Comment faire pour activer le protocole LDAP de signature dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 935834 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

PUBLICATION RAPIDE

PUBLICATION RAPIDE ARTICLES FOURNISSENT DES INFORMATIONS EN RÉPONSE AUX NOUVELLES OU RUBRIQUES UNIQUE ET PEUT ÊTRE MIS À JOUR LORSQUE DE NOUVELLES INFORMATIONS DEVIENNENT DISPONIBLES.

INTRODUCTION

La sécurité des a serveur d'annuaire peut être considérablement améliorée en configurant le serveur pour refuser Simple Authentication and Security Layer SASL) Liaisons LDAP qui ne demandent pas de signature (vérification de l'intégrité) ou à rejeter LDAP non-simples qui sont effectuées sur une connexion (non-SSL/TLS chiffrés) texte en clair. SASLs peut inclure des protocoles comme Negotiate, Kerberos, NTLM et les protocoles Digest.

Le trafic réseau non signé est vulnérable aux attaques répétées dans lequel un intrus intercepte la tentative d'authentification et la parefeuxrequis d'un ticket. L'intrus peut réutiliser le ticket pour emprunter l'identité de l'utilisateur légitime. Additionallié, le trafic réseau non signé est sensible aux attaques man-in-the-middle dans lequel un intrus capture des paquets entre le client et le serveur modifie les paquets et puis les transfère au serveur. Si ce se produit sur un serveur LDAP, un utilisateur malveillant pouvez obliger le serveur à prendre des décisions basées sur fausses requêtes provenant du client LDAP.

Cet article décrit comment configurer votre serveur d'annuaire pour le protéger contre de telles attaques.

Plus d'informations

Comment faire pour détecter les clients qui n'utilisent pas le"Require de signature" option

Les clients qui s'appuient sur SASL non signé (Negotiate, Kerberos, NTLM ou Digest), LDAP lie ou LDAP simple lie via une connexion non-SSL/TLS cesser de fonctionner Après avoir effectué Ce changement de configuration. À l'aide identifier ces clients, le serveur d'annuaire journals un événement résumé 2887 une fois toutes les 24 heures pour indiquer le nombre de ces liaisons s'est produite. Il est recommandé que vous configurer theclients se ne doit ne pas utiliser ces liaisons. Après Aucun événement de ce type n'est observés pendant une longue période, nous vous conseillons de configurer le serveur pour refuser ces liaisons.

Si vous devez avoir plus d'informations pour identifier des clients, vous pouvez configurer le serveur d'annuaire pour fournir le journal plus détaillés. Cette journalisation supplémentaire consigne un événement 2889 Lorsqu'un client tente d'effectuer une liaison LDAP non signée. La journalisation affichages le Adresse IP du client et de l'identité que le client a tenté permet de s'authentifier. Vous pouvez activer cette journalisation supplémentaires en définissant le paramètre de diagnostic d'Événements de l'Interface LDAP à 2 (Basic). Pour plus d'informations sur la façon de modifier les paramètres de diagnostics, consultez le site Web Microsoft suivant :
http://go.Microsoft.com/?linkid=9645087
Si le serveur d'annuaire est configuré pour rejeter les non signées SASL LDAP lie ou liaisons simples LDAP via une connexion non-SSL/TLS, le serveur d'annuaire enregistrera un événement résumé 2888 une fois toutes les 24 heures lorsque ces tentatives de liaison se.

Comment faire pour configurer l'annuaire afin qu'il exige la signature de serveur LDAP

À l'aide de la stratégie de groupe

Comment faire pour définir le serveur obligation de signature LDAP
  1. Cliquez sur Démarrer, sur exécuter, type MMC.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants enfichables , cliquez sur Éditeur de gestion de stratégie de groupe, puis cliquez sur Ajouter.
  4. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe , cliquez sur Parcourir.
  5. Dans la boîte de dialogue Rechercher un objet stratégie de groupe , cliquez sur Stratégie de domaine par défaut dans la zone des domaines, des unités d'organisation et des objets de stratégie de groupe lié , puis cliquez sur OK.
  6. Cliquez sur Terminer.
  7. Cliquez sur OK.
  8. Développez Stratégie de contrôleur de domaine par défaut, développez Configuration ordinateur, développez stratégies, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies localeset puis cliquez sur Options de sécurité.
  9. Droit contrôleur de domaine : signature de serveur LDAP, puis cliquez sur Propriétés.
  10. Dans la contrôleur de domaine : conditions propriétés de signature de serveur LDAP boîte de dialogue zone, permettent de définir ce paramètre de stratégie, Cliquez sur nécessite la signature dans la liste déroulante définir ce paramètre de stratégie , puis cliquez sur OK.
  11. Dans la boîte de dialogue Confirmer la modification du paramètre , cliquez sur Oui.
Comment configurer le client obligation de signature LDAP via la stratégie d'ordinateur local
  1. Cliquez sur Démarrer, sur exécuter, type MMC.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants enfichables , cliquez sur Éditeur d'objets de stratégie de groupe, puis Cliquez sur Ajouter.
  4. Cliquez sur Terminer.
  5. Cliquez sur OK.
  6. Développez Stratégie ordinateur Local, développez Configuration ordinateur, développez stratégies, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
  7. Droit sécurité réseau : conditions de signature de client LDAP, puis cliquez sur Propriétés.
  8. Dans la sécurité réseau : conditions propriétés de signature de client LDAP boîte de dialogue, Cliquez sur nécessite la signature dans la liste déroulante, puis cliquez sur OK.
  9. Dans la boîte de dialogue Confirmer la modification du paramètre , cliquez sur Oui.
Comment configurer le client obligation de signature LDAP via un objet de stratégie de groupe du domaine
  1. Cliquez sur Démarrer, sur exécuter, tapez mmc.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants enfichables , cliquez sur Éditeur d'objets de stratégie de groupe, puis cliquez sur Ajouter.
  4. Cliquez sur Parcourir, puis sélectionnez stratégie de domaine par défaut (ou l'objet de stratégie de groupe pour lequel vous souhaitez activer la signature de client LDAP).
  5. Cliquez sur OK.
  6. Cliquez sur Terminer.
  7. Cliquez sur Fermer.
  8. Cliquez sur OK.
  9. Développez Stratégie de domaine par défaut, développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
  10. Dans la sécurité réseau : conditions propriétés de signature de client LDAP boîte de dialogue, sélectionnez Exiger la signature dans la liste déroulante de liste, puis cliquez sur OK.
  11. Dans la Confirmer la modification du paramètre boîte de dialogue, cliquez sur Oui.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
823659 Les clients, services et incompatibilité de programme qui peut se produire lorsque vous modifiez les paramètres de sécurité et attribution des droits utilisateur

