LDAP imzalama , ^{(LDAP signing)}Windows Server'da^{(Windows Server)} bir dizin sunucusunun güvenliğini artırabilen bir kimlik doğrulama yöntemidir . Etkinleştirildiğinde, imzalama istemeyen veya isteğin SSL olmayan/TLS şifreli kullanıp kullanmadığını reddedecektir. Bu gönderide, Windows Server^{(Windows Server)} ve istemci makinelerde LDAP imzalamayı nasıl etkinleştirebileceğinizi paylaşacağız . LDAP , Basit Dizin Erişim Protokolü^{(Lightweight Directory Access Protocol)} (LDAP) anlamına gelir   .

Windows bilgisayarlarda LDAP imzalama nasıl etkinleştirilir

Saldırganın sunucu yapılandırmasını ve verilerini değiştirmek için sahte bir LDAP^(LDAP) istemcisi kullanmadığından emin olmak için LDAP imzalamayı etkinleştirmek çok önemlidir . İstemci makinelerde etkinleştirmek de aynı derecede önemlidir.

1. ^(Set)Sunucu LDAP imzalama gereksinimini ayarlayın
2. ^(Set)Yerel^(Local) bilgisayar ilkesini kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın
3. ^(Set)Etki Alanı Grup İlkesi Nesnesini^{(Domain Group Policy Object)} kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın
4. ^(Set)Kayıt defteri^(Registry) anahtarlarını kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın
5. Yapılandırma değişiklikleri nasıl doğrulanır?
6. " İmza gerektir^(Require) " seçeneğini kullanmayan istemciler nasıl bulunur?

Son bölüm , bilgisayarda İmza iste özelliği etkin olmayan^{(do not have Require signing enabled)} istemcileri belirlemenize yardımcı olur . BT yöneticilerinin bu bilgisayarları izole etmesi ve bilgisayarlarda güvenlik ayarlarını etkinleştirmesi için yararlı bir araçtır.

1] Sunucu LDAP imzalama gereksinimini ayarlayın^(Set)

1. Microsoft Yönetim Konsolu'nu^{(Microsoft Management Console)} açın (mmc.exe)
2. Dosya >  Ek Bileşen Ekle^(Add) /Kaldır'ı seçin >  Grup İlkesi Nesne Düzenleyicisi'ni^{(Group Policy Object Editor)} seçin ve ardından  Ekle'yi^(Add) seçin .
3. Grup İlkesi Sihirbazı'nı^{(Group Policy Wizard)} açacaktır . Gözat^(Browse) düğmesine  tıklayın^(Click) ve Yerel Bilgisayar yerine Varsayılan Etki Alanı İlkesi'ni seçin.^{(Default Domain Policy)}
4. Tamam^(Click) düğmesine ve ardından Bitir^(Finish) düğmesine tıklayın ve kapatın.
5. Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies öğesini  ve ardından Güvenlik Seçenekleri öğesini seçin.
6. Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri^{(Domain controller: LDAP server signing requirements)} öğesine sağ tıklayın  ve ardından Özellikler öğesini seçin.
7. Etki  alanı^(Domain) denetleyicisi: LDAP sunucusu imzalama gereksinimleri Özellikler^(Properties)  iletişim kutusunda  Bu ilke ayarını  tanımla'yı etkinleştirin, Bu ilkeyi ^(Define)tanımla ayar listesinde İmza gerektir'i^{(Require signing in the Define this policy setting list,)} ve ardından Tamam'ı seçin.
8. Ayarları tekrar kontrol edin ve uygulayın.

2] Yerel bilgisayar ilkesini kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın^(Set)

1. Çalıştır^(Run) istemini açın ve gpedit.msc yazın ve Enter tuşuna basın.
2. Grup ilkesi düzenleyicisinde, Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies ve ardından  Güvenlik Seçenekleri'ni seçin.^{(Security Options.)}
3. Ağ güvenliği: LDAP istemci imzalama gereksinimleri'ne^{(Network security: LDAP client signing requirements)} sağ tıklayın ve ardından Özellikler'i seçin.
4. Ağ^(Network) güvenliği: LDAP istemci imzalama gereksinimleri Özellikler   iletişim kutusunda, listeden  İmza iste'yi^{(Require signing)} ve ardından Tamam'ı seçin .^(Properties)
5. Değişiklikleri onaylayın ve uygulayın.

