| 域控制器 LDAP 服务器通道绑定令牌要求 | 您所在的位置:网站首页 › Token令牌 分类 › 域控制器 LDAP 服务器通道绑定令牌要求 |
|
域控制器:LDAP 服务器通道绑定令牌要求
项目
04/29/2023
适用于: Windows Server本文介绍域控制器的最佳做法、位置、值和安全注意事项 :LDAP 服务器通道绑定令牌要求 安全策略设置。 参考此策略设置确定轻型目录访问协议 (LDAP) 服务器是否需要 LDAP 客户端协商通道绑定 (EPA) 。 未签名/未受保护的网络流量容易受到中间人攻击,其中入侵者捕获服务器和客户端设备之间的数据包,并在转发到客户端设备之前对其进行修改。 在 LDAP 服务器示例中,恶意用户可能导致客户端设备根据 LDAP 目录中的虚假记录做出决策。 可以通过实施强大的物理安全措施来保护网络基础结构来降低企业网络中的风险。 此外,实现 Internet 协议安全性 (IPsec) 身份验证标头模式(为 IP 流量提供相互身份验证和数据包完整性)可能会使所有类型的中间人攻击变得困难。 如果通道绑定设置为“始终”,则不支持通道绑定的 LDAP 客户端将被拒绝。 如果通道绑定在支持时设置为 ,则只会阻止不正确的通道绑定,并且不支持通道绑定的客户端可以继续通过 LDAP over TLS 进行连接。使用 SASL 身份验证方法对用户进行身份验证时,CBT 或 EPA 与 TLS 会话一起使用。 SASL 表示使用 NTLM 或 Kerberos 进行用户身份验证。 LDAP 简单绑定 over TLS 不提供通道绑定令牌保护,因此不建议这样做。 可能值 从不:不执行通道绑定验证。 这是所有尚未更新的服务器的行为。 支持时:通过 TLS/SSL 连接进行身份验证时,播发对通道绑定令牌的支持的客户端必须提供正确的令牌;不播发此类支持和/或不使用 TLS/SSL 连接的客户端不受影响。 这是允许应用程序兼容性的中间选项。 始终:所有客户端都必须通过 LDAPS 提供通道绑定信息。 服务器拒绝来自不这样做的客户端的 LDAPS 身份验证请求。 最佳做法建议将 “域控制器:LDAP 服务器通道绑定令牌要求 ”设置为 “始终”。 不支持 LDAP 通道绑定的客户端将无法对域控制器执行 LDAP 查询。 位置计算机配置\Windows 设置\安全设置\本地策略\安全选项 默认值下表列出了此策略的实际和有效的默认值。 默认值也会在策略的属性页上列出。 服务器类型或 GPO 默认值 默认域策略 未定义 默认域控制器策略 未定义 独立服务器默认设置 未定义 DC 有效默认设置 无 成员服务器有效默认设置 无 客户端计算机有效默认设置 无 策略管理本部分介绍了可用于帮助管理此策略的功能和工具。 重启要求无。 当在本地保存或通过组策略分发对此策略进行的更改时,这些更改无需重启设备即可立即生效。 安全注意事项本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。 漏洞未签名/未受保护的网络流量容易受到中间人攻击。 在此类攻击中,入侵者捕获服务器和客户端设备之间的数据包,对其进行修改,然后将其转发到客户端设备。 关于 LDAP 服务器,攻击者可能导致客户端设备根据 LDAP 目录中的虚假记录做出决策。 为了降低组织网络中此类入侵的风险,可以实施强大的物理安全措施来保护网络基础结构。 还可以实现 Internet 协议安全性 (IPsec) 身份验证标头模式,该模式对 IP 流量执行相互身份验证和数据包完整性,使所有类型的中间人攻击变得困难。 对策将 “域控制器:LDAP 服务器通道绑定令牌要求 ”设置配置为 “始终”。 潜在影响不支持 LDAP 通道绑定的客户端设备无法对域控制器运行 LDAP 查询。 相关文章 安全选项 安装 ADV190023 后的 LDAP 会话安全设置和要求 Windows (KB4520412) 的 2020 LDAP 通道绑定和 LDAP 签名要求 KB4034879:使用 LdapEnforceChannelBinding 注册表项使通过 SSL/TLS 进行 LDAP 身份验证更安全 |
| 今日新闻 |
| 推荐新闻 |
| 专题文章 |
| CopyRight 2018-2019 实验室设备网 版权所有 |