Windows Server 및 클라이언트 시스템에서 LDAP 서명을 활성화하는 방법
LDAP 서명(LDAP signing) 은 디렉터리 서버의 보안을 향상시킬 수 있는 Windows Server 의 인증 방법입니다 . 활성화되면 서명을 요청하지 않거나 요청이 비 SSL/TLS 암호화를 사용하는 경우 모든 요청을 거부합니다. 이 게시물에서는 Windows Server 및 클라이언트 시스템 에서 LDAP 서명을 활성화하는 방법을 공유합니다. LDAP 는 LDAP( Lightweight Directory Access Protocol )를 나타냅니다.
Windows 컴퓨터 에서 LDAP 서명 을 활성화하는 방법
공격자가 위조된 LDAP(LDAP) 클라이언트를 사용하여 서버 구성 및 데이터를 변경하지 않도록 하려면 LDAP 서명 을 활성화하는 것이 필수적 입니다. 클라이언트 시스템에서 활성화하는 것도 마찬가지로 중요합니다.
- (Set)서버 LDAP 서명 요구 사항 설정
- (Set)로컬(Local) 컴퓨터 정책 을 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- (Set)도메인 그룹 정책 개체(Domain Group Policy Object) 를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- (Set)레지스트리(Registry) 키 를 사용하여 클라이언트 LDAP 서명 요구 사항 설정
- 구성 변경을 확인하는 방법
- " 서명 필요" 옵션을 사용(Require) 하지 않는 클라이언트를 찾는 방법
마지막 섹션에서는 컴퓨터에서 서명 필요가 활성화되지 않은(do not have Require signing enabled) 클라이언트를 파악하는 데 도움이 됩니다. IT 관리자가 해당 컴퓨터를 격리하고 컴퓨터의 보안 설정을 활성화하는 데 유용한 도구입니다.
1] 서버 LDAP 서명 요구 사항 설정(Set)
- Microsoft 관리 콘솔(Microsoft Management Console) (mmc.exe)을 엽니 다.
- 파일 > 스냅인 추가 /제거 > (Add)그룹 정책 개체 편집기(Group Policy Object Editor) 를 선택한 다음 추가(Add) 를 선택 합니다.
- 그룹 정책 마법사(Group Policy Wizard) 가 열립니다 . 찾아보기(Browse) 버튼을 클릭(Click) 하고 로컬 컴퓨터 대신 기본 도메인 정책 을 선택합니다.(Default Domain Policy)
- (Click)확인 버튼을 클릭 한 다음 마침(Finish) 버튼을 클릭하고 닫습니다.
- 기본 Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies 을 선택한 다음 보안 옵션을 선택합니다.
- 도메인 컨트롤러: LDAP 서버 서명 요구 사항(Domain controller: LDAP server signing requirements) 을 마우스 오른쪽 버튼으로 클릭 한 다음 속성을 선택합니다.
- 도메인(Domain) 컨트롤러: LDAP 서버 서명 요구 사항 속성(Properties) 대화 상자에서 이 정책 설정 정의를 사용 하도록 설정하고 이(Define) 정책 설정 정의 목록에서 서명 필요(Require signing in the Define this policy setting list,) 를 선택한 다음 확인을 선택합니다.
- 설정을 다시 확인하고 적용하십시오.
2] 로컬 컴퓨터 정책을 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)
- 실행(Run) 프롬프트를 열고 gpedit.msc를 입력하고 Enter 키를 누릅니다.
- 그룹 정책 편집기에서 Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies 으로 이동한 다음 보안 옵션을 선택합니다.(Security Options.)
- 네트워크 보안: LDAP 클라이언트 서명 요구 사항(Network security: LDAP client signing requirements) 을 마우스 오른쪽 버튼으로 클릭 한 다음 속성을 선택합니다.
- 네트워크(Network) 보안: LDAP 클라이언트 서명 요구 사항 속성(Properties) 대화 상자 의 목록에서 서명 필요 를 선택한 다음 확인을 선택합니다.(Require signing)
- 변경 사항을 확인하고 적용합니다.
3] 도메인 그룹 정책 개체(Group Policy Object) 를 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)
- Microsoft 관리 콘솔(mmc.exe)을 엽니다.(Open Microsoft Management Console (mmc.exe))
- 파일(File) > Add/Remove Snap-in > 선택 하고 그룹 정책 개체 편집기(Group Policy Object Editor) 를 선택한 다음 추가 를(Add) 선택 합니다.
- 그룹 정책 마법사(Group Policy Wizard) 가 열립니다 . 찾아보기(Browse) 버튼을 클릭(Click) 하고 로컬 컴퓨터 대신 기본 도메인 정책 을 선택합니다.(Default Domain Policy)
- (Click)확인 버튼을 클릭 한 다음 마침(Finish) 버튼을 클릭하고 닫습니다.
