheitsmaßnahmen implementieren. Zudem können Sie den IPsec (Internet Protocol Security)-Authentifizierungsheadermodus implementieren, der gegenseitige Authentifizierung und Paketintegrität für IP-Datenverkehr sicherstellt und sämtliche Formen von Man-in-the-Middle-Angriffen extrem erschwert.
Gegenmaßnahme
Legen Sie die Einstellung Domänencontroller: Signaturanforderungen für LDAP-Server auf Signatur erforderlich fest.
Mögliche Auswirkung
Clientgeräte, die keine LDAP-Signaturen unterstützen, können keine LDAP-Abfragen für Domänencontroller ausführen.