Az LDAP-aláírás engedélyezése Windows Server 2008 rendszerben

GYORS KÖZZÉTÉTEL

A GYORS KÖZZÉTÉTELÛ CIKKEK AZ ÚJONNAN FELBUKKANÓ VAGY EGYEDI TÉMÁKRÓL ADNAK TÁJÉKOZTATÁST, ÉS ÚJABB INFORMÁCIÓK ELÉRHETÕSÉGE ESETÉN FRISSÜLHETNEK.

A címtárkiszolgálók biztonsága jelentõs mértékben javítható, ha úgy állítja be a kiszolgálót, hogy elutasítsa azokat az SASL-alapú LDAP-kötéseket, amelyek nem követelik meg az aláírást (integritás-ellenõrzést), és azokat az egyszerû LDAP-kötéseket, amelyeket a rendszer egyszerû szöveges (nem SSL/TLS-titkosítású) kapcsolatokon végez. Az SASL (egyszerû hitelesítési és biztonsági réteg) olyan protokollokat tartalmazhat, mint az egyeztetéses, a Kerberos, az NTLM vagy a kivonatoló protokoll.

Az aláíratlan hálózati forgalom ki van téve az ismétlési támadásoknak, amelyek során egy támadó elfoghatja a hitelesítésre tett kísérleteket és a jegyek kibocsátását. A támadó ezután a jegyek újrafelhasználásával megszemélyesítheti a jogosult felhasználókat. Az aláíratlan hálózati forgalom betolakodó harmadik általi támadásoknak is ki van téve, amelyekben a támadó csomagokat fog el az ügyfél és a kiszolgáló között, és módosítja, majd továbbítja a csomagokat a kiszolgálónak. Ha egy LDAP-kiszolgálón ilyen támadás történik, a támadó olyan döntésekre kényszerítheti a kiszolgálót, amelyek az LDAP-ügyféltõl érkezõ, de hamisított kéréseken alapulnak.

Ez a cikk azzal foglalkozik, hogy miként állítható be a címtárkiszolgáló úgy, hogy védve legyen ezektõl a támadásoktól.

Az Aláírás szükséges beállítást nem használó ügyfelek felderítése

Azok az ügyfelek, amelyek aláíratlan SASL-alapú (egyeztetéses, Kerberos, NTLM vagy kivonatoló protokollon alapuló) LDAP-kötéseket vagy egyszerû, nem SSL/TLS-titkosítású kapcsolaton keresztüli LDAP-kötéseket használnak, leállnak, miután módosítja ezt a beállítást. Ezen ügyfelek azonosítását megkönnyíti, hogy a címtárkiszolgáló 24 óránként naplóz egy 2887-es számú összefoglaló eseményt, amelyben feltünteti, hogy hány ilyen kötés történt. Azt javasoljuk, hogy az eseményben szereplõ ügyfeleket állítsa be úgy, hogy ne használjanak ilyen típusú kötéseket. Miután hosszabb ideje nem tapasztal ilyen eseményeket, állítsa be a kiszolgálót az említett típusú kötések elutasítására.

Ha a kérdéses ügyfelek azonosításához további információra van szüksége, beállíthatja, hogy a címtárkiszolgáló részletesebb naplókat készítsen. Ebben az esetben a rendszer egy 2889-es számú eseményt naplóz, amikor egy ügyfél aláíratlan LDAP-kötéssel próbálkozik. A napló tartalmazza az ügyfél IP-címét, valamint azt az identitást, amellyel a hitelesítésre kísérletet tett. A részletes naplózás engedélyezéséhez állítsa be az LDAP Interface Events (LDAP-felület eseményei) diagnosztikai beállítást 2-es (alap) szintre. A diagnosztikai beállítások módosításáról további információt a Microsoft következõ webhelyén találhat:
http://technet.microsoft.com/hu-hu/library/cc961809.aspx (http://technet.microsoft.com/hu-hu/library/cc961809.aspx)

Ha a címtárkiszolgáló úgy van beállítva, hogy elutasítsa az aláíratlan SASL-alapú LDAP-kötéseket vagy a nem SSL/TLS-titkosítású kapcsolatokon keresztüli egyszerû LDAP-kötéseket, a kiszolgáló 24 óránként egyszer egy 2888-as számú összefoglaló eseményt naplóz, amikor ilyen kötésekre kísérletet tesz egy ügyfél.

A címtár beállítása az LDAP-kiszolgáló aláírási funkcióinak megköveteléséhez

Csoportházirend használata

Az LDAP-kiszolgáló aláírási követelményeinek megadása

1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
2. Kattintson a Fájl menü Beépülõ modul hozzáadása/eltávolítása parancsára.
3. A Beépülõ modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendkezelés-szerkesztõ elemet, és kattintson a Hozzáadás gombra.
4. A Csoportházirend-objektum kiválasztása párbeszédpanelen kattintson a Tallózás gombra.
5. A Tallózás csoportházirend-objektumok között párbeszédpanelen válassza az Alapértelmezett tartományházirend lehetõséget a Tartományok, szervezeti egységek és kapcsolt csoportházirend-objektumok csoportban, és kattintson az OK gombra.
6. Kattintson a Befejezés gombra.
7. Kattintson az OK gombra.
8. Bontsa ki rendre a Házirend: Alapértelmezett tartományvezérlõ, a Számítógép konfigurációja, a Házirendek, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
9. Kattintson a jobb gombbal a Tartományvezérlõ: LDAP-kiszolgáló aláírási követelményei elemre, és válassza a Tulajdonságok parancsot.
10. A Tartományvezérlõ: LDAP-kiszolgáló aláírási követelményei tulajdonságai párbeszédpanelen engedélyezze A következõ házirend-beállítás megadása beállítást, válassza az Aláírás szükséges elemet A következõ házirend-beállítás megadása legördülõ listában, és kattintson az OK gombra.
11. A Beállításmódosítás megerõsítése párbeszédpanelen kattintson az Igen gombra.

Az LDAP-ügyfél aláírási követelményének beállítása helyi számítógép-házirenden keresztül

1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
2. Kattintson a Fájl menü Beépülõ modul hozzáadása/eltávolítása parancsára.
3. A Beépülõ modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendobjektum-szerkesztõ elemet, és kattintson aHozzáadás gombra.
4. Kattintson a Befejezés gombra.
5. Kattintson az OK gombra.
6. Bontsa ki rendre a Házirend: Helyi számítógép, a Számítógép konfigurációja, a Házirendek, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
7. Kattintson a jobb gombbal a Hálózati biztonság: LDAP-ügyfél aláírási követelményei elemre, és válassza a Tulajdonságok parancsot.
8. A Hálózati biztonság: LDAP-ügyfél aláírási követelményei tulajdonságai párbeszédpanelen kattintással jelölje ki az Aláírás szükséges elemet a legördülõ listából, és kattintson az OK gombra.
9. A Beállításmódosítás megerõsítése párbeszédpanelen kattintson az Igen gombra.

Az LDAP-ügyfél aláírási követelményének beállítása tartományi csoportházirenden keresztül

1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
2. Kattintson a Fájl menü Beépülõ modul hozzáadása/eltávolítása parancsára.
3. A Beépülõ modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendobjektum-szerkesztõ elemet, és kattintson a Hozzáadás gombra.
4. Kattintson a Tallózás gombra, és válassza az Alapértelmezett tartományházirend lehetõséget (vagy azt a csoportházirendet, amelyben az LDAP-ügyfél aláírási követelményét be szeretné állítani).
5. Kattintson az OK gombra.
6. Kattintson a Befejezés gombra.
7. Kattintson a Bezárás gombra.
8. Kattintson az OK gombra.
9. Bontsa ki rendre a Házirend: Alapértelmezett tartomány, a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
10. A Hálózati biztonság: LDAP-ügyfél aláírási követelményei tulajdonságai párbeszédpanelen kattintással jelölje ki az Aláírás szükséges elemet a legördülõ listából, és kattintson az OK gombra.
11. A Beállításmódosítás megerõsítése párbeszédpanelen kattintson az Igen gombra.

A Microsoft Tudásbázis kapcsolódó cikke:

Beállításkulcsok használata

Ha azt szeretné, hogy rendszerünk automatikusan módosítsa a beállításkulcsokat, lépjen az Automatikus javítás szakaszra. A beállításkulcsok saját kezû módosításához a Kézi javítás szakasszal folytassa a cikk olvasását.

Automatikus javítás

A probléma automatikus javításához kattintson A probléma javítása hivatkozásra vagy a fölötte látható gombra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.




Megjegyzések

• Elõfordulhat, hogy a varázsló csak angol nyelven érhetõ el, az automatikus javítás ugyanakkor a Windows többi nyelvi változatában is mûködik.
• Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD-re, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

A cikket folytassa a Megoldódott a probléma? szakasszal.

