Windows 的 LdapEnforceChannelBinding 配置
LdapEnforceChannelBinding Configuration for Windows
我们收到了客户的请求,要求我们在 2020 年 1 月中旬通过安全补丁验证我们的软件是否支持 Windows LDAP 身份验证。
Microsoft 提供了一种通过手动配置一些东西来测试软件兼容性的方法。
本质上,组织被要求添加 LDAP 通道绑定和 LDAP 签名配置更改,以便通过 Active Directory 域控制器上的 LDAP 进行身份验证更加安全。
下面是背景理解link
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
我参考以下 link 来配置 LdapEnforceChannelBinding :
有几处不是很清楚(请参考上面link):
- Active Directory 域服务 (AD DS) 域控制器的路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Question: I don't see any parameter folder under NTDS. Do I need to
create a dummy one?
Active Directory 轻型目录服务 (AD LDS) 服务器的路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters
Question: What should be the LDS instance name here , can I create
with any name?
DWORD:LdapEnforceChannelBinding
Question: Where should a add this key as DWORD.
我从来没有做过修改所以问这个问题,如果我的问题听起来很愚蠢,请原谅我。
回答您的问题(这可能更适合服务器故障):
是的,您可以创建名为 Parameters 的密钥,方法是右键单击 NTDS 密钥并选择“新建”->“密钥”,然后键入“参数”并按回车键。
除非您已经配置了 AD LDS 实例,否则我会忽略 AD LDS 配置,如果您已经配置了 AD LDS,那么您会更了解这里要做什么。
如果您右键单击新创建的 Parameters 文件夹并选择新建 -> DWORD(32 位)值,然后键入 LdapEnforceChannelBinding 并按回车键,这应该会创建新值。然后您可以右键单击该值并选择修改,根据您的要求输入 0(禁用)、1(尽力而为)或 2(强制)。
我们收到了客户的请求,要求我们在 2020 年 1 月中旬通过安全补丁验证我们的软件是否支持 Windows LDAP 身份验证。
Microsoft 提供了一种通过手动配置一些东西来测试软件兼容性的方法。
本质上,组织被要求添加 LDAP 通道绑定和 LDAP 签名配置更改,以便通过 Active Directory 域控制器上的 LDAP 进行身份验证更加安全。
下面是背景理解link
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
我参考以下 link 来配置 LdapEnforceChannelBinding :
有几处不是很清楚(请参考上面link):
- Active Directory 域服务 (AD DS) 域控制器的路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Question: I don't see any parameter folder under NTDS. Do I need to create a dummy one?
Active Directory 轻型目录服务 (AD LDS) 服务器的路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters
Question: What should be the LDS instance name here , can I create with any name?
DWORD:LdapEnforceChannelBinding
Question: Where should a add this key as DWORD.
我从来没有做过修改所以问这个问题,如果我的问题听起来很愚蠢,请原谅我。
回答您的问题(这可能更适合服务器故障):
是的,您可以创建名为 Parameters 的密钥,方法是右键单击 NTDS 密钥并选择“新建”->“密钥”,然后键入“参数”并按回车键。
除非您已经配置了 AD LDS 实例,否则我会忽略 AD LDS 配置,如果您已经配置了 AD LDS,那么您会更了解这里要做什么。
如果您右键单击新创建的 Parameters 文件夹并选择新建 -> DWORD(32 位)值,然后键入 LdapEnforceChannelBinding 并按回车键,这应该会创建新值。然后您可以右键单击该值并选择修改,根据您的要求输入 0(禁用)、1(尽力而为)或 2(强制)。