- 기본 도메인 정책(Default Domain Policy) > 컴퓨터 구성(Computer Configuration) > Windows 설정(Windows Settings) > 보안 설정(Security Settings) > 로컬 정책(Local Policies) 을 선택한 다음 보안 옵션(Security Options) 을 선택 합니다.
- 네트워크 보안: LDAP 클라이언트 서명 요구 사항 속성 (Network security: LDAP client signing requirements Properties ) 대화 상자 의 목록에서 서명 필요 를 선택한 다음 (Require signing )확인(OK) 을 선택합니다 .
- 변경 사항을 확인(Confirm) 하고 설정을 적용합니다.
4] 레지스트리 키를 사용하여 클라이언트 LDAP 서명 요구 사항 (LDAP)설정(Set)
가장 먼저 할 일은 레지스트리를 백업하는 것입니다.
- 레지스트리 편집기 열기
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters 로 이동합니다.
- 오른쪽 창을 마우스 오른쪽 버튼으로 클릭(Right-click) 하고 이름이 LDAPServerIntegrity 인 새 (LDAPServerIntegrity)DWORD 를 만듭니다.
- 기본값으로 두십시오.
<InstanceName >: 변경하려는 AD LDS 인스턴스의 이름입니다.(AD LDS)
5] 이제 구성 변경에 로그인이 필요한지 확인 하는 방법(How)
보안 정책이 작동하는지 확인하려면 무결성을 확인하는 방법이 있습니다.
- AD DS 관리 도구(AD DS Admin Tools) 가 설치된 컴퓨터에 로그인합니다 .
- 실행(Run) 프롬프트를 열고 ldp.exe를 입력하고 Enter 키를 누릅니다. Active Directory 네임스페이스 를 탐색하는 데 사용되는 UI입니다.
- 연결 > 연결을 선택합니다.
- 서버(Server) 및 포트(Port) 에 디렉터리 서버의 서버 이름과 비SSL/TLS 포트를 입력한 다음 확인을 선택합니다.
- 연결이 설정되면 연결 > 바인딩을 선택합니다.
- 바인딩(Bind) 유형에서 단순 바인딩(Simple) 을 선택 합니다.
- 사용자 이름과 암호를 입력한 다음 확인을 선택합니다.
Ldap_simple_bind_s() failed: Strong Authentication Required 라는 오류 메시지가 표시되면 디렉토리 서버를 성공적으로 구성한 것입니다.
6] " 서명 필요" 옵션을 사용(Require) 하지 않는 클라이언트를 찾는 방법(How)
클라이언트 시스템이 안전하지 않은 연결 프로토콜을 사용하여 서버에 연결할 때마다 이벤트 ID 2889(Event ID 2889) 가 생성됩니다 . 로그 항목에는 클라이언트의 IP 주소도 포함됩니다. 16 LDAP 인터페이스 이벤트(LDAP Interface Events) 진단 설정을 2(기본)(2 (Basic). ) 로 설정하여 이를 활성화해야 합니다 . Microsoft에서(here at Microsoft) AD 및 LDS 진단 이벤트 로깅 을 구성하는 방법을 알아보세요 .
LDAP 서명 은 중요하며 (LDAP Signing)Windows Server 및 클라이언트 시스템 에서 LDAP 서명을 활성화하는 방법을 명확하게 이해하는 데 도움이 되었기를 바랍니다 .
Related posts
Windows Server에서 Remote Access Client Account Lockout 구성
Windows Server에서 관리 주식을 비활성화합니다
Iperius Backup : Windows 10에서 백업을 자동화하는 프리웨어
Windows Server에서 Bloated Registry Hives를 압축하는 방법
Enable & Configure DNS Aging & Scavenging Windows Server에서 방법
Windows 8.1 태블릿 또는 하이브리드 장치에서 프록시 서버를 설정하는 방법
Windows에서 'RPC 서버를 사용할 수 없습니다' 오류를 수정하는 방법
Fix Windows Server Activation Error 0xc004f069
Windows 10에서는 DNS Server을 사용할 수 없게 될 수 있습니다
Windows 11에서 RSAT(원격 서버 관리 도구)를 설치하고 보는 방법
Windows 10에서 Time Server를 추가하거나 변경하는 방법
Reset Windows Update Client PowerShell Script 사용
DLNA 서버란 무엇이며 Windows 10에서 활성화하는 방법은 무엇입니까?
XP에서 IIS를 설치하고 웹 서버를 구성하는 방법
DHCP Client Service Windows 11/10에서 Access Denied error을 제공합니다
Backup VMware Virtual Machines Azure Backup Server
Fix Windows Store Error Server 발견
Fix Server Found Error Firefox
Windows 10 PC 용 Best Free FTP Client software
Windows 10에서 VSS를 관리하는 Use Vssadmin command-line