GPO для подписывания LDAP внедрено, но оценка говорит, что это не так

Вопрос или проблема

Хотел начать с того, что я не очень знаком с LDAP. Я просто хочу убедиться, что подписывание LDAP обязательно. Я заставил это через GPO, а именно “требование подписи сервера LDAP контроллера домена” и “требования подписи клиента LDAP сетевой безопасности”, установив на “Требовать подписи”.

Это было подтверждено выводом отчета инструмента Resultant Set of Policy, но некоторые тестировщики говорят, что LDAP не заставляет подписывать. Также, чтобы протестировать с моей стороны, я использовал стандартное приложение LDP в Windows 11, подключаясь к серверу контроллера домена, чтобы посмотреть, запрашивается ли пароль или токен.

Мой первый вопрос: является ли это правильным способом проверить, включено ли подписывание LDAP, или упомянутые мною GPO – это то, что мне нужно. Я также поиграл с параметром “требования токена привязки канала сервера LDAP” и установил на “Всегда”, но результат такой же, как и в приложении LDP.

Ответ или решение

Проблема с принудительным подписыванием LDAP: Возможные причины и способы проверки

Ваша ситуация с принудительным подписыванием LDAP через групповую политику (GPO) — это важный аспект обеспечения безопасности в вашей сети. Давайте подробно рассмотрим, как правильно проверить, действительно ли подписка подписывается, и какие действия предпринять для окончательной проверки.

1. Подтверждение настроек GPO

Вы уже правильно настроили GPO для требования подписывания LDAP на уровне контроллеров домена и LDAP-клиентов. Убедитесь, что:

  • Политика "Требование для сервера LDAP контроллера домена на подписывание" (Domain Controller: LDAP server signing requirement) установлена на "Требовать подписывание" (Require Signing).
  • Политика "Безопасность сети: Требования к подписыванию клиента LDAP" (Network security: LDAP client signing requirements) также установлена на "Требовать подписывание" (Require Signing).
  • Политика "Требования к токенам канала привязки для сервера LDAP" (LDAP server channel binding token requirements) установлена на "Всегда" (Always).

Для уверенности в том, что политики применяются, используйте утилиту Resultant Set of Policy (RSoP), которая показывает активные настройки GPO на вашем контроллере домена.

2. Проверка наличия подписывания LDAP

Для корректной проверки подписывания LDAP используйте следующие методы:

a. Использование LDP

Программа LDP в Windows позволяет легко проверить, выполняется ли подписывание. Однако, чтобы убедиться, что подписывание работает, вы не просто должны подключаться к контроллеру домена, но и проверять зашифрованный трафик:

  1. Откройте LDP и установите соединение с вашим контроллером домена через LDAPS (LDAP через SSL).
  2. Проверьте, устанавливается ли защищенное SSL-соединение (например, порт 636 для LDAPS). Если да, это знак того, что данные передаются в зашифрованном виде, и может подтверждать, что требование подписывания выполнено.
  3. Если вы подключаетесь через стандартный порт LDAP (389) и данная программа не требует дополнительных учетных данных, возможно, на сервере отсутствует полное обязательное подписывание.

b. Инструменты анализа сетевого трафика

Для более глубокого анализа используйте сетевые снифферы, такие как Wireshark:

  • Запустите Wireshark для захвата трафика, взаимодействующего с вашим контроллером домена.
  • Фильтруйте трафик по протоколу LDAP. Проверьте, зашифрован ли трафик, и удостоверитесь, что в нем есть пакеты, относящиеся к подписыванию.

3. Почему ваши тесты могли не сработать?

Если ваши предварительные тесты с LDP не дают ожидаемых результатов, возможно, вы не используете правильные настройки подключения. Важные моменты включают:

  • Убедитесь, что вы используете LDAP с обязательным SSL (LDAPS), чтобы проверить, что подписывание работает.
  • Проверка того, что ваши тесты проводятся от имени пользователя, которому разрешено подключение к контроллеру домена.

4. Анализ отчета пентестеров

Проверка результатов пентестирования может дать представление о том, как ваши системы воспринимаются извне. Если пентестеры утверждают, что подписывание не применяется, необходимо рассмотреть возможность:

  • Неполного применения GPO.
  • Неправильных настроек на уровне сервера LDAP или последние обновления могли повлиять на безопасность вашего LDAP.

Заключение

Подтверждение принудительного подписывания LDAP — это многогранный процесс, включающий в себя проверку настроек GPO, анализ сетевого трафика и применение правильного инструментария для тестирования. Убедитесь, что все настройки корректно применены и что тесты проводятся с использованием подходящих методов подключения. Если не удается найти причину проблемы, возможно, стоит обратиться за помощью к профессиональному консультанту по безопасности, который поможет провести более глубокий аудит вашей конфигурации.

Оцените материал
Добавить комментарий

Капча загружается...