Cómo habilitar el inicio de sesión LDAP en Windows Server & Client Machines

La firma LDAP(LDAP signing) es un método de autenticación en Windows Server que puede mejorar la seguridad de un servidor de directorio. Una vez habilitado, rechazará cualquier solicitud que no solicite la firma o si la solicitud no utiliza cifrado SSL/TLS. En esta publicación, compartiremos cómo puede habilitar el inicio de sesión LDAP en Windows Server y máquinas cliente. LDAP significa   Protocolo ligero de acceso a directorios(Lightweight Directory Access Protocol) (LDAP).

Cómo habilitar el inicio de sesión LDAP en computadoras con Windows

Para asegurarse de que el atacante no use un cliente LDAP falsificado para cambiar la configuración y los datos del servidor, es esencial habilitar la firma LDAP . Es igualmente importante habilitarlo en las máquinas cliente.

  1. Establecer(Set) el requisito de firma LDAP del servidor
  2. Establezca el requisito de firma de (Set)LDAP del cliente mediante la política de equipo local
  3. Establezca el requisito de firma de (Set)LDAP del cliente mediante el objeto de política de grupo de dominio(Domain Group Policy Object)
  4. Establezca el requisito de firma (Set)LDAP del cliente mediante claves de registro(Registry)
  5. Cómo verificar los cambios de configuración
  6. Cómo encontrar clientes que no usan la opción “ Requerir(Require) firma”

La última sección lo ayuda a descubrir los clientes que no tienen habilitado Requerir firma(do not have Require signing enabled) en la computadora. Es una herramienta útil para que los administradores de TI aíslen esas computadoras y habiliten la configuración de seguridad en las computadoras.

1] Establecer(Set) el requisito de firma LDAP del servidor

Cómo habilitar el inicio de sesión LDAP en Windows Server & Client Machines

  1. Abra la consola de administración de Microsoft(Microsoft Management Console) (mmc.exe)
  2. Seleccione Archivo >  Agregar(Add) /Eliminar complemento > seleccione  Editor de objetos de directiva de grupo(Group Policy Object Editor) y, a continuación, seleccione  Agregar(Add) .
  3. Se abrirá el Asistente para directivas de grupo(Group Policy Wizard) . Haga clic(Click) en el botón Examinar(Browse) y seleccione  Política de dominio predeterminada en(Default Domain Policy) lugar de Equipo local
  4. Haga clic(Click) en el botón Aceptar y luego en el botón Finalizar(Finish) y ciérrelo.
  5. Seleccione  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies y luego seleccione Opciones de seguridad.
  6. Haga clic con el botón derecho en  Controlador de dominio: requisitos de firma del servidor LDAP(Domain controller: LDAP server signing requirements) y luego seleccione Propiedades.
  7. En el   cuadro de diálogo  Propiedades(Properties) del controlador de dominio(Domain) : requisitos de firma del servidor LDAP , habilite (LDAP)Definir(Define) esta configuración de política, seleccione  Requerir inicio de sesión en la lista Definir esta configuración de política(Require signing in the Define this policy setting list,) y luego seleccione Aceptar.
  8. Vuelva a comprobar los ajustes y aplíquelos.

2] Establezca(Set) el requisito de firma LDAP del cliente utilizando la política de computadora local

Cómo habilitar el inicio de sesión LDAP en Windows Server & Client Machines

  1. Abra el mensaje Ejecutar(Run) , escriba gpedit.msc y presione la tecla Intro(Enter) .
  2. En el editor de políticas de grupo, vaya a Política de Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies y luego seleccione  Opciones de seguridad.(Security Options.)
  3. Haga clic con el botón derecho en Seguridad de la red: requisitos de firma del cliente LDAP(Network security: LDAP client signing requirements) y luego seleccione Propiedades.
  4. En el   cuadro de diálogo  Propiedades(Properties) de Seguridad de la red(Network) : requisitos de firma del cliente LDAP , seleccione (LDAP)Requerir firma(Require signing) en la lista y luego elija Aceptar.
  5. Confirme los cambios y aplíquelos.

