Como activar o início de sessão no Windows Server 2008 de LDAP

PUBLICAÇÃO RÁPIDA

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES EM RESPOSTA A NOVAS OU TÓPICOS EXCLUSIVOS E PODEM SER ACTUALIZADAS À MEDIDA QUE SURJAM NOVAS INFORMAÇÕES.

A segurança doumservidor de directório pode ser significativamente melhorada configurando o servidor rejeitar autenticação simples e Security Layer (SASL)LDAP liga-se que não pedem a assinatura (verificação de integridade) e associações simples de LDAP que são executadas numa ligação de texto simples (não SSL/TLS-encriptado).SASLs podem incluir protocolos tais como Negotiate, Kerberos, NTLM ou autenticação condensada.

O tráfego de rede não assinado é susceptível a ataques de reproduçãoem queum intruso intercepta a tentativa de autenticação e a pobremadadede um bilhete. O intruso pode reutilizar a permissão para representar o utilizador legítimo.Additionally, o tráfego de rede não assinado é susceptível a ataques man-in-the-middleem queum intruso captura pacotes entre o cliente e o servidor, altera os pacotes e depois encaminha-os para o servidor.Se estese verifica num servidor LDAP, um atacantePodefazer com que um servidor tomar decisões que sejam baseiam em falsos pedidos de cliente LDAP.

Este artigo descreve como configurar o servidor de directório para protegê-lo contra ataques desses tipo.

Os clientes que não utilizem a identificaroRequire assinaturaopção

Os clientes quedependem não assinado SASL (Negotiate, Kerberos, NTLM ou autenticação condensada) liga LDAP ou LDAP simples liga através de uma ligação não-SSL/TLSdeixar de funcionarDepois de efectuarEsta alteração da configuração. Para o ajudaridentificarEstes clientes, o servidor de directórioregistosum evento de resumo2887uma vez a cada 24 horas para indicar quantas dessas associações ocorreu.Recomendamos queconfigurar theSe os clientes não para utilizar essas associações.Apóstais acontecimentos não são observados durante um período prolongado, recomendamos que configure o servidor para rejeitar essas associações.

Se for necessária mais informações detalhadas para identificar esses clientes, o servidor de directório pode ser configurado para fornecer o registo mais detalhados. Este registo adicional registará um evento2889Quando um cliente tenta uma ligação LDAP não assinada. O registoapresentarsoEndereço IP do cliente e a identidade do cliente tentouUtilize paraautenticar. Este registo adicional pode ser activado definindo oEventos da interface LDAPdefinição de diagnóstico para 2 (Basic). Para mais informações sobre como alterar as definições de diagnóstico, visite o seguinte Web site da Microsoft:
http://go.microsoft.com/?linkid=9645087 (http://go.microsoft.com/?linkid=9645087)

Se o servidor de directório está configurado rejeitar não assinados SASL LDAP liga ou LDAP simples liga através de uma ligação não-SSL/TLS, o servidor de directório irá registar um evento de resumo2888uma vez que cada 24hours, quando ocorrem tais tentativas de ligação.

Configurar o directório de exigir assinatura de servidor LDAP

Utilizar política de grupo

Definição do requisito de assinatura do servidor LDAP

1. Clique emIniciar, clique emExecutar, tipoMMC. exee, em seguida, clique emOK.
2. Sobre oFicheiromenu, clique emAdicionar/remover snap-in.
3. NaAdicionar ou remover snap-inscaixa de diálogo, clique emEditor de gestão de política de grupo, clique emAdicionar.
4. NaSeleccionar política de grupocaixa de diálogo, clique emProcurar.
5. NaProcurar um objecto de política de grupocaixa de diálogo, clique emPolítica predefinida de domínionos termos doDomínios, ou e objectos de política de grupo associadosárea e, em seguida, cliqueOK.
6. Clique emConclusão.
7. Clique emOK.
8. ExpandirPolítica predefinida de controlador de domínio, expandaConfiguração do computador, expandaPolíticas, expandaDefinições do Windows, expandaDefinições de segurança, expandaPolíticas locaise, em seguida, clique emOpções de segurança.
9. Com o botão direitoControlador de domínio: requisitos de assinatura do servidor LDAPe, em seguida, clique emPropriedades.
10. NaControlador de domínio: propriedades de requisitos de assinatura do servidor LDAPcaixa de diálogo, activarDefinir esta definição de política,Clique para seleccionarExigir assinaturanaDefinir esta definição de políticana lista pendente e, em seguida, cliqueOK.
11. Clique emSimnaConfirmar alteração de definiçãocaixa de diálogo.

Definição do requisito de assinatura do cliente LDAP

1. Clique emIniciar, clique emExecutar, tipoMMC. exee, em seguida, clique emOK.
2. Sobre oFicheiromenu, clique emAdicionar/remover snap-in.
3. NaAdicionar ou remover snap-inscaixa de diálogo, clique emEditor de objecto de política de grupo,e, em seguidaClique emAdicionar.
4. Clique emConclusão.
5. Clique emOK.
6. ExpandirPolítica de computador local, expandaConfiguração do computador, expandaPolíticas, expandaDefinições do Windows, expandaDefinições de segurança, expandaPolíticas locaise, em seguida, clique emOpções de segurança.
7. Com o botão direitoSegurança de rede: requisitos de assinatura de clientee, em seguida, clique emPropriedades.
8. NaSegurança de rede: propriedades de requisitos de assinatura de clientecaixa de diálogo,Clique para seleccionarExigir assinaturana lista pendente e, em seguida, cliqueOK.
9. Clique emSimnaConfirmar alteração de definiçãocaixa de diálogo.

Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

Utilizar chaves de registo

Para ter-na alterar as chaves de registo para o utilizador, vá para o "Corrija-o para mim"secção. Se pretender alterar o registo chaves por si, vá para o "Deixar-me corrigi-lo manualmente"secção.

Corrija-o para mim

Para corrigir este problema automaticamente, faça clique sobre oCorrija-obotão ou hiperligação. Clique emExecutarnaTransferência de ficheirosdiálogo caixa e siga os passos da correcção do assistente-lo.




Notas

• Este assistente pode ser apenas em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
• Se não estiver a utilizar o computador com o problema, guarde a correcção esta solução para um CD ou uma unidade flash e, em seguida, executá-lo no computador que tem o problema.

Em seguida, vá para o "Isto corrigiu o problema?"secção.

Deixar-me corrigi-lo manualmente

ImportanteNesta secção, o método ou a tarefa contém passos que indicam como modificar o registo. No entanto, podem ocorrer problemas sérios se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

1. Clique emIniciar, clique emExecutar, tipoRegedite, em seguida, clique emOK.
2. Localize e clique na seguinte subchave de registo:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Faça duplo clique sobre oLDAPServerIntegrityentrada do registo e, em seguida, cliqueModificar.
4. AlteraçãoDados de valorpara2e, em seguida, clique emOK.
5. Localize e clique na seguinte subchave de registo:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
6. Faça duplo clique sobre oldapclientintegrityentrada do registo e, em seguida, cliqueModificar.
7. Alterar oDados de valorpara2e, em seguida, clique emOK.

Para directório Serviços LDS do Active Directory (AD LDS), a chave de registo não está disponível por predefinição.Por conseguinte,ytem de criar ouumRegisto de LDAPServerIntegrityentradado tipo REG_DWORDema seguinte subchave de registo:
NotaInstanceNameé o nome da instância do AD LDSque pretende alterar.
Verificar alterações de configuração

1. Clique emIniciar, clique emExecutar, tipoLdp.exee, em seguida, clique emOK.
2. Nos termos doLigaçãomenu, clique emLigar.
3. Escreva o nome do servidor e a porta de não-SSL/TLS do seu servidor de directório naServidorcampo e oPortacampo e, em seguida, seleccioneOK.
   NotaPara um controlador de domínio do directório Active, a porta aplicável é 389.
4. Depois de estabelecer uma ligação, seleccioneLigarnos termos doLigaçãomenu.
5. EmTipo de enlace, seleccioneEnlace simples.
6. Escreva o nome de utilizador e palavra-passe e, em seguida, clique emOK.

Configurou com êxito o servidor de directório se receber a seguinte mensagem de erro:

Isto corrigiu o problema?

• Verifique se o problema está resolvido. Se o problema for resolvido, acabar com esta secção. Se o problema não for resolvido, podecontactar o suporte (http://support.microsoft.com/contactus) .
• Seria Agradecemos os seus comentários. Para enviar comentários ou para comunicar quaisquer problemas relacionados com esta solução, deixe um comentário sobre o "Corrija-o para mim (http://blogs.technet.com/fixit4me/) "blogue ou envie-numamensagem de correio electrónico (mailto:fixit4me@microsoft.com?Subject=KB) .

EXCLUSÃO DE RESPONSABILIDADE

MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES NÃO FAZEM QUAISQUER REPRESENTAÇÕES SOBRE A ADEQUAÇÃO DAS INFORMAÇÕES CONTINHAM EM DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PARA QUALQUER FINALIDADE. OS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PODERIAM INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS. AS ALTERAÇÕES SÃO ADICIONADAS PERIODICAMENTE AS INFORMAÇÕES NESTE DOCUMENTO. MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES PODERÃO EFECTUAR MELHORAMENTOS E/OU ALTERAÇÕES NO PRODUTO (S) E/OU O (S) DE PROGRAMA DESCRITOS NESTE DOCUMENTO EM QUALQUER ALTURA.

Para mais informações sobre os termos de utilização, clique na hiperligação abaixo:
http://support.microsoft.com/tou/ (http://support.microsoft.com/tou/)