3] Bir etki alanı Grup İlkesi Nesnesi^{(Group Policy Object)} kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın^(Set)

1. Microsoft Yönetim Konsolu'nu açın (mmc.exe)^{(Open Microsoft Management Console (mmc.exe))}
2. Dosya   >  Ek Bileşen ^(File)Add/Remove Snap-in >  seçin  > Grup İlkesi Nesne Düzenleyicisi'ni^{(Group Policy Object Editor)} seçin ve ardından  Ekle'yi^(Add) seçin .
3. Grup İlkesi Sihirbazı'nı^{(Group Policy Wizard)} açacaktır . Gözat^(Browse) düğmesine  tıklayın^(Click) ve Yerel Bilgisayar yerine Varsayılan Etki Alanı İlkesi'ni seçin.^{(Default Domain Policy)}
4. Tamam^(Click) düğmesine ve ardından Bitir^(Finish) düğmesine tıklayın ve kapatın.
5. Varsayılan Etki Alanı İlkesi^{(Default Domain Policy)}  >  Bilgisayar Yapılandırması^{(Computer Configuration)}  >  Windows Ayarları^{(Windows Settings)} >   Güvenlik  Ayarları^{(Security Settings)}  >  Yerel İlkeler'i^{(Local Policies)} ve ardından  Güvenlik Seçenekleri'ni^{(Security Options)} seçin .
6. Ağ güvenliği: LDAP istemci imzalama gereksinimleri Özellikler ^{(Network security: LDAP client signing requirements Properties )} iletişim  kutusunda, listeden  İmza iste'yi ^{(Require signing )} ve ardından  Tamam'ı seçin^(OK) .
7. Değişiklikleri onaylayın^(Confirm) ve ayarları uygulayın.

4] Kayıt defteri anahtarlarını kullanarak istemci LDAP imzalama gereksinimini ^(LDAP)ayarlayın^(Set)

Yapılacak ilk ve en önemli şey , kayıt defterinizin yedeğini almaktır.

• Kayıt Defteri Düzenleyicisini Aç
• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters gidin
• Sağ bölmeye sağ tıklayın ve ^{(Right-click)}LDAPServerIntegrity adında yeni bir DWORD oluşturun^(DWORD)
• Varsayılan değerine bırakın.

<InstanceName >: Değiştirmek istediğiniz AD LDS örneğinin adı.^{(AD LDS)}

5] Yapılandırma değişikliklerinin şimdi oturum açmayı gerektirip gerektirmediği nasıl^(How) doğrulanır

Güvenlik ilkesinin burada çalıştığından emin olmak için bütünlüğü nasıl kontrol edilir.

1. AD DS Yönetici Araçları'nın^{(AD DS Admin Tools)} yüklü olduğu bir bilgisayarda oturum açın.
2. Çalıştır^(Run) istemini açın ve ldp.exe yazın ve Enter tuşuna basın. Active Directory ad alanında gezinmek için kullanılan bir kullanıcı arabirimidir.
3. Bağlantı > Bağlan'ı seçin.
4. Sunucu^(Server)  ve  Bağlantı Noktası^(Port) alanında ,  dizin sunucunuzun sunucu adını ve SSL/TLS olmayan bağlantı noktasını yazın ve ardından Tamam'ı seçin.
5. Bağlantı kurulduktan sonra Bağlantı > Bağla'yı seçin.
6. Bağlama^(Bind) türü  altında  Basit^(Simple) ciltleme'yi seçin.
7. Kullanıcı adını ve parolayı yazın ve ardından Tamam'ı seçin.

Ldap_simple_bind_s() fail: Strong Authentication Required^{(Ldap_simple_bind_s() failed: Strong Authentication Required)} diyen bir hata mesajı alırsanız  , dizin sunucunuzu başarıyla yapılandırdınız.

6] " İmza gerektir^(Require) " seçeneğini kullanmayan istemciler nasıl bulunur?^(How)

İstemci makine, güvenli olmayan bir bağlantı protokolü kullanarak sunucuya her bağlandığında, Olay Kimliği 2889^{(Event ID 2889)} oluşturur . Günlük girişi, istemcilerin IP adreslerini de içerecektir. 16  LDAP Arayüz Olayı^{(LDAP Interface Events)}  tanı ayarını  2 (Temel)^{(2 (Basic). )} olarak ayarlayarak bunu etkinleştirmeniz gerekecektir . Microsoft'ta AD ve LDS^(LDS) tanılama olayı günlüğünü burada^{(here at Microsoft)} nasıl yapılandıracağınızı öğrenin .

LDAP İmzalama çok önemlidir ve umarım bu, ^{(LDAP Signing)}Windows Server'da^{(Windows Server)} ve istemci makinelerde LDAP imzalamayı nasıl etkinleştirebileceğinizi açıkça anlamanıza yardımcı olmuştur.

How to enable LDAP signing in Windows Server & Client Machines

LDAP signing is an authentication method in Windows Server that can improve the security of a directory server. Once enabled, it will reject any request that doesn’t ask for signing or if the request is using non-SSL/TLS-encrypted. In this post, we will share how you can enable LDAP signing in Windows Server and client machines. LDAP stands for  Lightweight Directory Access Protocol (LDAP).

