Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Принятая политика GPO для подписывания LDAP, но оценка говорит, что это не так.

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Проблема с обеспечением подписи LDAP: Отчет о несоответствии и проверка конфигурации
  4. 1. Подтверждение настройки GPO
  5. 2. Тестирование настройки LDAP signing
  6. 3. Дополнительные настройки
  7. 4. Причины, по которым может возникнуть несоответствие
  8. 5. Рекомендации и шаги действий
  9. Заключение

Вопрос или проблема

Хотел бы начать с того, что я не очень хорошо знаком с LDAP. Я просто хочу убедиться, что подпись LDAP включена. Я включил ее через GPO, а именно “требование подписи сервера LDAP контроллера домена” и “требование подписи клиента LDAP сетевой безопасности”, установив на “Требовать подписи”.

Это было подтверждено с помощью отчета инструмента результата набора политик, но некоторые пентестеры сообщают, что LDAP не требует подписи. Также, чтобы протестировать на своей стороне, я использую стандартное приложение LDP для Windows 11, подключаясь к серверу контроллера домена, чтобы посмотреть, запрашивает ли оно пароль или токен.

Мой первый вопрос: это правильный способ проверить, включена ли подпись LDAP, или те GPO, о которых я упоминал, являются теми, которые мне нужны? Я также поигрался с одним, названным “требованиями токена привязки канала сервера LDAP”, и установил его на “Всегда”, но результат все такой же через приложение LDP.

Ответ или решение

Проблема с обеспечением подписи LDAP: Отчет о несоответствии и проверка конфигурации

Вы столкнулись с ситуацией, когда политика группового управления (GPO) по обеспечению подписи LDAP была успешно применена, однако тестировщики безопасности сообщают о том, что подпись не работает. Давайте разберем каждый аспект этой проблемы для нахождения решения.

1. Подтверждение настройки GPO

Отмеченные вами настройки GPO:

  • "Требование к подписи сервера LDAP доменного контроллера" (Domain controller: LDAP server signing requirement)
  • "Требования к подписыванию клиента LDAP" (Network security: LDAP client signing requirements)

указывают на то, что подписка LDAP должна быть обязательной. Проверить это можно с помощью инструмента проверки "Resultant Set of Policy" (RSoP), который подтвердил, что политики применены.

2. Тестирование настройки LDAP signing

Вы использовали приложение LDP для подключения к серверу доменного контроллера и для тестирования. Однако правильный способ проверки выполнения подписи LDAP заключается не только в том, чтобы подключиться. Вы можете дополнительно выполнить следующие действия:

  • Используйте сетевые снифферы: Инструменты вроде Wireshark помогут вам увидеть, передаются ли данные в зашифрованном виде (с использованием LDAP через SSL/TLS). Если данные отправляются в открытом виде, это может указывать на то, что подпись LDAP не применена.

  • Используйте утилиту nltest: Команда nltest /domain_trusts может помочь проверить настройки доверенности и безопасность вашей схемы проверки.

3. Дополнительные настройки

Вы также упомянули про настройку "Требования к токенам канала подписания сервера LDAP" (LDAP server channel binding token requirements), заданную на «Always». Это хорошее начало, так как эта настройка требует дополнительно использовать токены канала, что повышает уровень безопасности. Убедитесь, что все служебные приложения также поддерживают эту функцию.

4. Причины, по которым может возникнуть несоответствие

Если проверка показывает, что GPO применена, но внешние тестирования показывают обратное, возможны следующие причины:

  • Кэширование GPO: Проверьте, что обновления GPO были применены корректно и не закэшированы. Используйте команду gpupdate /force, чтобы обновить политики на клиентских машинах.

  • Неправильная конфигурация клиента: Убедитесь, что все клиенты, пытающиеся подключиться к вашему LDAP-серверу, также настроены на обязательное использование подписи.

  • Различные версии систем: Некоторые тестировщики могут использовать несовместимые версии программного обеспечения, которые не поддерживают дополнительные функции безопасности.

5. Рекомендации и шаги действий

  1. Проверьте настройки GPO еще раз. Используйте RSoP или Group Policy Management Console для окончательной проверки.
  2. Выполните сетевой анализ трафика с помощью Wireshark для определения, используется ли подписка и шифрование.
  3. Проведите тестирование через разные инструменты (например, nltest) для проверки целостности конфигурации.
  4. Обновите все клиентские системы для гарантии актуальности конфигураций.

Заключение

Проблемы с обеспечением подписи LDAP могут быть результатом множества факторов, включая сетевые настройки и конфигурацию GPO. Настоятельно рекомендуется диагностировать с использованием нескольких методов, чтобы установить подлинную причину проблемы. Следуйте вышеуказанным рекомендациям, и это поможет вам убедиться в том, что политики безопасности действительно действуют на всех уровнях вашей инфраструктуры.

group-policy ldap
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности