Увімкнення цифрового підпису для протоколу LDAP в ОС Windows Server 2008

Номер статті: 935834 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ШВИДКА ПУБЛІКАЦІЯ


СТАТТІ КАТЕГОРІЇ "ШВИДКА ПУБЛІКАЦІЯ" МІСТЯТЬ ІНФОРМАЦІЮ, ЯКА СТОСУЄТЬСЯ НОВИХ АБО УНІКАЛЬНИХ ТЕМ, І МОЖУТЬ ОНОВЛЮВАТИСЯ, КОЛИ ВІДПОВІДНІ ВІДОМОСТІ БУДУТЬ ДОСТУПНІ.
На початок | Надіслати відгук

ВСТУП

Рівень безпеки сервера каталогів можна значно підвищити, настроївши його на відхилення прив’язок протоколу LDAP SASL (Simple Authentication and Security Layer), які не надсилають запит на цифровий підпис (перевірка цілісності), і простих прив’язок LDAP, що використовуються у відкритих з’єднаннях (протоколи, відмінні від протоколів шифрування SSL/TLS). SASL може включати такі протоколи, як Negotiate, Kerberos, NTLM або Digest.

Непідписаний мережний трафік уразливіший до повторних атак,під час яких зловмисник перехоплює відомості, що використовуються в ході автентифікації та видавання відповідного квитка. Зловмисник може повторно скористатися квитком, щоб видати себе за законного користувача. Окрім того, непідписаний мережний трафік уразливий до атак типу man-in-the-middle ("людина посередині") , під час яких зловмисник перехоплює пакети, які надсилаються клієнтом на сервер, змінює їх і знову пересилає на сервер. Якщо це відбувається на сервері LDAP, зловмисник може змусити сервер приймати рішення на основі підроблених запитів від клієнта LDAP.

У цій статті описано, як настроїти сервер каталогів для захисту від подібних атак.
На початок | Надіслати відгук

ДОДАТКОВІ ВІДОМОСТІ

Виявлення клієнтів, які не використовуютьпотрібні параметри підписування


Клієнти, які використовують непідписані прив’язки SASL (Negotiate, Kerberos, NTLM або Digest) LDAP або прості прив’язки LDAP через підключення SSL/TLS, припиняють працювати після внесення змін до цієї конфігурації . Щоб виявити ці клієнти, сервер каталогів записує до журналу зведені відомості про подію 2887 раз на кожні 24 години для відображення кількості таких прив’язок. Рекомендується настроїти клієнти таким чином, щоб вони не використовували ці прив’язки. Якщо протягом тривалого періоду не буде зареєстровано таких подій, рекомендується настроїти сервер на відхилення відповідних прив’язок.

Якщо для визначення таких клієнтів потрібні додаткові відомості, сервер каталогів можна настроїти на створення докладніших журналів. Ведення додаткового журналу дасть змогу реєструвати подію 2889, коли клієнт намагається використати непідписану прив’язку LDAP. У журналі відображаєтьсяIP-адреса клієнта й посвідчення, яке він намагався використати для автентифікації. Це додаткове ведення журналу можна ввімкнути, установивши для параметра діагностики Події інтерфейсу LDAP значення 2 (базовий рівень). Щоб отримати додаткові відомості про те, як змінити параметри діагностики, перейдіть на веб-сайт корпорації Майкрософт за цією адресою:
http://technet.microsoft.com/uk-ua/library/cc961809(en-us).aspx
(http://technet.microsoft.com/uk-ua/library/cc961809(en-us).aspx)


Якщо сервер каталогів настроєно на відхилення непідписаних прив’язок SASL LDAP або простих прив’язок LDAP через підключення SSL/TLS, сервер каталогів записуватиме до журналу зведені відомості про подію 2888 раз на кожні 24 години, коли використовуватимуться такі прив’язки.