Kézi javítás

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékrõl módosítása elõtt célszerû biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentésérõl és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, és kattintson az OK gombra.
2. Keresse meg és jelölje ki az alábbi beállításkulcsot:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Kattintson a jobb gombbal az LDAPServerIntegrity beállítás-jegyzékbeli bejegyzésre, és válassza a Módosítás parancsot.
4. Az Azonosító értéke mezõben adja meg a 2 értéket, és kattintson az OK gombra.
5. Keresse meg és jelölje ki az alábbi beállításkulcsot:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
6. Kattintson a jobb gombbal az ldapclientintegrity beállítás-jegyzékbeli bejegyzésre, és válassza a Módosítás parancsot.
7. Az Azonosító értéke mezõben adja meg a 2 értéket, és kattintson az OK gombra.

Az Active Directory Lightweight Directory-szolgáltatások esetében a beállításkulcs alapértelmezésként nem érhetõ el. Ezért létre kell hoznia egy REG_DWORD típusú LDAPServerIntegrity beállítás-jegyzékbeli bejegyzést az alábbi alkulcs alatt:
Megjegyzés: Az InstanceName az Active Directory Lightweight Directory-szolgáltatások azon példányának a neve, amelyet módosítani szeretne.
A beállítások módosításának ellenõrzése

1. Kattintson a Start menü Futtatás parancsára, írja be az ldp.exe parancsot, majd kattintson az OK gombra.
2. A Kapcsolat menüben kattintson a Csatlakozás parancsra.
3. A Kiszolgáló, illetve a Port mezõbe írja be a címtárkiszolgáló kiszolgálónevét és a nem SSL/TLS-port számát, majd kattintson az OK gombra.
   Megjegyzés: Active Directory-tartományvezérlõ esetében a használandó port száma 389.
4. A kapcsolat létrejötte után kattintson a Kapcsolat menü Kötés parancsára.
5. A Kötés típusa csoportban jelölje be az Egyszerû választógombot.
6. Írja be a felhasználónevét és jelszavát, majd kattintson az OK gombra.

Ha a következõ hibaüzenet jelenik meg, a címtárkiszolgáló beállítása sikerült:

Megoldódott a probléma?

• Ellenõrizze, hogy megoldódott-e a probléma. Ha igen, nincs más teendõje. Ha a probléma nem szûnt meg, lépjen kapcsolatba a támogatási szolgálattal (http://support.microsoft.com/contactus) .
• Örömmel várjuk visszajelzését. Ha az itt ismertetett megoldással kapcsolatban visszajelzést küldene, illetve problémát szeretne bejelenteni, szóljon hozzá az automatikus javítással foglalkozó bloghoz (http://blogs.technet.com/fixit4me/) , vagy küldjön egy e-mailt (mailto:fixit4me@microsoft.com?Subject=KB) .

JOGI NYILATKOZAT

A MICROSOFT ÉS/VAGY ÉRINTETT BESZÁLLÍTÓI NEM TESZNEK SEMMIFÉLE KIJELENTÉST A JELEN WEBHELYEN KÖZZÉTETT DOKUMENTUMOK VAGY A HOZZÁJUK KAPCSOLÓDÓ GRAFIKUS ELEMEK TARTALMÁT KÉPEZÕ INFORMÁCIÓK BÁRMINEMÛ CÉLRA VALÓ ALKALMASSÁGÁRÓL. A JELEN WEBHELYEN KÖZZÉTETT DOKUMENTUMOK VAGY A HOZZÁJUK KAPCSOLÓDÓ GRAFIKUS ELEMEK TECHNIKAI PONTATLANSÁGOKAT VAGY HELYESÍRÁSI HIBÁKAT TARTALMAZHATNAK. AZ ITT KÖZÖLT INFORMÁCIÓK IDÕRÕL IDÕRE VÁLTOZÁSON ESNEK ÁT. A MICROSOFT ÉS/VAGY ÉRINTETT BESZÁLLÍTÓI AZ E HELYT ISMERTETETT TERMÉK(EK)BEN ÉS/VAGY PROGRAM(OK)BAN BÁRMIKOR JAVÍTÁSOKAT VAGY MÓDOSÍTÁSOKAT VÉGEZHETNEK.

A használati feltételekrõl további információt az alábbi hivatkozásra kattintva olvashat:
http://support.microsoft.com/tou/ (http://support.microsoft.com/tou/)

Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELÛ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkezõ problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következõen tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek (http://go.microsoft.com/fwlink/?LinkId=151500) között.