So können Sie LDAP-Verbindungen testen

Client-Computer und Anwendungen können über LDAP-Bindungsoperationen mit Active Directory authentifiziert werden. Unsignierte LDAP-Bindungen sind anfällig für Man-in-the-Middle-Angriffe (MitM). Dabei fangen Hacker die Datenpakete zwischen Client und Server ab, ändern das Paket und senden es dann an den Server. Systemadministratoren müssen LDAP-Verbindungen im Auge behalten, da solche Angriffe auf den AD-Domänencontroller dazu führen können, dass ein Server anhand der gefälschten Anfragen des LDAP-Clients Entscheidungen trifft.

Im Folgenden finden Sie einen Vergleich zwischen dem Abrufen von Berichten zu LDAP-Bindungstests mit nativen Bericht- oder mit ADAudit Plus von ManageEngine, einer umfassenden Lösung für Echtzeit-Audits von Active Directory.

KOSTENLOS herunterladen Kostenlose, voll funktionsfähige 30-tägige Probe
  • Mit nativer AD-Überwachung

  • Mit ADAudit Plus

  • Melden Sie sich als Administrator an der ADAudit-Plus-Webkonsole an.

  • Wechseln Sie zur Registerkarte Server-Audit und gehen Sie dann im linken Bereich auf LDAP-Auditing. Wählen Sie hier LDAP-Verbindung herstellen aus.

  • Wählen Sie in der Drop-Down-Liste oben rechts die Option Domäne aus und klicken Sie auf Erzeugen.

  • Wählen Sie Exportieren als aus, um den Bericht im gewünschten Format zu exportieren (CSV, PDF, HTML, CSVDE und XLSX).

  • Öffnen Sie die Konsole "Gruppenrichtlinienmanagement". Erstellen Sie eine neue GRO und bearbeiten Sie diese > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Audit-Richtlinie:

    1. Kontomanagement überwachen → Aktivieren Sie das Markierungsfeld "rfolg"

    2. Directory-Servicezugriff überwachen → Aktivieren Sie das Markierungsfeld "Erfolg"

  • Klicken Sie auf "Übernehmen".

  • Wechseln Sie zu Ebene der Sicherheitseinstellungen →

  • Eigenschaften → Ereignisprotokoll:

    1. Maximalgröße für Sicherheitsprotokolle → Festlegen auf 4.000.000 KB (oder 4 GB)

    2. Aufbewahrungsmethode des Sicherheitsprotokolls → Ereignisse bei Bedarf überschreiben

  • Verknüpfen der neuen GRO: Wechseln Sie zu "Gruppenrichtlinienmanagement" → Rechtsklick auf Domäne oder OE → Klick auf "Verknüpfen einer bestehenden GRO" → Wählen Sie die neu erstellte GRO aus

  • Aktualisierung der Gruppenrichtlinie erzwingen: Klicken Sie unter "Gruppenrichtlinienmanagement" auf die definierte OE → Wählen Sie "Aktualisierung der Gruppenrichtlinie" aus

  • Öffnen Sie "ADSI bearbeiten" → Rechtsklick auf "ADSI bearbeiten" → Verbinden mit dem Standard-Namenskontext -> Rechtsklick auf das DomainDNS-Objekt mit Ihrem Domänennamen → Eigenschaften → Sicherheit → Erweitert → Auditing → Prinzipal "Jeder" hinzufügen → Typ "Erfolg" → Anwenden auf "Dieses Objekt und untergeordnete Objekte" → Aktivieren Sie alle Markierungsfelder außer "Vollständige Kontrolle, Inhalt auflisten, Alle Eigenschaften lesen, Leseberechtigungen" → Wählen Sie "OK" aus

  • LDAP konfigurieren:

  • Für die LDAP-Serversignierung:

  • Domänencontroller: Gehen Sie zu Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Signierungsanforderungen für LDAP-Server

  • Für LDAP-Client-Signierung:

  • Netzwerksicherheit: Gehen Sie zu Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Signierungsanforderungen für LDAP-Client

  • Event Viewer öffnen → Sicherheitsprotokoll filtern, um Ereignis-IDs ausfindig zu machen (Windows Server 2003/2008–2012):

    1. 2886: LDAP-Signierung ist in der Domäne nicht aktiviert

    2. 2887: Erfolgreiche unsignierte Bindung

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Mit ADAudit Plus können Sie LDAP-Audits und Reporting deutlich vereinfachen.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

Hier einige der Einschränkungen, mit denen Sie Erzeugen eines Berichts zum LDAP-Verbindungstest in Active Directory mit nativen Auditing-Methoden rechnen müssen:

  • Der Bericht lässt sich nicht einfach auf einen Blick verstehen.
  • Es ist nicht ganz einfach, den Bericht passend für unterschiedliche Zeitzonen und Datumsformate zu erzeugen.

Mit ADAudit Plus können Sie ganz einfach und mit nur wenigen Klicks einen Bericht zu LDAP-Verbindungstests in Active Directory abrufen. Über die einfache und intuitive Benutzeroberfläche werden verschiedene Details angezeigt, z. B. wann und von welcher Domäne aus die LDAP-Bindung hergestellt wurde.

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.