Настройка каталогу на запит цифрового підпису сервера LDAP

Використання групової політики

Настройка на запит цифрового підпису сервера LDAP
  1. Клацніть Пуск, виберіть команду Виконати, введіть mmc.exe й натисніть кнопку OK.
  2. У меню Файл клацніть Додати/видалити оснастку.
  3. У діалоговому вікні Інсталяція й видалення оснасток клацніть Редактор керування груповими політиками, а потім – Додати.
  4. У діалоговому вікні Вибір об’єкта групової політики клацніть Огляд.
  5. У діалоговому вікні Пошук об’єкта групової політики клацніть Політика домену за промовчанням в області Домени, організаційні підрозділи та пов’язані об’єкти групової політики, а потім натисніть OK.
  6. Натисніть кнопку Готово.
  7. Клацніть OK.
  8. Розгорніть розділи Політика домену за промовчанням, Конфігурація комп’ютера, Політики, Конфігурація Windows, Параметри безпеки, Локальні політики, а потім клацніть Параметри безпеки.
  9. Клацніть правою кнопкою миші Контролер домену: запит цифрового підпису сервера LDAP, а потім виберіть Властивості.
  10. У діалоговому вікні Контролер домену: властивості запиту цифрового підпису сервера LDAP увімкніть параметр Визначити параметр політики, виберіть Запит цифрового підпису в розкривному списку Визначити параметр політики, а потім клацніть OK.
  11. Клацніть Так у діалоговому вікні Підтвердження зміни параметрів.
Настройка запиту цифрового підпису клієнта LDAP за допомогою політики локального комп’ютера
  1. Клацніть Пуск, виберіть команду Виконати, введіть mmc.exe й натисніть кнопку OK.
  2. У меню Файл клацніть Додати/видалити оснастку.
  3. У діалоговому вікні Інсталяція й видалення оснасток клацніть Редактор об’єктів групової політики, а потім – Додати.
  4. Натисніть кнопку Готово.
  5. Клацніть OK.
  6. Розгорніть розділи Політика локального комп’ютера, Конфігурація комп’ютера, Політики, Конфігурація Windows, Параметри безпеки, Локальні політики, а потім клацніть Параметри безпеки.
  7. Клацніть правою кнопкою миші Безпека мережі: запит цифрового підпису клієнта LDAP, а потім виберіть Властивості.
  8. У діалоговому вікні Безпека мережі: властивості запиту цифрового підпису клієнта LDAPвиберіть Запит цифрового підпису в розкривному списку, а потім клацніть OK.
  9. Клацніть Так у діалоговому вікні Підтвердження зміни параметрів.
Настройка запиту цифрового підпису клієнта LDAP за допомогою групової політики домену
  1. Клацніть Пуск, виберіть команду Виконати, введіть mmc.exe й натисніть кнопку OK.
  2. У меню Файл клацніть Додати/видалити оснастку.
  3. У діалоговому вікні Інсталяція й видалення оснасток клацніть Редактор об’єктів групової політики, а потім – Додати.
  4. Клацніть Огляд..., виберіть Політика домену за промовчанням (або групову політику, яку потрібно ввімкнути для запиту цифрового підпису клієнта LDAP)
  5. Клацніть OK.
  6. Натисніть кнопку Готово.
  7. Натисніть кнопку Закрити.
  8. Клацніть OK.
  9. Розгорніть розділи Політика домену за промовчанням, Конфігурація комп’ютера, Конфігурація Windows, Параметри безпеки, Локальні політики, а потім клацніть Параметри безпеки.
  10. У діалоговому вікні Безпека мережі: властивості запиту цифрового підпису клієнта LDAP виберіть Запит цифрового підпису в розкривному списку, а потім клацніть OK.
  11. Клацніть Так у діалоговому вікні Підтвердження зміни параметрів.


