如何在 Windows Server 和客户端计算机中启用 LDAP 签名

　　LDAP 签名是 Windows Server 中的一种身份验证方法，可以提高目录服务器的安全性。启用后，它将拒绝任何不要求签名的请求，或者如果请求使用非 SSL/TLS 加密。在这篇文章中，我们将分享如何在 Windows Server 和客户端计算机中启用 LDAP 签名。LDAP 代表轻量级目录访问协议 (LDAP)。

　　如何在 Windows 计算机中启用 LDAP 签名

　　为确保攻击者不会使用伪造的 LDAP 客户端更改服务器配置和数据，必须启用 LDAP 签名。在客户端计算机上启用它同样重要。

　　最后一部分可帮助您找出未在计算机上启用“需要签名”的客户端。IT 管理员可以隔离这些计算机，并在计算机上启用安全设置，这是一个有用的工具。

　　一、设置服务器 LDAP 签名要求

　　1. 打开 Microsoft 管理控制台 (mmc.exe)

　　2. 选择“文件”>“添加/删除管理单元”>选择“组策略对象编辑器”，然后选择“添加”。

　　3. 它将打开组策略向导。单击“浏览”按钮，然后选择“默认域策略”而不是“本地计算机”

　　4. 单击“确定”按钮，然后单击“完成”按钮，然后将其关闭。

　　5. 选择“默认域策略>计算机配置”>“Windows 设置”>“本地策略>”安全设置“，然后选择”安全选项”。

　　6. 右键单击“域控制器： LDAP 服务器签名要求”，然后选择“属性”。

　　7. 在“域控制器： LDAP 服务器签名要求属性”对话框中，启用“定义此策略设置”，在“定义此策略设置”列表中选择“需要签名”，然后选择“确定”。

　　8. 重新检查设置并应用它们。

　　二、 使用本地计算机策略设置客户端 LDAP 签名要求

　　1. 打开运行提示符，键入 gpedit.msc，然后按 Enter 键。

　　2. 在组策略编辑器中，导航到“本地计算机策略”>“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“本地策略”，然后选择“安全选项”。

　　3. 右键单击“网络安全：LDAP 客户端签名要求”，然后选择“属性”。

　　4. 在“网络安全：LDAP 客户端签名要求属性”对话框中，选择列表中的“需要签名”，然后选择“确定”。

　　5. 确认更改并应用它们。

　　三、使用域组策略对象设置客户端 LDAP 签名要求

　　1. 打开 Microsoft 管理控制台 (mmc.exe)

　　2. 选择“文件”>“添加/删除管理单元”>选择“组策略对象编辑器”，然后选择“添加”.

　　3. 它将打开组策略向导。单击“浏览”按钮，然后选择“默认域策略”而不是“本地计算机”

　　4. 单击“确定”按钮，然后单击“完成”按钮，然后将其关闭。

　　5. 选择“默认域策略>计算机配置”>“Windows 设置”>“本地策略>”安全设置“，然后选择”安全选项”.

　　6. 在“网络安全： LDAP 客户端签名要求属性”对话框中，选择列表中的“需要签名”，然后选择“确定”.

　　7. 确认更改并应用设置。

　　四、 使用注册表项设置客户端 LDAP 签名要求

　　首先要做的是备份注册表

　　• 打开注册表编辑器

　　• 导航到 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ \Parameters

　　• 右键单击右窗格，然后创建一个名为 LDAPServerIntegrity 的新 DWORD

　　• 将其保留为默认值。

　　：要更改的 AD LDS 实例的名称。

　　五、 如何验证配置更改现在是否需要登录

　　为了确保安全策略正常工作，以下是检查其完整性的方法。

　　1. 登录到安装了 AD DS 管理工具的计算机。