Контроллер домена: требование цифровой подписи для LDAP-сервера

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Контроллер домена: требование цифровой подписи для LDAP-сервера.

Справка

Этот параметр политики определяет, должен ли требовать LDAP-сервер от LDAP-клиентов подписывать данные, которыми они обмениваются друг с другом.

Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине", при которых последний перехватывает пакеты, которыми обмениваются сервер и клиент, изменяет их, а затем направляет на клиентское устройство. Для LDAP-сервера это означает, что злоумышленник может заставить клиентское устройство принимать решения на основе ложных записей из каталога LDAP. Вы можете снизить риск таких действий пользователя-злоумышленника в корпоративной сети, приняв строгие меры физической безопасности для защиты сетевой инфраструктуры. Более того, если вы реализуете режим заголовка проверки подлинности IPsec, обеспечивающего взаимную проверку подлинности и целостность пакетов для IP-трафика, то выполнение всех типов атак "злоумышленник в середине" станет чрезвычайно затруднительным.

Этот параметр не оказывает влияния на простые привязки LDAP или на простые привязки LDAP через SSL.

Если необходимо выполнять подписывание данных, то простые привязки LDAP и простые привязки LDAP через SSL будут отклоняться.

Внимание  

Если вы указали, что сервер должен требовать подпись, то необходимо аналогичным образом настроить клиентское устройство. Если не настроить клиентское устройство, то подключение к серверу будет разорвано.

 

Возможные значения

  • Нет. Для привязки к серверу подписи данных не требуются. Если клиентский компьютер запрашивает подписывание данных, то сервер поддерживает его.

  • Требуется цифровая подпись. Необходимо согласование способа подписывания данных LDAP, если только не используется протокол TLS/SSL.

  • Не определено.

Рекомендации

  • Рекомендуется задать для параметра Контроллер домена: требование цифровой подписи для LDAP-сервера значение Требовать подпись. Клиенты, не поддерживающие подписывание LDAP, не смогут выполнять запросы LDAP к контроллерам домена.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Нет

Действующие параметры рядового сервера по умолчанию

Нет

Действующие параметры клиентского компьютера по умолчанию

Нет

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Неподписанный сетевой трафик подвержен атакам "злоумышленник в середине". При таких атаках злоумышленник перехватывает пакеты, которыми обмениваются сервер и клиент, изменяет их, а затем направляет на клиентское устройство. Для LDAP-сервера это означает, что пользователь-злоумышленник может заставить клиентское устройство принимать решения на основе ложных записей из каталога LDAP. Чтобы снизить риск такого вторжения в сеть организации, можно реализовать строгие меры физической безопасности для защиты сетевой инфраструктуры. Кроме того, если вы реализуете режим заголовка проверки подлинности IPsec, выполняющий взаимную проверку подлинности и целостность пакетов для IP-трафика, то выполнение всех типов атак "злоумышленник в середине" станет чрезвычайно затруднительным.

Меры противодействия

Задайте для параметра Контроллер домена: требование цифровой подписи для LDAP-сервера значение Требовать подпись.

Возможные последствия

Клиентские устройства, которые не поддерживают подписывание LDAP, не смогут запускать запросы LDAP к контроллерам домена.

Связанные разделы

Параметры безопасности

 

 

Показ: