Как включить в Windows Server 2008 подписывание LDAP

Переводы статьи Переводы статьи
Код статьи: 935834 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

БЫСТРАЯ ПУБЛИКАЦИЯ.

БЫСТРАЯ ПУБЛИКАЦИЯ СТАТЕЙ СОДЕРЖАТ СВЕДЕНИЯ В ОТВЕТ НА НОВЫЕ ИЛИ УНИКАЛЬНЫЕ РАЗДЕЛЫ И МОЖЕТ ОБНОВЛЯТЬСЯ ПО МЕРЕ ПОЯВЛЕНИЯ НОВЫХ СВЕДЕНИЙ.

ВВЕДЕНИЕ

Безопасность в сервер каталогов можно значительно повысить путем настройки сервера для отклонения простой проверки подлинности и уровня безопасности (SASL) Выполняет привязку LDAP, не требующих подписи (проверка целостности) или отклонить LDAP непростые, выполняются на подключение открытым текстом (без SSL/TLS-шифрования). SASLs может включать протоколы, такие как согласование, Kerberos, NTLM и протоколы дайджест.

Неподписанный сетевой трафик делает возможной атаки в котором злоумышленник перехватывает попытки проверки подлинности и проблемВоспользуйтесь билета. Злоумышленник может повторно использовать билет для олицетворения законного пользователя. Additionматически, Неподписанный сетевой трафик делает возможной атаки в середине в котором злоумышленник перехватывает пакеты между клиентом и сервером, меняет пакеты и пересылает их на сервер. Если это происходит на сервере LDAP злоумышленник можно вызвать сервер для принятия решений, основанных на поддельных запросы от клиента LDAP.

В данной статье описывается настройка сервера каталогов для предотвращения подобных атак.

Дополнительная информация

Как найти клиентов, не использующих "Require подписи" параметр

Клиенты, полагаться на неподписанные SASL (Negotiate, Kerberos, NTLM или дайджест) выполняет привязку LDAP или на LDAP простой привязки через подключение без SSL/TLS Прекращение работы После внесения Это изменение конфигурации. Чтобы помочь Определение Эти клиенты, сервер каталогов журналs Сводка событий 2887 один раз каждые 24 часа, чтобы указать, сколько привязывает произошла. Мы рекомендуем вам Настройка theSE клиентам не использовать такой привязки. После события не наблюдается для продолжительного периода, рекомендуется настроить сервер, чтобы отклонить такой привязки.

Если необходимы дополнительные сведения для идентификации таких клиентов можно настроить сервер каталогов для предоставления более подробный журналs. Это дополнительное ведение журнала будет записать событие в журнал 2889 Когда клиент пытается сделать привязку LDAP без знака. Ведение журнала Отображениеs в IP-адрес клиента и клиент пытался удостоверение использовать для Проверка подлинности. Это дополнительное ведение журнала можно включить, задав параметр диагностики События интерфейса LDAP 2 (Basic). Дополнительные сведения об изменении параметров диагностики посетите следующий веб-узел корпорации Майкрософт:
http://go.Microsoft.com/?linkid=9645087
Если сервер каталогов настроен отклонить неподписанные SASL LDAP привязывает или простая связка LDAP через подключение без SSL/TLS, сервер каталогов будут входить Сводка событий 2888 возникает один раз каждые 24 часа при такой привязки попыток.

Настройка каталога требование цифровой подписи LDAP сервера

С помощью групповой политики

Как установить требования подписывания для LDAP сервера
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC.exe, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор управления групповыми политикамии нажмите кнопку Добавить.
  4. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
  5. В диалоговом окне Поиск объекта групповой политики нажмите кнопку Политика домена по умолчанию в области домены, подразделения и связанные объекты групповой политики и нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку ОК.
  8. Разверните узел Политика контроллеров домена по умолчанию, разверните узлы Конфигурация компьютера, разверните узел политики, конфигурация Windows, параметры Безопасности, Локальныеполитики и выберите Параметры безопасности.
  9. Щелкните правой кнопкой мыши контроллер домена: требования подписывания для LDAP-сервера, а затем выберите команду Свойства.
  10. В контроллера домена: свойства требования подписывания для LDAP-сервера диалоговом окне укажите, позволяют определить следующий параметр политики Выберите в раскрывающемся списке определить следующий параметр политикитребуется цифровая подпись и нажмите кнопку ОК.
  11. В диалоговом окне Подтверждение изменения настроек нажмите кнопку " Да".
Как установить требование подписи LDAP политикой локального компьютера клиента
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC.exe, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политикиа затем Нажмите кнопку Добавить.
  4. Нажмите кнопку Готово.
  5. Нажмите кнопку ОК.
  6. Разверните узел Политика локального компьютера, разверните узлы Конфигурация компьютера, разверните узел политики, конфигурация Windows, параметры Безопасности, Локальныеполитики и выберите Параметры безопасности.
  7. Щелкните правой кнопкой мыши Сетевая безопасность: требования подписывания для LDAP клиентаи выберите команду Свойства.
  8. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, Выберите в раскрывающемся списке требуется цифровая подпись и нажмите кнопку ОК.
  9. В диалоговом окне Подтверждение изменения настроек нажмите кнопку " Да".
Как установить требования подписывания для LDAP клиента через объект групповой политики домена
  1. Нажмите кнопку Пуск, выберите пункт выполнить, введите mmc.exeи нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политикии нажмите кнопку Добавить.
  4. Нажмите кнопку Обзори выберите Политика домена по умолчанию (или объект групповой политики, для которого нужно включить подписывания для LDAP клиента).
  5. Нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку Закрыть.
  8. Нажмите кнопку ОК.
  9. Разверните узел Политика домена по умолчанию, разверните узлы Конфигурация компьютера, конфигурация Windows, параметры Безопасности, Локальныеполитики и выберите Параметры безопасности.
  10. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, выберите требуется цифровая подпись в раскрывающемся списке и нажмите кнопку ОК.
  11. В Подтверждение изменения параметра диалоговом окне нажмите кнопку Да.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
823659 Клиент, служба и несовместимости программы, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей

Как использовать разделы реестра

Требуется помощь изменение разделов реестра, перейдите к»Получить помощь"раздел. Если нужно изменить параметры реестра самостоятельно, перейдите к»Решить самостоятельно"раздел.

Получить помощь

Чтобы устранить проблему автоматически, нажмите кнопку устранить проблему или ссылки, нажмите кнопку запустить в диалоговом окне Загрузка файла и следуйте инструкциям мастера.
Устранить проблему
Microsoft Fix it 50518
Примечания
  • Этот мастер может быть доступен только на английском языке. Однако автоматическое исправление также работает для других языковых версий Windows.
  • Если не используете компьютер, выявлена проблема, сохранить исправления его решение флэш-накопитель или компакт-диска, и затем запустить его на нужном компьютере.
Перейдите к "Проблема устранена?"раздел.

Решить самостоятельно

Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Щелкните правой кнопкой мыши параметр LDAPServerIntegrity и выберите команду Изменить.
  4. Изменить значение2, а затем нажмите кнопку ОК.
  5. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Щелкните правой кнопкой мыши параметр ldapclientintegrity и выберите команду Изменить.
  7. Изменить значение2, а затем нажмите кнопку ОК.
По умолчанию для служб Active Directory облегченного доступа к каталогам (AD LDS) ключ реестра не доступен. Таким образом, yнеобходимо создать подразделение в Реестр LDAPServerIntegrity запись типа REG_DWORD в разделе в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Примечание Заполнитель <InstanceName>представляет имя AD LDS экземпляр,<b00> </b00> </InstanceName>Чтобы изменить.

Как проверить изменения конфигурации

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Ldp.exe, а затем нажмите кнопку ОК.
  2. В меню подключение выберите подключение.
  3. В поле « сервер » и в поле Port введите имя сервера и порт сервера каталогов без SSL/TLS и нажмите кнопку ОК.

    Примечание
    для контроллер домена Active Directory, соответствующий порт имеет номер 389.
  4. После установки подключения, выберите привязку в меню подключение .
  5. В группе тип привязкивыберите простую привязку.
  6. Введите имя пользователя и пароль, а затем нажмите кнопку ОК.
Если появляется следующее сообщение об ошибке, настроен сервер каталогов:
Ldap_simple_bind_s() Ошибка: требуется строгая проверка подлинности

Проблема устранена?

  • Проверьте, устранена ли проблема. Если проблема устранена, этот раздел можно пропустить. Если проблема не устранена, обратитесь в обратитесь в службу поддержки.
  • Мы ценим ваши отзывы. Чтобы оставить отзыв или сообщить о проблемах, связанных с этим решением, оставьте комментарий в "Получить помощь«Блог или отправьте сообщение сообщение электронной почты.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

МАЙКРОСОФТ ИЛИ ЕЕ СООТВЕТСТВУЮЩИХ ПОСТАВЩИКОВ НЕ ДЕЛАЮТ НИКАКИХ УТВЕРЖДЕНИЙ О ПРИГОДНОСТИ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ДОКУМЕНТАХ И СВЯЗАННЫЕ РИСУНКИ ОПУБЛИКОВАННЫЕ НА ЭТОМ ВЕБ-САЙТЕ ДЛЯ ЛЮБЫХ ЦЕЛЕЙ. ДОКУМЕНТЫ И СООТВЕТСТВУЮЩИЕ ГРАФИКИ, ОПУБЛИКОВАННЫЕ НА ЭТОМ ВЕБ-САЙТЕ МОГУТ ВКЛЮЧАТЬ ТЕХНИЧЕСКИЕ НЕТОЧНОСТИ ИЛИ ОПЕЧАТОК. ИЗМЕНЕНИЯ ПЕРИОДИЧЕСКИ ДОБАВЛЯЮТСЯ СОДЕРЖАЩИЕСЯ В НЕЙ СВЕДЕНИЯ. МАЙКРОСОФТ ИЛИ ЕЕ СООТВЕТСТВУЮЩИХ ПОСТАВЩИКОВ МОЖЕТ ВНОСИТЬ УЛУЧШЕНИЯ И ИЗМЕНЕНИЯ В ПРОДУКТ (S) И/ИЛИ ПРОГРАММЫ (S) ОПИСАННЫЕ ЗДЕСЬ В ЛЮБОЕ ВРЕМЯ.

Дополнительные сведения об условиях использования посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/tou/

Свойства

Код статьи: 935834 - Последний отзыв: 2 апреля 2014 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 935834

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com