วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server & Client Machines

การลงนาม LDAP(LDAP signing)คือวิธีการตรวจสอบสิทธิ์ในWindows Serverที่สามารถปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ไดเรกทอรีได้ เมื่อเปิดใช้งานแล้ว จะปฏิเสธคำขอใดๆ ที่ไม่ขอลงนาม หรือหากคำขอนั้นใช้การเข้ารหัสที่ไม่ใช่ SSL/TLS ในโพสต์นี้ เราจะแบ่งปันวิธีที่คุณสามารถเปิดใช้งานการลงชื่อเข้า ใช้ LDAP ใน (LDAP)Windows Serverและเครื่องไคลเอนต์ LDAPย่อมาจาก   Lightweight Directory Access Protocol (LDAP)

วิธีเปิดใช้ งาน การลงชื่อLDAP ใน คอมพิวเตอร์Windows

เพื่อให้แน่ใจว่าผู้โจมตีไม่ได้ใช้ไคลเอ็นต์LDAP ที่ปลอมแปลงเพื่อเปลี่ยนการกำหนดค่าและข้อมูลของเซิร์ฟเวอร์ การเปิดใช้งานการ ลงนามLDAP จึงเป็นสิ่งสำคัญ (LDAP)การเปิดใช้งานบนเครื่องไคลเอ็นต์มีความสำคัญเท่าเทียมกัน

  1. ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของเซิร์ฟเวอร์
  2. ตั้งค่า(Set)ข้อกำหนดในการเซ็นชื่อLDAPของไคลเอ็นต์ โดยใช้ Local computer policy
  3. ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้ Domain Group Policy Object
  4. ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้ คีย์รีจิสทรี(Registry)
  5. วิธีตรวจสอบการเปลี่ยนแปลงการกำหนดค่า
  6. วิธีค้นหาลูกค้าที่ไม่ใช้ตัวเลือก “ ต้อง(Require) มี การลงชื่อ”

ส่วนสุดท้ายช่วยให้คุณค้นหาไคลเอ็นต์ที่ไม่ต้องเปิดใช้งานการลงชื่อ(do not have Require signing enabled)บนคอมพิวเตอร์ เป็นเครื่องมือที่มีประโยชน์สำหรับผู้ดูแลระบบไอทีในการแยกคอมพิวเตอร์เหล่านั้นออก และเปิดใช้งานการตั้งค่าความปลอดภัยบนคอมพิวเตอร์

1] ตั้งค่า(Set)ข้อกำหนดการลงชื่อของเซิร์ฟเวอร์LDAP

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server & Client Machines

  1. เปิดMicrosoft Management Console (mmc.exe)
  2. เลือก File >  Add /Remove Snap-in > เลือก  Group Policy Object Editorจากนั้นเลือก  Add
  3. มันจะเปิดตัวช่วยสร้างนโยบาย(Group Policy Wizard)กลุ่ม คลิก(Click)ที่ ปุ่ม Browseและเลือก  Default Domain Policyแทน Local Computer
  4. คลิก(Click)ที่ปุ่ม ตกลง จากนั้นบน ปุ่ม เสร็จสิ้น(Finish)แล้วปิด
  5. เลือก  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policiesแล้วเลือกตัวเลือกความปลอดภัย
  6. คลิกขวาที่  ตัวควบคุมโดเมน: ข้อกำหนดการลงชื่อเซิร์ฟเวอร์ LDAP(Domain controller: LDAP server signing requirements)จากนั้นเลือกคุณสมบัติ
  7. ใน   กล่องโต้ตอบ  คุณสมบัติ(Properties)การลงนามของเซิร์ฟเวอร์LDAPตัวควบคุมโดเมน : คุณสมบัติ เปิดใช้งาน (Domain)กำหนดการ(Define)ตั้งค่านโยบายนี้ เลือก  ต้องการการลงชื่อในรายการการตั้งค่ากำหนดนโยบายนี้(Require signing in the Define this policy setting list,)แล้วเลือกตกลง
  8. ตรวจสอบการตั้งค่าอีกครั้งและนำไปใช้

2] ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้นโยบายคอมพิวเตอร์ท้องถิ่น

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server & Client Machines

  1. เปิด พรอมต์ เรียกใช้(Run)แล้วพิมพ์ gpedit.msc แล้วกดปุ่มEnter
  2. ในตัวแก้ไขนโยบายกลุ่ม ไปที่ Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policiesจากนั้นเลือก  Security Options
  3. คลิกขวาที่Network Security: LDAP Client Signing Requirementsจากนั้นเลือก Properties
  4. ใน  กล่องโต้ตอบ Network security: LDAP Client Signing Terms Properties  ให้เลือก  Require sign(Require signing) in the list แล้วเลือก OK
  5. ยืนยันการเปลี่ยนแปลงและนำไปใช้

