Jak włączyć podpisywanie LDAP w systemie Windows Server 2008

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 935834 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

SZYBKIE PUBLIKOWANIE


ARTYKUŁY SZYBKO PUBLIKOWANE ZAWIERAJĄ INFORMACJE BĘDĄCE ODPOWIEDZIĄ NA NOWE LUB UNIKATOWE ZAGADNIENIA I MOGĄ BYĆ AKTUALIZOWANE W MIARĘ POJAWIANIA SIĘ NOWYCH INFORMACJI.

WPROWADZENIE

Zabezpieczenia serwera katalogowego można znacznie ulepszyć przez skonfigurowanie go do odrzucania wiązań LDAP warstwy zabezpieczeń i prostego uwierzytelnienia (SASL, Simple Authentication and Security Layer), które nie żądają podpisywania (weryfikacji integralności), oraz prostych wiązań LDAP wykonywanych w ramach połączenia z obsługą czystego tekstu (bez szyfrowania SSL/TLS). Warstwy SASL mogą obejmować protokoły, takie jak Negocjacja, Kerberos, NTLM czy Szyfrowanie.

Niepodpisany ruch sieciowy jest podatny na ataki metodą powtórzeń, w ramach których intruz przechwytuje próbę uwierzytelnienia i wystawienie biletu. Intruz może ponownie użyć biletu w celu podszycia się pod rzeczywistego użytkownika. Ponadto niepodpisany ruch sieciowy jest podatny na ataki, w których trakcie intruz przechwytuje pakiety na drodze między klientem a serwerem, modyfikuje je, a następnie przesyła dalej do serwera. Jeśli zdarzy się to na serwerze LDAP, atakujący może spowodować, że serwer będzie podejmować decyzje oparte na fałszywych żądaniach od klienta LDAP.

W tym artykule opisano, jak skonfigurować serwer katalogowy, aby chronić go przed takimi atakami.

Więcej informacji

Wykrywanie klientów nieużywających opcji wymagania podpisywania
Klienci bazujący na niepodpisanych wiązaniach LDAP SASL (Negocjacja, Kerberos, NTLM lub Szyfrowanie) lub prostych wiązaniach LDAP przez połączenie bez szyfrowania SSL/TLS przestają działać po wprowadzeniu tej zmiany w konfiguracji. Aby ułatwić zidentyfikowanie tych klientów, serwer katalogowy raz na 24 godziny rejestruje zdarzenie podsumowujące 2887, wskazując liczbę wystąpień takich wiązań. Zaleca się takie skonfigurowanie tych klientów, aby nie używali takich wiązań. Ponadto zaleca się, aby po dłuższym okresie, w którym nie zostaną zaobserwowane żadne takie zdarzenia, skonfigurować serwer do odrzucania takich wiązań.

Jeśli do zidentyfikowania takich klientów są wymagane bardziej szczegółowe informacje, można skonfigurować serwer katalogowy do udostępniania bardziej szczegółowych dzienników. W przypadku takiego rejestrowania rozszerzonego próba zrealizowania przez klienta niepodpisanego wiązania LDAP spowoduje zarejestrowanie zdarzenia 2889. Zarejestrowane zostaną adres IP klienta i tożsamość, za pomocą której klient próbował się uwierzytelnić. To rejestrowanie rozszerzone można włączyć, określając dla ustawienia diagnostycznego Zdarzenia interfejsu LDAP wartość 2 (podstawowe). Aby uzyskać więcej informacji o zmienianiu ustawień diagnostycznych, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://technet.microsoft.com/pl-pl/library/cc961809.aspx

Serwer katalogowy skonfigurowany do odrzucania niepodpisanych wiązań LDAP SASL lub prostych wiązań LDAP przez połączenie bez szyfrowania SSL/TLS co 24 godziny rejestruje zdarzenie podsumowujące 2888, jeśli wystąpiły próby zrealizowania takich wiązań.

Konfigurowanie wymagania podpisywania serwera LDAP w katalogu

Za pomocą zasad grupy

Ustawianie wymagania podpisywania LDAP dla serwera
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg mmc.exe, a następnie kliknij przycisk OK.
  2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
  3. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij pozycję Edytor zarządzania zasadami grupy, a następnie kliknij przycisk Dodaj.
  4. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij przycisk Przeglądaj.
  5. W oknie dialogowym Przeglądanie obiektów zasad grupy w obszarze Domeny, jednostki organizacyjne i połączone obiekty zasad grup kliknij pozycję Domyślne zasady domeny, a następnie kliknij przycisk OK.
  6. Kliknij przycisk Zakończ.
  7. Kliknij przycisk OK.
  8. Rozwiń kolejno pozycje Domyślne zasady kontrolera domeny, Konfiguracja komputera, Zasady, Ustawienia systemu Windows, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
  9. Kliknij prawym przyciskiem myszy pozycję Kontroler domeny: wymagania podpisywania serwera LDAP, a następnie kliknij polecenie Właściwości.
  10. W oknie dialogowym Właściwości: Kontroler domeny: wymagania podpisywania serwera LDAP włącz pozycję Definiuj następujące ustawienie zasad, zaznacz kliknięciem pozycję Podpisywanie wymagane na liście rozwijanej Definiuj następujące ustawienie zasad, a następnie kliknij przycisk OK.
  11. Kliknij przycisk Tak w oknie dialogowym Potwierdzanie zmiany ustawień.
Ustawianie wymagania podpisywania LDAP dla klienta za pomocą lokalnych zasad komputera
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg mmc.exe, a następnie kliknij przycisk OK.
  2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
  3. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij pozycję Edytor obiektów zasad grupy, a następnie kliknij przycisk Dodaj.
  4. Kliknij przycisk Zakończ.
  5. Kliknij przycisk OK.
  6. Rozwiń kolejno pozycje Lokalne zasady komputera, Konfiguracja komputera, Zasady, Ustawienia systemu Windows, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
  7. Kliknij prawym przyciskiem myszy pozycję Zabezpieczenia sieci: wymagania podpisywania klienta LDAP, a następnie kliknij polecenie Właściwości.
  8. W oknie dialogowym Właściwości: Zabezpieczenia sieci: wymagania podpisywania klienta LDAP na liście rozwijanej zaznacz kliknięciem pozycję Podpisywanie wymagane, a następnie kliknij przycisk OK.
  9. Kliknij przycisk Tak w oknie dialogowym Potwierdzanie zmiany ustawień.
Ustawianie wymagania podpisywania LDAP dla klienta za pomocą zasad grupy domeny
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg mmc.exe, a następnie kliknij przycisk OK.
  2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
  3. W oknie dialogowym Dodawanie lub usuwanie przystawek kliknij pozycję Edytor obiektów zasad grupy, a następnie kliknij przycisk Dodaj.
  4. Kliknij przycisk Przeglądaj i wybierz pozycję Domyślne zasady domeny (lub wybierz zasady grupy, za pomocą których chcesz włączyć podpisywanie LDAP dla klienta).
  5. Kliknij przycisk OK.
  6. Kliknij przycisk Zakończ.
  7. Kliknij przycisk Zamknij.
  8. Kliknij przycisk OK.
  9. Rozwiń kolejno pozycje Domyślne zasady domeny, Konfiguracja komputera, Ustawienia systemu Windows, Ustawienia zabezpieczeń i Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
  10. W oknie dialogowym Właściwości: Zabezpieczenia sieci: wymagania podpisywania klienta LDAP na liście rozwijanej zaznacz kliknięciem pozycję Podpisywanie wymagane, a następnie kliknij przycisk OK.
  11. Kliknij przycisk Tak w oknie dialogowym Potwierdzanie zmiany ustawień.


Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823659 Niezgodności programów, usług i klientów, które mogą wystąpić wskutek zmodyfikowania ustawień zabezpieczeń i przypisań praw użytkownika

Za pomocą kluczy rejestru

Aby automatycznie zmienić klucze rejestru, przejdź do sekcji Automatyczne rozwiązywanie problemu. Aby samodzielnie zmienić klucze rejestru, przejdź do sekcji Samodzielne rozwiązywanie problemu.

Automatyczne rozwiązywanie problemu



Aby automatycznie rozwiązać ten problem, należy kliknąć przycisk lub łącze Fix it. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.


Rozwiąż ten problem
Microsoft Fix it 50518


Uwagi
  • Ten kreator może być dostępny tylko w języku angielskim. Jednak ta poprawka automatyczna działa również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać to rozwiązanie w postaci poprawki automatycznej na dysku flash lub CD i uruchomić je na odpowiednim komputerze.

Teraz przejdź do sekcji Czy problem został rozwiązany?



Samodzielne rozwiązywanie problemu

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu w przypadku wystąpienia problemu będzie można przywrócić rejestr. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg regedit, a następnie kliknij przycisk OK.
  2. Odszukaj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Kliknij prawym przyciskiem myszy wpis rejestru LDAPServerIntegrity, a następnie kliknij polecenie Modyfikuj.
  4. Zmień pozycję Dane wartości na 2, a następnie kliknij przycisk OK.
  5. Odszukaj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Kliknij prawym przyciskiem myszy wpis rejestru ldapclientintegrity, a następnie kliknij polecenie Modyfikuj.
  7. Zmień pozycję Dane wartości na 2, a następnie kliknij przycisk OK.

Klucz rejestru dla usług LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) nie jest dostępny domyślnie. Dlatego należy utworzyć wpis rejestru LDAPServerIntegrity typu REG_DWORD w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
UwagaZmienna InstanceName to nazwa wystąpienia usług LDS w usłudze AD, które ma zostać zmienione.
Sprawdzenie zmian w konfiguracji
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg ldp.exe, a następnie kliknij przycisk OK.
  2. W menu Połączenie kliknij polecenie Połącz.
  3. Wpisz nazwę serwera i port bez szyfrowania SSL/TLS serwera katalogowego w polach Serwer i Port, a następnie kliknij przycisk OK.
    Uwaga Dla kontrolera domeny usługi Active Directory stosowany jest port 389.
  4. Po ustanowieniu połączenia wybierz pozycję Wiązanie w menu Połączenie.
  5. W obszarze Typ wiązania wybierz pozycję Wiązanie proste.
  6. Wpisz nazwę użytkownika i hasło, a następnie kliknij przycisk OK.

Jeśli zostanie wyświetlony poniższy komunikat o błędzie, oznacza to, że pomyślnie skonfigurowano serwer katalogowy:
Ldap_simple_bind_s() — operacja nie powiodła się: Wymagane jest Silne Uwierzytelnianie

Czy problem został rozwiązany?

  • Sprawdź, czy problem został rozwiązany. Jeśli problem został rozwiązany, to koniec pracy z tą sekcją. Jeśli problem nie został rozwiązany, można skontaktować się z pomocą techniczną.
  • Prosimy o opinię. Aby przekazać opinię lub zgłosić jakiekolwiek problemy dotyczące tego rozwiązania, można zostawić komentarz w blogu Fix it for me (Automatyczne rozwiązywanie problemu) lub wysłać wiadomość e-mail.

ZASTRZEŻENIE


FIRMA MICROSOFT I (LUB) JEJ ODPOWIEDNI DOSTAWCY NIE SKŁADAJĄ ŻADNYCH OŚWIADCZEŃ DOTYCZĄCYCH PRZYDATNOŚCI DO JAKIEGOKOLWIEK CELU INFORMACJI I POKREWNYCH GRAFIK ZAWARTYCH W TEJ WITRYNIE SIECI WEB. DOKUMENTY I POKREWNE GRAFIKI OPUBLIKOWANE W TEJ WITRYNIE MOGĄ ZAWIERAĆ BŁĘDY TECHNICZNE LUB TYPOGRAFICZNE. W TYCH INFORMACJACH SĄ OKRESOWO WPROWADZANE ZMIANY. FIRMA MICROSOFT I (LUB) JEJ ODPOWIEDNI DOSTAWCY MOGĄ W DOWOLNYM MOMENCIE WPROWADZIĆ ULEPSZENIA ALBO ZMIANY W OPISANYCH TU PRODUKTACH I (LUB) PROGRAMACH.

Aby uzyskać więcej informacji dotyczących warunków użytkowania, kliknij poniższe łącze:
http://support.microsoft.com/tou/
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 935834 - Ostatnia weryfikacja: 15 maja 2011 - Weryfikacja: 2.0
Informacje zawarte w tym artykule dotyczą:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Słowa kluczowe: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com