How to enable LDAP firma in Windows Server 2008

Traduzione articoli Traduzione articoli
Identificativo articolo: 935834 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

PUBBLICAZIONE RAPIDA

PUBBLICAZIONE RAPIDA GLI ARTICOLI CONTENGONO INFORMAZIONI IN RISPOSTA A EMERGENTI O ARGOMENTI UNIVOCI E PUĎ ESSERE AGGIORNATO MAN MANO CHE DIVENTANO DISPONIBILI NUOVE INFORMAZIONI.

INTRODUZIONE

La protezione di a server di directory pu˛ essere nettamente migliorata configurando il server per rifiutare Simple Authentication and Security Layer SASL) Binding LDAP che non richiedono la firma (verifica dell'integritÓ) o rifiutare LDAP semplice associa che vengono eseguite su una connessione di testo non crittografato (non-SSL/TLS crittografati). SASLs pu˛ includere protocolli quali Negotiate, Kerberos, NTLM e i protocolli di Digest.

Traffico di rete privo di firma Ŕ soggetto ad attacchi replay in cui un intruso intercetta il tentativo di autenticazione e i problemiance di un ticket. L'intruso pu˛ riutilizzare il ticket per rappresentare l'utente legittimo. Additionally, traffico di rete privo di firma Ŕ soggetto ad attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client e server, cambia i pacchetti e quindi li inoltra al server. Se questo si verifica su un server LDAP, un utente malintenzionato possibile costringere un server a prendere decisioni basate su contraffatti richieste dal client LDAP.

In questo articolo viene descritto come configurare il server di directory per proteggerla da tali attacchi.

Informazioni

Come individuare i client che non utilizzano il"Rfirma equire" opzione

I client che si basano su SASL senza segno (Negotiate, Kerberos, NTLM o Digest) LDAP consente di associare o su LDAP semplice associa tramite una connessione SSL/TLS smettere di funzionare Dopo aver apportato la modifica della configurazione. Per la Guida in linea identificare Questi client, il server di directory Registros un evento . 2887 una volta ogni 24 ore per indicare quanti tali associazioni si Ŕ verificato. ╚ consigliabile che si configurare theclient se non si desidera utilizzare tali associazioni. Dopo eventi di questo tipo vengono osservati per un periodo prolungato, si consiglia di configurare il server per rifiutare tali associazioni.

Se Ŕ necessario disporre di ulteriori informazioni per identificare tali client, Ŕ possibile configurare il server di directory per fornire informazioni pi¨ dettagliates. Questa registrazione verrÓ registrato un evento 2889 Quando un client tenta di effettuare un binding LDAP senza segno. La registrazione visualizzaziones VerrÓ visualizzata la finestra di dialogo Indirizzo IP del client e l'identitÓ che il client ha cercato di utilizzare per l'autenticazione. ╚ possibile attivare la registrazione impostando il Eventi di interfaccia LDAP impostazione diagnostica 2 (Basic). Per ulteriori informazioni su come modificare le impostazioni di diagnostiche, vedere il seguente sito Web Microsoft:
http://go.microsoft.com/?LinkId=9645087
Se il server di directory Ŕ configurato per rifiutare unsigned SASL LDAP consente di associare o binding LDAP semplice tramite una connessione SSL/TLS, il server di directory registrerÓ un evento 2888 verificarsi di una volta ogni 24 ore, quando ad esempio tentativi di binding.

