名稱 | 網域控制站:LDAP 伺服器通道繫結權杖要求 |
類別 | 安全性選項\網域控制站 |
描述 | ▪ 這項原則設定決定 LDAP 伺服器是否強制執行在 LDAP 繫結中,要求透過 LDAPS 連線傳送所接收的通道繫結權杖驗證,選項如下: 永不:不執行任何通道繫結驗證,這是所有尚未更新之伺服器的行為 支援時:透過 TLS/SSL 連線進行驗證時,宣告支援通道繫結權杖的用戶端必須提供正確的權杖;未宣告這類支援及/或未使用 TLS/SSL 連線的用戶端不會受到影響,這是允許應用程式相容性的中間選項 一律:所有用戶端都必須提供有關 LDAPS 的通道繫結資訊,伺服器拒絕來自不執行此動作之用戶端的 LDAPS 驗證要求 ▪ 預設值:未定義這項原則,則其效果與「支援時」相同 ▪ 注意:「支援時」 選項僅保護那些支援驗證擴充保護的用戶端;未支援驗證擴充保護的用戶端仍可能會遭到攻擊,直到修補及/或設定這項原則 ▪ 若須於本機群組原則編輯器(Gpedit.msc) 或群組原則管理(Gpmc.msc) 等工具中顯示這項原則設定,請執行以下任一操作: 安裝微軟於 2020 年 3 月後所提供之更新,加入這項原則,GPO 設定路徑為「電腦設定\Windows設定\安全性設定\本機原則\安全性選項\網域控制站:LDAP 伺服器通道繫結權杖要求」 安裝 1809 以上版本之 SecGuide 系統管理範本,GPO 設定路徑為「電腦設定\系統管理範本\MS Security Guide\Extended Protection for LDAP Authentication (Domain Controllers only) |
設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 安裝微軟於 2020 年 3 月後所提供之更新,加入這項原則,或 Server 2022: GPO 設定路徑為「電腦設定\Windows設定\安全性設定\本機原則\安全性選項\網域控制站:LDAP 伺服器通道繫結權杖要求」 安裝 1809 以上版本之 SecGuide 系統管理範本,GPO 設定路徑為「電腦設定\系統管理範本\MS Security Guide\Extended Protection for LDAP Authentication (Domain Controllers only) 3. 在右邊窗點擊 "網域控制站:LDAP 伺服器通道繫結權杖要求" 或 "Extended Protection for LDAP Authentication (Domain Controllers only)". 4. 選擇 "一律", 點擊 "確定". |