كيفية تمكين تسجيل LDAP في Windows Server & Client Machines

توقيع LDAP(LDAP signing) هو طريقة مصادقة في Windows Server يمكنها تحسين أمان خادم الدليل. بمجرد التمكين ، سيرفض أي طلب لا يطلب التوقيع أو إذا كان الطلب يستخدم بدون تشفير SSL / TLS. في هذا المنشور ، سنشارك كيف يمكنك تمكين تسجيل LDAP في Windows Server وأجهزة العميل. يرمز   LDAP إلى بروتوكول الوصول إلى الدليل الخفيف(Lightweight Directory Access Protocol) (LDAP).

كيفية تمكين تسجيل LDAP في أجهزة الكمبيوتر التي تعمل بنظام Windows(Windows)

للتأكد من أن المهاجم لا يستخدم عميل LDAP مزيفًا(LDAP) لتغيير تكوين الخادم والبيانات ، فمن الضروري تمكين توقيع LDAP . من المهم بنفس القدر تمكينه على أجهزة العميل.

  1. قم بتعيين(Set) متطلبات توقيع الخادم LDAP
  2. قم بتعيين متطلبات توقيع (Set)LDAP للعميل باستخدام نهج الكمبيوتر المحلي(Local)
  3. قم بتعيين متطلبات توقيع (Set)LDAP للعميل باستخدام كائن نهج مجموعة المجال(Domain Group Policy Object)
  4. قم بتعيين(Set) متطلبات توقيع العميل LDAP باستخدام مفاتيح التسجيل(Registry)
  5. كيفية التحقق من تغييرات التكوين
  6. كيفية البحث عن العملاء الذين لا يستخدمون خيار " طلب(Require) التوقيع"

يساعدك القسم الأخير في اكتشاف العملاء الذين لم يتم تمكين "طلب التوقيع"(do not have Require signing enabled) على جهاز الكمبيوتر. إنها أداة مفيدة لمسؤولي تكنولوجيا المعلومات لعزل تلك الحواسيب ، وتمكين إعدادات الأمان على أجهزة الكمبيوتر.

1] اضبط(Set) متطلبات توقيع الخادم LDAP

كيفية تمكين تسجيل LDAP في Windows Server & Client Machines

  1. افتح Microsoft Management Console (mmc.exe)
  2. حدد ملف>  إضافة(Add) / إزالة أداة إضافية> حدد  محرر كائن نهج المجموعة(Group Policy Object Editor) ، ثم حدد  إضافة(Add) .
  3. سيفتح معالج نهج المجموعة(Group Policy Wizard) . انقر فوق(Click) الزر " استعراض(Browse) " وحدد  "نهج المجال الافتراضي"(Default Domain Policy) بدلاً من "الكمبيوتر المحلي "
  4. انقر فوق(Click) الزر "موافق" ، ثم على الزر " إنهاء(Finish) " ، وقم بإغلاقه.
  5. حدد  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies ، ثم حدد خيارات الأمان.
  6. انقر بزر الماوس الأيمن فوق  وحدة التحكم بالمجال: متطلبات توقيع خادم LDAP(Domain controller: LDAP server signing requirements) ، ثم حدد خصائص.
  7. في   مربع الحوار  خصائص(Properties) متطلبات توقيع خادم LDAP ، قم بتمكين تحديد (Define)إعداد(Domain) هذا النهج ، وحدد  طلب التسجيل في قائمة إعداد هذا النهج ،(Require signing in the Define this policy setting list,) ثم حدد موافق.
  8. أعد فحص الإعدادات وقم بتطبيقها.

2] قم بتعيين(Set) متطلبات توقيع العميل LDAP باستخدام نهج الكمبيوتر المحلي

كيفية تمكين تسجيل LDAP في Windows Server & Client Machines

  1. افتح موجه التشغيل(Run) ، واكتب gpedit.msc ، واضغط على مفتاح الإدخال .(Enter)
  2. في محرر نهج المجموعة ، انتقل إلى Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies ، ثم حدد  خيارات الأمان.(Security Options.)
  3. انقر بزر الماوس الأيمن فوق أمان الشبكة: متطلبات توقيع عميل LDAP(Network security: LDAP client signing requirements) ، ثم حدد خصائص.
  4. في  أمان الشبكة(Network) :  مربع الحوار  خصائص(Properties) متطلبات توقيع عميل LDAP ، حدد (LDAP)طلب التسجيل(Require signing) في القائمة ثم اختر موافق.
  5. قم بتأكيد التغييرات وتطبيقها.