Come configurare la directory per richiedere la firma server LDAP

Utilizzando criteri di gruppo

Come impostare il server, requisito di firma LDAP
  1. Fare clic Inizio, fare clic su Eseguire, tipo MMC.exe, quindi fare clic su OK.
  2. Nel File menu, fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungere o rimuovere Snap-in Nella finestra di dialogo, fare clic su Editor Gestione criteri di gruppo, quindi fare clic su Aggiungere.
  4. Nella finestra di dialogo Oggetto Criteri di gruppo selezionare Nella finestra di dialogo, fare clic su Sfoglia.
  5. Nella finestra di dialogo Cercare un oggetto Criteri di gruppo Nella finestra di dialogo, fare clic su Criterio dominio predefinito sotto il Domini, unitÓ organizzative e oggetti Criteri di gruppo area e quindi fare clic su OK.
  6. Fare clic Fine.
  7. Fare clic OK.
  8. Espandere Criterio Controller di dominio predefinito, espandere Configurazione del computer, espandere Criteri, espandere Impostazioni di Windows, espandere Impostazioni di protezione, espandere Criteri locali, quindi fare clic su Opzioni di protezione.
  9. Pulsante destro del mouse Controller di dominio: requisiti di accesso al server LDAP, quindi fare clic su ProprietÓ.
  10. Nella finestra di dialogo Controller di dominio: requisiti di proprietÓ di accesso al server LDAP Nella finestra di dialogo attiva Definire le impostazioni dei criteri, Fare clic per selezionare Richiedi firma nel Definire le impostazioni dei criteri elenco a discesa, quindi fare clic su OK.
  11. Nella finestra di dialogo Conferma modifica impostazioni Nella finestra di dialogo, fare clic su .
Come impostare il client requisito di firma LDAP tramite criteri del computer locale
  1. Fare clic Inizio, fare clic su Eseguire, tipo MMC.exe, quindi fare clic su OK.
  2. Nel File menu, fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungere o rimuovere Snap-in Nella finestra di dialogo, fare clic su Editor oggetti Criteri di gruppo, e quindi Fare clic su Aggiungere.
  4. Fare clic Fine.
  5. Fare clic OK.
  6. Espandere Criteri del Computer locale, espandere Configurazione del computer, espandere Criteri, espandere Impostazioni di Windows, espandere Impostazioni di protezione, espandere Criteri locali, quindi fare clic su Opzioni di protezione.
  7. Pulsante destro del mouse Protezione di rete: requisiti per la firma client LDAP, quindi fare clic su ProprietÓ.
  8. Nella finestra di dialogo Protezione di rete: requisiti di proprietÓ per la firma client LDAP Nella finestra di dialogo Fare clic per selezionare Richiedi firma Nell'elenco a discesa, quindi fare clic OK.
  9. Nella finestra di dialogo Conferma modifica impostazioni Nella finestra di dialogo, fare clic su .
Come impostare il client di requisito di firma LDAP tramite un oggetto Criteri di gruppo di dominio
  1. Fare clic Inizio, fare clic su Eseguire, tipo MMC.exe, quindi fare clic su OK.
  2. Nel File menu, fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungere o rimuovere Snap-in Nella finestra di dialogo, fare clic su Editor oggetti Criteri di gruppo, quindi fare clic su Aggiungere.
  4. Fare clic Sfoglia, quindi selezionare Criterio dominio predefinito (o l'oggetto Criteri di gruppo per il quale si desidera attivare la firma LDAP client).
  5. Fare clic OK.
  6. Fare clic Fine.
  7. Fare clic Chiudere.
  8. Fare clic OK.
  9. Espandere Criterio dominio predefinito, espandere Configurazione del computer, espandere Impostazioni di Windows, espandere Impostazioni di protezione, espandere Criteri locali, quindi fare clic su Opzioni di protezione.
  10. Nella finestra di dialogo Protezione di rete: requisiti di proprietÓ per la firma client LDAP Nella finestra di dialogo, fare clic per selezionare Richiedi firma Nell'elenco a discesa, quindi fare clic OK.
  11. Nella finestra di dialogo Conferma modifica impostazioni Nella finestra di dialogo, fare clic su .
Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
823659Client, servizio e le incompatibilitÓ di programma che possono verificarsi quando si modificano le impostazioni di protezione e assegnazione diritti utente

Come utilizzare le chiavi del Registro di sistema

Per modificare le chiavi del Registro di sistema per l'utente, Vai al "Risolvere il problema per me"sezione. Se si preferisce modificare il Registro di sistema tasti personalmente, Vai al "Risolvere il problema manualmente"sezione.

Risolvere il problema per me

Per risolvere il problema automaticamente, scegliere il Risolvere il problema pulsante o collegamento, fare clic su Eseguire nel Download di file finestra di dialogo casella e quindi seguire le istruzioni della correzione, procedura guidata.
Risolvere il problema
Microsoft Fix it 50518
Note
  • Questa procedura guidata potrebbe essere solo in lingua inglese. Tuttavia, la correzione automatica funziona anche per le versioni di Windows in altre lingue.
  • Se non si utilizza il computer che presenta il problema, salvare la correzione tale soluzione a un'unitÓ memoria flash o un CD, quindi eseguirlo sul computer che presenta il problema.
Quindi, Vai al "Il problema Ŕ stato risolto?"sezione.