How to enable LDAP signing in Windows computers

To make sure that the attacker doesn’t use a forged LDAP client to change server configuration and data, it is essential to enabling LDAP signing.  It is equally important to enable it on the client machines.

1. Set the server LDAP signing requirement
2. Set the client LDAP signing requirement by using Local computer policy
3. Set the client LDAP signing requirement by using the Domain Group Policy Object
4. Set the client LDAP signing requirement by using Registry keys
5. How to verify configuration changes
6. How to find clients that do not use the “Require signing” option

The last section helps you to figure out clients that do not have Require signing enabled on the computer. It is a useful tool for IT admins to isolate those computers, and enable the security settings on the computers.

1] Set the server LDAP signing requirement

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. Right-click Domain controller: LDAP server signing requirements, and then select Properties.
7. In the Domain controller: LDAP server signing requirements Properties dialog box, enable Define this policy setting, select Require signing in the Define this policy setting list, and then select OK.
8. Recheck the settings and apply them.

2] Set the client LDAP signing requirement by using local computer policy

1. Open Run prompt, and type gpedit.msc, and press the Enter key.
2. In the group policy editor, navigate to Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
3. Right-click on Network security: LDAP client signing requirements, and then select Properties.
4. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
5. Confirm changes and apply them.

3] Set the client LDAP signing requirement by using a domain Group Policy Object

1. Open Microsoft Management Console (mmc.exe)
2. Select File > Add/Remove Snap-in > select Group Policy Object Editor, and then select Add.
3. It will open the Group Policy Wizard. Click on the Browse button, and select Default Domain Policy instead of Local Computer
4. Click on the OK button, and then on the Finish button, and close it.
5. Select Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, and then select Security Options.
6. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list and then choose OK.
7. Confirm changes and apply the settings.

4] Set the client LDAP signing requirement by using registry keys

The first and foremost thing to do is take a backup of your registry

• Open Registry Editor
• Navigate to HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
• Right-click on the right pane, and create a new DWORD with name LDAPServerIntegrity
• Leave it to its default value.

<InstanceName>: Name of the AD LDS instance that you want to change.

5] How to verify if configuration changes now require sign-in

To make sure the security policy is working here is how to check its integrity.

1. Sign in to a computer that has the AD DS Admin Tools installed.
2. Open Run prompt, and type ldp.exe, and press the Enter key. It is a UI used for navigating through the Active Directory namespace
3. Select Connection > Connect.
4. In Server and Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.
5. After a connection is established, select Connection > Bind.
6. Under Bind type, select Simple bind.
7. Type the user name and password, and then select OK.

If you receive an error message saying  Ldap_simple_bind_s() failed: Strong Authentication Required, then you have successfully configured your directory server.

6] How to find clients that do not use the “Require signing” option

Every time a client machine connects to the server using an insecure connection protocol, it generates Event ID 2889.  The log entry will also contain the IP addresses of the clients. You will need to enable this by setting the 16 LDAP Interface Events diagnostic setting to 2 (Basic). Learn how to configure AD and LDS diagnostic event logging here at Microsoft.

LDAP Signing is crucial, and I hope the was able to help you clearly understand how you can enable LDAP signing in Windows Server, and on the client machines.

Related posts

• Remote Access Client Account Lockout'yi Windows Server'de yapılandırın

• Windows Server'den İdari Payları Devre Dışı Bırak

• Iperius Backup: Windows 10 yedeklerini otomatikleştirmek için ücretsiz

• Windows Server Windows Server'daki Bloated Registry kovanlarını sıkıştırır

• Nasıl Enable & Configure DNS Aging & Scavenging içinde Windows Server

• Reset Windows Update Client PowerShell Script kullanarak

• PowerShell yoluyla giderme Windows Server Network connectivity konular

• Windows 10 PC için Best Free FTP Client software

• Fix Your DNS Server kullanılamaz hatası olabilir

• XP'de IIS Nasıl Kurulur ve Bir Web Sunucusu Nasıl Yapılandırılır

• Windows 11'de DNS Sunucusu Nasıl Değiştirilir

• Windows 10'de bir halk VPN Server nasıl oluşturulur?

• Backup VMware Virtual Machines ile Azure Backup Server

• DNS Client Service Windows 10'da grileşirse nasıl etkinleştirilir?

• Fix Fallout 76 Disconnected'den Server'dan

• Server için Fix Omegle Error Connecting (2021),

• Global Proxy Server Settings Windows 10'te nasıl yapılandırılır

• Nasıl otomat Windows Server backup için Amazon S3

• Fix Site Ca ulaşılamaz, Server IP Could bulunamadı

• DNS Server'iniz Windows 10'de kullanılamıyor olabilir