Como activar a assinatura no Windows Server 2008 LDAP

Traduções de Artigos Traduções de Artigos
Artigo: 935834 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

PUBLICAÇÃO RÁPIDA

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES EM RESPOSTA A EMERGENTES OU TÓPICOS EXCLUSIVOS E PODEM SER ACTUALIZADAS À MEDIDA QUE SURJAM NOVAS INFORMAÇÕES.

INTRODUÇÃO

A segurança do um servidor de directório pode ser significativamente melhorada configurando o servidor rejeitar autenticação simples e de camada de segurança (SASL) Enlaces LDAP não pedir a assinatura (verificação de integridade) ou rejeitar LDAP simples liga que são executadas numa ligação de texto simples (não encriptado com SSL/TLS). SASLs pode incluir protocolos como o Negotiate, Kerberos, NTLM e os protocolos de autenticação condensada.

O tráfego de rede não assinado é susceptível a ataques de reprodução em que um intruso intercepta a tentativa de autenticação e a pobremadade de um bilhete. O intruso pode reutilizar a permissão para representar o utilizador legítimo. Additionter o pormenor, o tráfego de rede não assinado é susceptível a ataques man-in-the-middle em que um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-as para o servidor. Se este ocorre num servidor LDAP, um intruso Pode fazer com que um servidor tome decisões baseadas em forjados pedidos do cliente LDAP.

Este artigo descreve como configurar o servidor de directório para proteger contra ataques desses tipo.

Mais Informação

Como identificar os clientes que não utilize o"Rassinatura de equire" opção

Os clientes que dependem as não assinada SASL (Negotiate, Kerberos, NTLM ou autenticação condensada) LDAP liga ou no LDAP simple liga através de uma ligação não SSL/TLS deixar de funcionar Depois de efectuar Esta alteração da configuração. Para ajudar a identificar Estes clientes, o servidor de directório registos um evento de resumo 2887 uma vez a cada 24 horas para indicar quantos desses enlaces ocorreu. Recomendamos que configurar theSe os clientes não está a utilizar esses enlaces. Depois de esses acontecimentos não são observados durante um período prolongado, recomendamos que configure o servidor rejeitar tais enlaces.

Se tem de ter mais informações para identificar esses clientes, pode configurar o servidor de directório para fornecer o registo mais detalhados. Este registo adicional registará um evento 2889 Quando um cliente tenta efectuar uma ligação LDAP não assinada. O registo apresentars o Endereço IP do cliente e a identidade que o cliente tentou Utilize para autenticar. Pode activar este registo adicional definindo o Eventos da Interface LDAP definição de diagnóstico para 2 (Basic). Para mais informações sobre como alterar as definições de diagnóstico, vá para o seguinte Web site da Microsoft:
http://go.microsoft.com/?linkid=9645087
Se o servidor de directório está configurado rejeitar não assinados SASL LDAP liga ou enlaces LDAP simple através de uma ligação não SSL/TLS, o servidor de directório irá registar um evento de resumo 2888 uma vez a cada 24 horas, quando tais vincular tentativas ocorrer.

Como configurar o directório para exigir assinatura do servidor LDAP

Utilizar política de grupo

Como definir o servidor de requisito de assinatura de LDAP
  1. Clique em Iniciar, clique em Executar, tipo MMC.exee, em seguida, clique em OK.
  2. Sobre o Ficheiro menu, clique em Adicionar/Remover Snap-in.
  3. No Adicionar ou Remover Snap-ins caixa de diálogo, clique em Editor de gestão da política de grupoe, em seguida, clique em Adicionar.
  4. No Seleccionar política de grupo caixa de diálogo, clique em Procurar.
  5. No Procurar um objecto de política de grupo caixa de diálogo, clique em Política predefinida de domínio sob o Domínios, UO e objectos de política de grupo ligados área e, em seguida, clique OK.
  6. Clique em Conclusão.
  7. Clique em OK.
  8. Expandir Política predefinida de controlador de domínio, expanda Configuração do computador, expanda Políticas, expanda Definições do Windows, expanda Definições de segurança, expanda Políticas locaise, em seguida, clique em Opções de segurança.
  9. Com o botão direito Controlador de domínio: requisitos de assinatura do servidor LDAPe, em seguida, clique em Propriedades.
  10. No Controlador de domínio: requisitos de propriedades de assinatura do servidor LDAP caixa de diálogo, activar Definir esta definição de política, Clique para seleccionar Exigir assinatura no Definir esta definição de política lista pendente e, em seguida, clique OK.
  11. No Confirmar alteração de definição caixa de diálogo, clique em Sim.
Como definir o cliente requisito de assinatura de LDAP através de política de computador local
  1. Clique em Iniciar, clique em Executar, tipo MMC.exee, em seguida, clique em OK.
  2. Sobre o Ficheiro menu, clique em Adicionar/Remover Snap-in.
  3. No Adicionar ou Remover Snap-ins caixa de diálogo, clique em Editor de objecto de política de grupo, e, em seguida Clique em Adicionar.
  4. Clique em Conclusão.
  5. Clique em OK.
  6. Expandir Política de computador local, expanda Configuração do computador, expanda Políticas, expanda Definições do Windows, expanda Definições de segurança, expanda Políticas locaise, em seguida, clique em Opções de segurança.
  7. Com o botão direito Segurança de rede: requisitos de assinatura do cliente LDAPe, em seguida, clique em Propriedades.
  8. No Segurança de rede: requisitos de propriedades de assinatura do cliente LDAP caixa de diálogo, Clique para seleccionar Exigir assinatura na lista pendente e, em seguida, clique OK.
  9. No Confirmar alteração de definição caixa de diálogo, clique em Sim.
Como definir o cliente requisito de assinatura de LDAP através de um objecto de política de grupo do domínio
  1. Clique em Iniciar, clique em Executar, tipo MMC.exee, em seguida, clique em OK.
  2. Sobre o Ficheiro menu, clique em Adicionar/Remover Snap-in.
  3. No Adicionar ou Remover Snap-ins caixa de diálogo, clique em Editor de objecto de política de grupoe, em seguida, clique em Adicionar.
  4. Clique em Procurare, em seguida, seleccione Política predefinida de domínio (ou o objecto de política de grupo para o qual pretende activar a assinatura do cliente LDAP).
  5. Clique em OK.
  6. Clique em Conclusão.
  7. Clique em Fechar.
  8. Clique em OK.
  9. Expandir Política predefinida de domínio, expanda Configuração do computador, expanda Definições do Windows, expanda Definições de segurança, expanda Políticas locaise, em seguida, clique em Opções de segurança.
  10. No Segurança de rede: requisitos de propriedades de assinatura do cliente LDAP caixa de diálogo, clique para seleccionar Exigir assinatura na lista pendente e, em seguida, clique OK.
  11. No Confirmar alteração de definição caixa de diálogo, clique em Sim.
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
823659Cliente, serviço e incompatibilidades do programa que podem ocorrer quando modificar definições de segurança e atribuições de direitos de utilizador

Como utilizar chaves de registo

Para nos solicitar a alterar as chaves de registo para si, vá para o "Corrigir por mim"secção. Se preferir para alterar o chaves de registo por si, vá para o "Deixar-me corrigir o problema"secção.

Corrigir por mim

Para corrigir este problema automaticamente, faça clique sobre o Corrigir botão ou hiperligação, clique em Executar no Transferência de ficheiros diálogo caixa e, em seguida, siga os passos na correcção este assistente.
Corrigir este problema
Microsoft Fix it 50518
Notas
  • Este assistente só pode estar em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
  • Se não estiver a utilizar o computador que tem o problema, guarde a correcção-solução para uma unidade flash ou um CD, e, em seguida, executá-la no computador que tem o problema.
Em seguida, vá para o "Isto corrigiu o problema?"secção.

Deixar-me corrigir o problema

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, podem ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para obter protecção acrescentada, cópia do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Com o botão direito do LDAPServerIntegrity entrada de registo e, em seguida, clique Modificar.
  4. Alterar Dados do valor para 2e, em seguida, clique em OK.
  5. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Com o botão direito do ldapclientintegrity entrada de registo e, em seguida, clique Modificar.
  7. Alterar o Dados do valor para 2e, em seguida, clique em OK.
Por predefinição, para os Serviços LDS do Active Directory (AD LDS), a chave de registo não está disponível. Por conseguinte, you tem de criar um Registo de LDAPServerIntegrity entrada do tipo REG_DWORD em a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota O marcador de posição <InstanceName>representa o nome do AD LDS instância que<b00> </b00> </InstanceName>pretende alterar.

Como verificar alterações de configuração

  1. Clique em Iniciar, clique em Executar, tipo Ldp.exee, em seguida, clique em OK.
  2. Sob o Ligação menu, clique em Ligar.
  3. No Servidor campo e o Porta campo, escreva o nome do servidor e a porta não SSL/TLS do seu servidor de directório e, em seguida, clique em OK.

    Nota
    para um Active Directory controlador de domínio, a porta aplicável é 389.
  4. Depois de estabelecida uma ligação, seleccione BIND sobre o Ligação menu.
  5. Em Ligar o tipo, seleccione Ligação simples.
  6. Escreva o nome de utilizador e palavra-passe e, em seguida, clique em OK.
Se receber a seguinte mensagem de erro, configurou com êxito o servidor de directório:
Ldap_simple_bind_s () falhou: autenticação forte necessária

Isto corrigiu o problema?

  • Verifique se o problema seja corrigido. Se o problema seja corrigido, o procedimento está concluído com esta secção. Se o problema não estiver corrigido, pode Contacte o suporte.
  • Agradecemos os seus comentários. Para enviar comentários ou comunicar problemas com esta solução, deixe um comentário sobre o "Corrigir por mim"blogue, ou envie-numa mensagem de correio electrónico.

EXCLUSÃO DE RESPONSABILIDADE

MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES NÃO FAZEM NENHUMA AFIRMAÇÃO RELATIVAMENTE À ADEQUAÇÃO DAS INFORMAÇÕES CONTIDAS NOS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PARA QUALQUER FINALIDADE. OS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PODERÃO INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS. SÃO ADICIONADAS ALTERAÇÕES PERIÓDICAS ÀS INFORMAÇÕES NESTE DOCUMENTO. MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES PODERÃO EFECTUAR ALTERAÇÕES NO PRODUTO (S) E/OU O PROGRAMA (S) DESCRITOS NESTE DOCUMENTO EM QUALQUER ALTURA.

Para mais informações sobre os termos de utilização, vá para o seguinte Web site da Microsoft:
http://support.microsoft.com/TOU/

Propriedades

Artigo: 935834 - Última revisão: 7 de junho de 2013 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 935834

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com