關於Windows LDAP繫結的常識您了解多少？

目前客戶端使用較多的是輕型目錄訪問協議（ldap），來訪問目錄伺服器儲存的資料。客戶端和應用程式使用ldap繫結通過windows active directory（ad）進行身份驗證。

ldap繫結操作有多種，包括：

a.簡單的ldap繫結，其中憑據以明文形式通過網路傳輸，且不安全。

b.未簽名的身份驗證和安全層（sasl）ldap繫結，也不安全。

c.已簽名的sasl ldap繫結，這需要簽名但很安全。

d.安全接收層/傳輸層上的ldap安全，也稱為 ldaps bind，它是加密的也是安全的。

e.域控制器（dc）容易受到攻擊，因為它們允許ldap客戶端通過簡單的ldap繫結和不需要簽名的sasl ldap繫結與它們進行通訊。

f.簡單的ldap繫結允許如域管理員之類的特權帳戶用其憑據來遍歷網路，而未簽名的sasl ldap繫結允許任何人在客戶端和dc之間捕獲資料報，更改資料報，**資料報。這兩種情況都可能帶來災難性的後果，此時，您環境中的dc很有可能有不安全的ldap繫結。

如何檢測不安全的ldap繫結

緩解此漏洞的第一步是確定您是否受到影響，可以通過檢視事件id 2887來做到這一點。

預設情況下，每24小時在dc中記錄一次事件2887，它顯示未簽名和明文繫結到dc的數量。大於零的任何數字表示您的dc有不安全的ldap繫結。

然後，您需要通過檢視事件id 2889來檢測不安全繫結的所有裝置和應用程式。

客戶端每次嘗試進行未簽名的ldap繫結時，dc中都會記錄事件2889，它顯示嘗試通過未簽名的ldap繫結進行身份驗證的計算機的ip位址和帳戶名。

注意：預設情況下不會記錄此事件，並且需要啟用適當的診斷。

adaudit plus如何幫助加快檢測速度

使用powershell指令碼從記錄的2887和2889事件中解析和提取相關資料需要專業知識和時間，adaudit plus會從您域中所有dc收集這些事件，並提供報告，以查明使用不安全ldap繫結的裝置和應用程式。

只需單擊幾下滑鼠，即可確定您的dc是否允許不安全的繫結，並檢測因此而容易受到攻擊的裝置和應用程式。

注意：使用adaudit plus檢測到所有使用不安全ldap繫結的裝置和應用程式後，請確保通過實施ldap簽名和ldap通道繫結來進行更改（使ldaps更加安全）。

關於manageengine adaudit plus

adaudit plus是一種實時active directory，檔案伺服器，windows伺服器以及工作站安全性和合規性解決方案。