Сетевая безопасность: требование цифровой подписи для LDAP-клиента
В этом справочном разделе о политике безопасности, предназначенном для ИТ-специалистов, описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для этого параметра политики. Эти сведения применимы к компьютерам под управлением операционной системы Windows Server 2008 или более поздних версий.
Справка
Этот параметр политики определяет уровень подписи данных, запрашиваемый от имени клиентских устройств, которые отправляют запросы LDAP BIND. Уровни подписи данных приведены в следующем списке.
Нет. Запрос LDAP BIND, отправляемый указанными вызывающей стороной параметрами.
Согласование цифровой подписи. Если протокол TLS/SSL не запущен, то запрос LDAP BIND инициируется с параметром подписи данных LDAP, настроенным в дополнение к параметрам, указанным вызывающей стороной. Если протокол TLS/SSL запущен, то запрос LDAP BIND инициируется с параметрами, указанными вызывающей стороной.
Требуется цифровая подпись. Этот уровень аналогичен уровню Согласование цифровой подписи. Однако если промежуточный ответ saslBindInProgress сервера LDAP не указывает, что требуется подпись трафика LDAP, вызывающей стороне возвращается сообщение об ошибке запроса команды LDAP BIND.
Неправильное использование этого параметра политики является распространенной ошибкой и может привести к потере данных, проблемам с доступом к данным или безопасностью.
Возможные значения
Нет
Согласование цифровой подписи
Требуется цифровая подпись
Не определено
Рекомендации
- Установите для параметра Контроллер домена: требования к подписи для LDAP-сервера значение Требуется цифровая подпись. Если на сервере настроены параметры требования подписи LDAP, следует также настроить эти параметры на клиентских устройствах. Если этого не сделать, клиентские устройства не смогут связаться с сервером. Это может привести к сбою многих функций, в том числе проверки подлинности пользователя, групповой политики и сценариев входа.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Согласование цифровой подписи |
Действующие параметры контроллера домена по умолчанию |
Согласование цифровой подписи |
Действующие параметры рядового сервера по умолчанию |
Согласование цифровой подписи |
Действующие параметры клиентского компьютера по умолчанию |
Согласование цифровой подписи |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Изменение этого параметра может повлиять на совместимость с клиентскими устройствами, службами и приложениями.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине", при которых злоумышленник перехватывает пакеты, которыми обмениваются компьютер и сервер, изменяет их, а затем направляет на сервер. Для сервера LDAP такая восприимчивость означает, что злоумышленник может сделать так, чтобы сервер принимал решения на основе ложных или измененных данных из запроса LDAP. Чтобы снизить этот риск в своей сети, вы можете реализовать строгие физические меры безопасности для защиты сетевой инфраструктуры. Кроме того, можно чрезвычайно усложнить осуществление атак "злоумышленник в середине", если установить требования цифровых подписей для всех сетевых пакетов с помощью проверки подлинности заголовков IPsec.
Меры противодействия
Установите для параметра Сетевая безопасность: требование цифровой подписи для LDAP-сервера значение Требуется цифровая подпись.
Возможные последствия
Если на сервере настроены параметры требования подписи LDAP, необходимо также настроить клиентские компьютеры. Если этого не сделать, клиентские устройства не смогут связаться с сервером. Это может привести к сбою многих функций, в том числе проверки подлинности пользователя, групповой политики и сценариев входа.