Контроллер домена: требование цифровой подписи для LDAP-сервера
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Контроллер домена: требование цифровой подписи для LDAP-сервера.
Справка
Этот параметр политики определяет, должен ли требовать LDAP-сервер от LDAP-клиентов подписывать данные, которыми они обмениваются друг с другом.
Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине", при которых последний перехватывает пакеты, которыми обмениваются сервер и клиент, изменяет их, а затем направляет на клиентское устройство. Для LDAP-сервера это означает, что злоумышленник может заставить клиентское устройство принимать решения на основе ложных записей из каталога LDAP. Вы можете снизить риск таких действий пользователя-злоумышленника в корпоративной сети, приняв строгие меры физической безопасности для защиты сетевой инфраструктуры. Более того, если вы реализуете режим заголовка проверки подлинности IPsec, обеспечивающего взаимную проверку подлинности и целостность пакетов для IP-трафика, то выполнение всех типов атак "злоумышленник в середине" станет чрезвычайно затруднительным.
Этот параметр не оказывает влияния на простые привязки LDAP или на простые привязки LDAP через SSL.
Если необходимо выполнять подписывание данных, то простые привязки LDAP и простые привязки LDAP через SSL будут отклоняться.
Внимание
Если вы указали, что сервер должен требовать подпись, то необходимо аналогичным образом настроить клиентское устройство. Если не настроить клиентское устройство, то подключение к серверу будет разорвано.
Возможные значения
Нет. Для привязки к серверу подписи данных не требуются. Если клиентский компьютер запрашивает подписывание данных, то сервер поддерживает его.
Требуется цифровая подпись. Необходимо согласование способа подписывания данных LDAP, если только не используется протокол TLS/SSL.
Не определено.
Рекомендации
- Рекомендуется задать для параметра Контроллер домена: требование цифровой подписи для LDAP-сервера значение Требовать подпись. Клиенты, не поддерживающие подписывание LDAP, не смогут выполнять запросы LDAP к контроллерам домена.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Нет |
Действующие параметры рядового сервера по умолчанию |
Нет |
Действующие параметры клиентского компьютера по умолчанию |
Нет |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине". При таких атаках злоумышленник перехватывает пакеты, которыми обмениваются сервер и клиент, изменяет их, а затем направляет на клиентское устройство. Для LDAP-сервера это означает, что пользователь-злоумышленник может заставить клиентское устройство принимать решения на основе ложных записей из каталога LDAP. Чтобы снизить риск такого вторжения в сеть организации, можно реализовать строгие меры физической безопасности для защиты сетевой инфраструктуры. Кроме того, если вы реализуете режим заголовка проверки подлинности IPsec, выполняющий взаимную проверку подлинности и целостность пакетов для IP-трафика, то выполнение всех типов атак "злоумышленник в середине" станет чрезвычайно затруднительным.
Меры противодействия
Задайте для параметра Контроллер домена: требование цифровой подписи для LDAP-сервера значение Требовать подпись.
Возможные последствия
Клиентские устройства, которые не поддерживают подписывание LDAP, не смогут запускать запросы LDAP к контроллерам домена.