Risolvere il problema manualmente

Importante. Questa sezione, metodo o attivitÓ contiene la procedura per modificare il Registro di sistema. Tuttavia, potrebbero verificarsi seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
  1. Fare clic Inizio, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Pulsante destro del mouse il LDAPServerIntegrity voce del Registro di sistema, quindi fare clic su Modificare.
  4. Modifica Dati valore per 2, quindi fare clic su OK.
  5. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Pulsante destro del mouse il ldapclientintegrity voce del Registro di sistema, quindi fare clic su Modificare.
  7. Modifica il Dati valore per 2, quindi fare clic su OK.
Per impostazione predefinita, per Active Directory Lightweight Directory Services (AD LDS), la chiave del Registro di sistema non Ŕ disponibile. Di conseguenza, yŔ necessario creare unitÓ organizzative a Registro di sistema LDAPServerIntegrity voce di tipo REG_DWORD Nella casella di gruppo la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota. Il segnaposto <InstanceName>rappresenta il nome di AD LDS che di istanza<b00> </b00> </InstanceName>si desidera modificare.

Come verificare le modifiche di configurazione

  1. Fare clic Inizio, fare clic su Eseguire, tipo Ldp.exe, quindi fare clic su OK.
  2. Sotto il Connessione menu, fare clic su Connettersi.
  3. Nella finestra di dialogo Server campo e il Porta campo, digitare il nome del server e la porta SSL/TLS del server e quindi fare clic su OK.

    Nota
    For an Active Directory Domain Controller, la porta Ŕ 389.
  4. Dopo aver stabilita una connessione, selezionare Associazione nel Connessione dal menu.
  5. Nella casella di gruppo Tipo di binding, selezionare Associazione semplice.
  6. Digitare il nome utente e la password e quindi fare clic su OK.
Se viene visualizzato il seguente messaggio di errore, il server di directory Ŕ correttamente configurato:
Ldap_simple_bind_s () non riuscita: necessaria autenticazione avanzata

Il problema Ŕ stato risolto?

  • Controllare se il problema Ŕ stato risolto. Se il problema viene risolto, non Ŕ necessario continuare con questa sezione. Se il problema non viene risolto, Ŕ possibile contattare il supporto tecnico.
  • Ci piacerebbe ricevere commenti e suggerimenti. Per fornire commenti e suggerimenti o segnalare eventuali problemi con questa soluzione, lasciare un commento sul "Risolvere il problema per me"blog o inviare un messaggio di posta elettronica.

DECLINAZIONE DI RESPONSABILIT└

MICROSOFT E/O I RELATIVI FORNITORI NON RILASCIANO ALCUNA DICHIARAZIONE RELATIVAMENTE ALL'ADEGUATEZZA DELLE INFORMAZIONI CONTENUTE NEI DOCUMENTI E IMMAGINI RELATIVE PUBBLICATI SU QUESTO SITO WEB PER QUALSIASI SCOPO. I DOCUMENTI E LE IMMAGINI RELATIVE PUBBLICATI SU QUESTO SITO WEB POTREBBERO CONTENERE INESATTEZZE TECNICHE O ERRORI TIPOGRAFICI. LE MODIFICHE VENGONO AGGIUNTE PERIODICAMENTE LE INFORMAZIONI NEL PRESENTE DOCUMENTO. MICROSOFT E/O I RELATIVI FORNITORI POSSONO APPORTARE MIGLIORAMENTI O MODIFICHE NEL PRODOTTO (S) E/O IL PROGRAMMA (S) DESCRITTI NEL PRESENTE CONTRATTO IN QUALSIASI MOMENTO.

Per ulteriori informazioni sulle condizioni di utilizzo, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/tou/

ProprietÓ

Identificativo articolo: 935834 - Ultima modifica: venerdý 7 giugno 2013 - Revisione: 2.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi:á
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 935834
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com