3] ตั้งค่า ข้อกำหนดการลงชื่อ (Set)LDAPของไคลเอ็นต์โดยใช้โดเมนGroup Policy Object

  1. เปิด Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. เลือก  ไฟล์(File)  >  Add/Remove Snap-in >  เลือก  Group Policy Object Editorจากนั้นเลือก  เพิ่ม(Add)
  3. มันจะเปิดตัวช่วยสร้างนโยบาย(Group Policy Wizard)กลุ่ม คลิก(Click)ที่ ปุ่ม Browseและเลือก  Default Domain Policyแทน Local Computer
  4. คลิก(Click)ที่ปุ่ม ตกลง จากนั้นบน ปุ่ม เสร็จสิ้น(Finish)แล้วปิด
  5. เลือก  นโยบายโดเมนเริ่มต้น(Default Domain Policy)  >  การ กำหนดค่าคอมพิวเตอร์(Computer Configuration)  >  การตั้งค่า Windows(Windows Settings)  >  การตั้งค่า ความปลอดภัย(Security Settings)  >  นโยบายภายใน(Local Policies)เครื่อง แล้วเลือก  ตัวเลือกความปลอดภัย(Security Options)
  6. ใน  กล่องโต้ตอบ Network security: LDAP Client Signing Terms Properties (Network security: LDAP client signing requirements Properties )เลือก  Require sign (Require signing ) in the list แล้ว  เลือกOK
  7. ยืนยัน(Confirm)การเปลี่ยนแปลงและใช้การตั้งค่า

4] ตั้งค่า ข้อกำหนดการลงชื่อ (Set)LDAPของไคลเอ็นต์โดยใช้คีย์รีจิสทรี

สิ่งแรกและสำคัญที่สุดที่ต้องทำคือสำรองข้อมูลรีจิสทรีของคุณ

  • เปิดตัวแก้ไขรีจิสทรี
  • ไปที่HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • คลิก(Right-click)ขวาที่บานหน้าต่างด้านขวา และสร้างDWORD ใหม่ โดยใช้ชื่อLDAPServerIntegrity
  • ปล่อยให้เป็นค่าเริ่มต้น

<InstanceName >: ชื่อของ อินสแตนซ์ AD LDSที่คุณต้องการเปลี่ยน

5] วิธี(How)ตรวจสอบว่าการเปลี่ยนแปลงการกำหนดค่าต้องลงชื่อเข้าใช้หรือไม่

เพื่อให้แน่ใจว่านโยบายความปลอดภัยใช้งานได้ นี่คือวิธีตรวจสอบความสมบูรณ์ของนโยบาย

  1. ลงชื่อเข้าใช้คอมพิวเตอร์ที่ติดตั้งAD DS Admin Tools
  2. เปิด พร้อมต์ เรียกใช้(Run)และพิมพ์ ldp.exe แล้วกดปุ่มEnter เป็น UI ที่ใช้สำหรับการนำทางผ่านเนมสเปซActive Directory
  3. เลือก การเชื่อมต่อ > เชื่อมต่อ
  4. ใน  Server  and  Portให้พิมพ์ชื่อเซิร์ฟเวอร์และพอร์ตที่ไม่ใช่ SSL/TLS ของไดเร็กทอรีเซิร์ฟเวอร์ของคุณ จากนั้นเลือก ตกลง
  5. หลังจากสร้างการเชื่อมต่อแล้ว ให้เลือก การเชื่อมต่อ > ผูก
  6. ภายใต้  ชนิดการ ผูก(Bind)ให้เลือก  การ ผูกแบบง่าย(Simple)
  7. พิมพ์ชื่อผู้ใช้และรหัสผ่าน จากนั้นเลือก ตกลง

หากคุณได้รับข้อความแสดงข้อผิดพลาดว่า  Ldap_simple_bind_s() failed: Strong Authentication Requiredแสดงว่าคุณได้กำหนดค่าเซิร์ฟเวอร์ไดเรกทอรีของคุณสำเร็จแล้ว

6] วิธี(How)ค้นหาลูกค้าที่ไม่ได้ใช้ตัวเลือก " ต้อง(Require) มี การลงชื่อ"

ทุกครั้งที่เครื่องไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลการเชื่อมต่อที่ไม่ปลอดภัย เครื่องจะสร้างEvent ID 2889 (Event ID 2889)รายการบันทึกจะมีที่อยู่ IP ของไคลเอ็นต์ด้วย คุณจะต้องเปิดใช้งานสิ่งนี้โดยตั้งค่าการ วินิจฉัย  16  LDAP Interface Events ให้เป็น (LDAP Interface Events)2 (พื้นฐาน) (2 (Basic). )เรียนรู้วิธีกำหนดค่า การบันทึกเหตุการณ์การวินิจฉัยAD และLDS ที่นี่ ที่Microsoft(here at Microsoft)

การ ลงนาม LDAP(LDAP Signing)มีความสำคัญ และฉันหวังว่าจะสามารถช่วยให้คุณเข้าใจอย่างชัดเจนถึงวิธีการเปิดใช้ งาน การลงชื่อเข้า ใช้ LDAP ใน (LDAP)Windows Serverและบนเครื่องไคลเอนต์



นันทิชา ปืนครก

About the author

ฉันเป็นผู้เชี่ยวชาญด้าน Windows และทำงานในอุตสาหกรรมซอฟต์แวร์มากว่า 10 ปี ฉันมีประสบการณ์กับทั้งระบบ Microsoft Windows และ Apple Macintosh ทักษะของฉัน ได้แก่ การจัดการหน้าต่าง ฮาร์ดแวร์คอมพิวเตอร์และเสียง การพัฒนาแอพ และอื่นๆ ฉันเป็นที่ปรึกษาที่มีประสบการณ์ซึ่งสามารถช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ Windows ของคุณ


Related posts