Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
Weitere Einzelheiten und Informationen dazu, wie Sie diese Konfigurationsänderung auf dem Server vornehmen, finden Sie unter „http://go.microsoft.com/fwlink/?LinkID=87923„.
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren. Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie „LDAP-Schnittstellenereignisse“ auf Stufe 2 oder höher.
Problemlösung:
- Start -> Gruppenrichtlinienverwaltung
- Rechtsklick auf Domänen\DOMAIN\Domain Controllers\Default Domain Controllers Policy -> Bearbeiten
- Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
- Rechtsklick auf Domänencontroller: Signaturanforderungen für LDAP-Server -> Eigenschaften
- Im Auswahlfeld „Signatur erforderlich“ wählen
- OK
- JA
Zusätzlich noch für die Lokale Richtlinie:
- Start -> Lokale Sicherheitsrichtlinie
- Lokale Richtlinien -> Sicherheitsoptionen
- Rechtsklick auf „Netzwerksicherheit: Signaturanforderungen für LDAP-Clients“ -> Eigenschaften
- Im Auswahlfeld „Signatur erforderlich“ wählen
- OK
- JA
Freiberuflicher IT Berater, Open Source Entwickler und begeisterter Smarthome Nutzer. Das hier ist mein Braindump für Technikthemen, die mich beschäftigen.