3] Establezca(Set) el requisito de firma LDAP del cliente mediante el uso de un objeto de política de grupo de dominio(Group Policy Object)

  1. Abra la consola de administración de Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Seleccione  Archivo(File)  >  Add/Remove Snap-in >  seleccione  Editor de objetos de directiva de grupo(Group Policy Object Editor) y luego seleccione  Agregar(Add) .
  3. Se abrirá el Asistente para directivas de grupo(Group Policy Wizard) . Haga clic(Click) en el botón Examinar(Browse) y seleccione  Política de dominio predeterminada en(Default Domain Policy) lugar de Equipo local
  4. Haga clic(Click) en el botón Aceptar y luego en el botón Finalizar(Finish) y ciérrelo.
  5. Seleccione  Política de dominio predeterminada(Default Domain Policy)  >  Configuración del equipo(Computer Configuration)  >  Configuración de Windows(Windows Settings)  >  Configuración de seguridad(Security Settings)  >  Políticas locales(Local Policies) y, a continuación, seleccione  Opciones de seguridad(Security Options) .
  6. En el  cuadro de diálogo  Propiedades de Seguridad de la red: requisitos de firma del cliente LDAP  , seleccione (Network security: LDAP client signing requirements Properties )Requerir firma (Require signing ) en la lista y luego elija  Aceptar(OK) .
  7. Confirme(Confirm) los cambios y aplique la configuración.

4] Establezca el requisito de firma (Set)LDAP del cliente mediante el uso de claves de registro

Lo primero y más importante que debe hacer es hacer una copia de seguridad de su registro

  • Abrir el Editor del Registro
  • Vaya a HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Haga clic(Right-click) derecho en el panel derecho y cree un nuevo DWORD con el nombre LDAPServerIntegrity
  • Déjelo en su valor predeterminado.

<InstanceName >: nombre de la instancia de AD LDS que desea cambiar.

5] Cómo(How) verificar si los cambios de configuración ahora requieren inicio de sesión

Para asegurarse de que la política de seguridad funcione aquí, se debe verificar su integridad.

  1. Inicie sesión en una computadora que tenga instaladas las herramientas de administración de AD DS .(AD DS Admin Tools)
  2. Abra el mensaje Ejecutar(Run) , escriba ldp.exe y presione la tecla Intro(Enter) . Es una interfaz de usuario utilizada para navegar a través del espacio de nombres de Active Directory.
  3. Seleccione Conexión > Conectar.
  4. En  Servidor(Server)  y  puerto(Port) , escriba el nombre del servidor y el puerto no SSL/TLS de su servidor de directorio y luego seleccione Aceptar.
  5. Después de establecer una conexión, seleccione Conexión > Vincular.
  6. En  Tipo de enlace(Bind) , seleccione  Enlace simple .
  7. Escriba el nombre de usuario y la contraseña y luego seleccione Aceptar.

Si recibe un mensaje de error que dice que  Ldap_simple_bind_s() falló: se requiere autenticación fuerte(Ldap_simple_bind_s() failed: Strong Authentication Required) , entonces ha configurado correctamente su servidor de directorio.

6] Cómo(How) encontrar clientes que no usan la opción “ Requerir(Require) firma”

Cada vez que una máquina cliente se conecta al servidor mediante un protocolo de conexión no seguro, genera el ID de evento 2889(Event ID 2889) . La entrada de registro también contendrá las direcciones IP de los clientes. Deberá habilitar esto configurando la configuración de  diagnóstico de  16  eventos de interfaz LDAP en (LDAP Interface Events)2 (básico). (2 (Basic). )Obtenga información sobre cómo configurar el registro de eventos de diagnóstico de AD y LDS aquí en Microsoft(here at Microsoft) .

La firma LDAP(LDAP Signing) es crucial, y espero que haya podido ayudarlo a comprender claramente cómo puede habilitar la firma LDAP en (LDAP)Windows Server y en las máquinas cliente.



Ismael Duran

About the author

Soy un científico informático con más de 10 años de experiencia trabajando en el campo de los navegadores, Microsoft Office y OneDrive. Me especializo en desarrollo web, investigación de experiencia de usuario y desarrollo de aplicaciones a gran escala. Mis habilidades son utilizadas por algunas de las principales empresas del mundo, incluidas Google, Facebook y Apple.


Related posts