Comment faire pour utiliser des clés de Registre

Afin que nous puissions modifier les clés de Registre pour vous, passez à le »Résolvez le problème pour moi« section. Si vous préférez modifier les clés de Registre vous-même, passez à le »Je résous le problème moi-même« section.

Résolvez le problème pour moi

Pour résoudre ce problème automatiquement, cliquez sur le bouton Fix it ou le lien, cliquez sur exécuter dans la boîte de dialogue Téléchargement de fichier et puis suivez les étapes décrites dans le correctif il Assistant.
Résoudre ce problème
Microsoft Fix it 50518
Remarques
  • Il est probable que cet Assistant soit écrit en anglais uniquement. Toutefois, la correction automatique est opérationnelle pour les autres versions linguistiques de Windows.
  • Si vous n'utilisez pas l'ordinateur concerné par le problème, enregistrez le correctif il solution sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur qui rencontre le problème.
Ensuite, passez à le »Ce problème est-il résolu ?« section.

Je résous le problème moi-même

Important : Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, des problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
  1. Cliquez sur Démarrer, cliquez sur exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez et puis cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Cliquez droit sur l'entrée de Registre LDAPServerIntegrity et puis cliquez sur Modifier.
  4. Modifier les données de la valeur à 2, puis cliquez sur OK.
  5. Recherchez et puis cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Cliquez droit sur l'entrée de Registre ldapclientintegrity , puis cliquez sur Modifier.
  7. Modifier les données de la valeur à 2, puis cliquez sur OK.
Par défaut, pour Active Directory Lightweight Directory Services (AD LDS), la clé de Registre n'est pas disponible. Par conséquent, yunité d'organisation doit créer. a Registre LDAPServerIntegrity entrée de type REG_DWORD sous la sous-clé de Registre suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Remarque : L'espace réservé <InstanceName>représente le nom de l'AD LDS instance du<b00> </b00> </InstanceName>vous souhaitez modifier.

Comment vérifier les modifications de configuration

  1. Cliquez sur Démarrer, sur exécuter, type LDP.exe, puis cliquez sur OK.
  2. Dans le menu connexion , cliquez sur se connecter.
  3. Dans le champ serveur et dans le champ Port , tapez le nom du serveur et le port SSL/TLS de votre serveur d'annuaire, puis cliquez sur OK.

    Remarque
    pour un Active Directory contrôleur de domaine, le port est 389.
  4. Lorsqu'une connexion est établie, sélectionnez liaison dans le menu connexion .
  5. Sous type de liaison, sélectionnez liaison Simple.
  6. Tapez le nom d'utilisateur et le mot de passe, puis cliquez sur OK.
Si le message d'erreur suivant s'affiche, vous avez configuré correctement votre serveur d'annuaire :
Ldap_simple_bind_s() a échoué : authentification forte requise

Ce problème est-il résolu ?

  • Vérifiez si le problème est résolu. Si le problème est effectivement résolu, c'est que vous avez mené à bien la correction du problème. Si le problème n'est pas résolu, vous pouvez : Contactez le support technique.
  • Nous aimerions connaître votre opinion. Pour fournir des commentaires ou d'un problème concernant cette solution, écrivez-nous sur le "Résolvez le problème pour moi« blog, ou nous envoyer un message électronique.

EXCLUSION DE RESPONSABILITÉ

MICROSOFT ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION CONCERNANT L'ADAPTABILITÉ DES INFORMATIONS CONTENUES DANS LES DOCUMENTS ET GRAPHIQUES ASSOCIÉS PUBLIÉS SUR CE SITE WEB À DES FINS. LES DOCUMENTS ET LES GRAPHIQUES ASSOCIÉS PUBLIÉS SUR CE SITE WEB PEUVENT INCLURE DES IMPRÉCISIONS TECHNIQUES OU DES ERREURS TYPOGRAPHIQUES. MODIFICATIONS SONT RÉGULIÈREMENT AJOUTÉES AUX PRÉSENTES INFORMATIONS. MICROSOFT ET/OU SES FOURNISSEURS RESPECTIFS PEUVENT APPORTER DES AMÉLIORATIONS ET/OU DES MODIFICATIONS DANS LE PRODUIT (S) ET/OU LE PROGRAMME (S) DÉCRITS DANS LE PRÉSENT DOCUMENT À TOUT MOMENT.

Pour plus d'informations sur les conditions d'utilisation, consultez le site Web Microsoft suivant :
http://support.Microsoft.com/tou/

Propriétés

Numéro d'article: 935834 - Dernière mise à jour: jeudi 31 octobre 2013 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 935834
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com