3] تعيين(Set) متطلبات توقيع العميل LDAP باستخدام مجال نهج مجموعة كائن(Group Policy Object)

  1. افتح Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. حدد  ملف(File)  >  Add/Remove Snap-in >  حدد  محرر كائن نهج المجموعة(Group Policy Object Editor) ، ثم حدد  إضافة(Add) .
  3. سيفتح معالج نهج المجموعة(Group Policy Wizard) . انقر فوق(Click) الزر " استعراض(Browse) " وحدد  "نهج المجال الافتراضي"(Default Domain Policy) بدلاً من "الكمبيوتر المحلي "
  4. انقر فوق(Click) الزر "موافق" ، ثم على الزر " إنهاء(Finish) " ، وقم بإغلاقه.
  5. حدد  نهج المجال الافتراضي(Default Domain Policy)  >  تكوين الكمبيوتر(Computer Configuration)  >  إعدادات Windows(Windows Settings)  >  إعدادات الأمان(Security Settings)  >  السياسات المحلية(Local Policies) ، ثم حدد  خيارات الأمان(Security Options) .
  6. في  أمان الشبكة: مربع الحوار  خصائص متطلبات توقيع عميل LDAP  ، حدد (Network security: LDAP client signing requirements Properties )طلب التسجيل (Require signing ) في القائمة ثم اختر  موافق(OK) .
  7. قم بتأكيد(Confirm) التغييرات وتطبيق الإعدادات.

4] قم بتعيين(Set) متطلبات توقيع العميل LDAP باستخدام مفاتيح التسجيل

أول شيء يجب فعله هو أخذ نسخة احتياطية من السجل الخاص بك

  • افتح محرر التسجيل
  • انتقل إلى HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • انقر بزر الماوس الأيمن(Right-click) على الجزء الأيمن ، وأنشئ DWORD جديدًا باسم LDAPServerIntegrity
  • اتركه لقيمته الافتراضية.

<InstanceName >: اسم مثيل AD LDS الذي تريد تغييره.

5] كيفية(How) التحقق مما إذا كانت تغييرات التكوين تتطلب الآن تسجيل الدخول

للتأكد من أن سياسة الأمان تعمل هنا ، يجب عليك التحقق من سلامتها.

  1. قم بتسجيل الدخول إلى جهاز كمبيوتر مثبت عليه AD DS Admin Tools .
  2. افتح موجه التشغيل(Run) ، واكتب ldp.exe ، واضغط على مفتاح Enter . إنها واجهة مستخدم تستخدم للتنقل عبر مساحة اسم Active Directory
  3. حدد اتصال> اتصال.
  4. في  الخادم(Server)  والمنفذ  ، اكتب(Port) اسم الخادم والمنفذ غير SSL / TLS لخادم الدليل الخاص بك ، ثم حدد موافق.
  5. بعد إنشاء الاتصال ، حدد اتصال> ربط.
  6. ضمن  نوع الربط(Bind) ، حدد  ربط بسيط(Simple) .
  7. اكتب اسم المستخدم وكلمة المرور ، ثم حدد موافق.

إذا تلقيت رسالة خطأ تفيد  بأن Ldap_simple_bind_s () فشل: المصادقة القوية مطلوبة(Ldap_simple_bind_s() failed: Strong Authentication Required) ، فهذا يعني أنك قمت بتكوين خادم الدليل بنجاح.

6] كيفية(How) العثور على العملاء الذين لا يستخدمون خيار " طلب(Require) التوقيع"

في كل مرة يتصل فيها جهاز العميل بالخادم باستخدام بروتوكول اتصال غير آمن ، فإنه ينشئ معرف الحدث 2889(Event ID 2889) . سيحتوي إدخال السجل أيضًا على عناوين IP للعملاء. ستحتاج إلى تمكين هذا عن طريق تعيين الإعداد  التشخيصي  16  لأحداث واجهة LDAP على (LDAP Interface Events)2 (أساسي). (2 (Basic). )تعرف على كيفية تكوين تسجيل أحداث تشخيص AD و LDS هنا في Microsoft(here at Microsoft) .

يعد توقيع LDAP(LDAP Signing) أمرًا بالغ الأهمية ، وآمل أن يكون قادرًا على مساعدتك بوضوح في فهم كيفية تمكين تسجيل LDAP في Windows Server ، وعلى أجهزة العملاء.



عبدالقادر السبيعي

About the author

أنا فني كمبيوتر عملت مع Android وبرامج المكتب لسنوات عديدة. لقد قمت أيضًا بتعليم الأشخاص كيفية استخدام أجهزة Mac على مدار السنوات الخمس الماضية أو نحو ذلك. إذا كنت تبحث عن شخص يعرف كيفية إصلاح الأشياء على جهاز الكمبيوتر الخاص بك ، فربما يمكنني مساعدتك!


Related posts