Для отримання додаткових відомостей клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:
823659
(http://support.microsoft.com/kb/823659/uk-ua/ )
Несумісності з клієнтами, службами й програмами, які можуть виникнути після змінення параметрів безпеки та призначення прав користувачів

Використання розділів реєстру

Щоб автоматично змінити розділи реєстру, перейдіть до розділу Виправити автоматично. Щоб змінити розділи реєстру самостійно, перейдіть до розділу Виправити вручну.

Виправити автоматично



Щоб вирішити цю проблему автоматично, натисніть кнопку Fix it або посилання під нею. Клацніть Виконати в діалоговому вікні Завантаження файлу й дотримуйтесь інструкцій майстра Fix it.


Вирішити проблему
Microsoft Fix it 50518


Примітки
  • Цей майстер може бути доступний лише англійською мовою. Проте автоматичне виправлення працює також для інших мовних версій Windows.
  • Якщо ви працюєте не за тим комп’ютером, на якому виявлено неполадку, рішення Fix it можна зберегти на флеш-пам’ять або компакт-диск, а потім запустити на потрібному комп’ютері.

Після цього перейдіть до розділу Чи вирішено проблему?



Виправити вручну

Увага! Цей розділ, спосіб або завдання містить відомості про внесення змін до реєстру. Неправильне внесення змін до реєстру може спричинити виникнення серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, його можна буде відновити до попереднього стану. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:
322756
(http://support.microsoft.com/kb/322756/uk-ua/ )
Створення резервної копії та відновлення реєстру в ОС Windows
  1. Клацніть Пуск, виберіть команду Виконати, введіть regedit і натисніть OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Клацніть правою кнопкою миші запис реєстру LDAPServerIntegrity й виберіть пункт Змінити.
  4. Змініть дані поля Значення на 2 й натисніть кнопку OK.
  5. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Клацніть правою кнопкою миші запис реєстру ldapclientintegrity й виберіть пункт Змінити.
  7. Змініть дані поля Значення на 2 й натисніть кнопку OK.

Для служби полегшеного доступу до каталогів Active Directory (AD LDS) розділ реєстру за промовчанням відсутній. Тому необхідно створити запис LDAPServerIntegrity типу REG_DWORD у наведеному нижче підрозділі реєстру.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
Примітка.InstanceName – це назва екземпляра AD LDS, який необхідно змінити.
Перевірка змін конфігурації
  1. Клацніть Пуск, виберіть команду Виконати, введіть ldp.exe й натисніть кнопку OK.
  2. У меню Підключення виберіть команду Підключити.
  3. Введіть ім’я та порт сервера каталогів, відмінний від SSL/TLS, у поля Сервер і Порт, а потім натисніть OK.
    Примітка. Для контролера домену Active Directory це порт 389.
  4. Після встановлення підключення виберіть Прив’язати в меню Підключення.
  5. У розділі Тип прив’язки виберіть Проста прив’язка.
  6. Введіть ім’я користувача та пароль, а потім клацніть OK.

Конфігурацію сервера каталогів змінено належним чином, якщо з’являється таке повідомлення про помилку:
Не вдалося створити прив’язку Ldap_simple_bind_s(): потрібна сильна автентифікація

Чи вирішено проблему?

На початок | Надіслати відгук

ВІДМОВА


КОРПОРАЦІЯ МАЙКРОСОФТ І/АБО ЇЇ ВІДПОВІДНІ ПОСТАЧАЛЬНИКИ НЕ ГАРАНТУЮТЬ МОЖЛИВІСТЬ ВИКОРИСТАННЯ ІНФОРМАЦІЇ, ЯКА МІСТИТЬСЯ В ДОКУМЕНТАЦІЇ, І ПОВ’ЯЗАНИХ ІЗ НЕЮ ЗОБРАЖЕНЬ, ОПУБЛІКОВАНИХ НА ВЕБ-САЙТІ, З БУДЬ-ЯКОЮ МЕТОЮ. ДОКУМЕНТАЦІЯ ТА ПОВ’ЯЗАНІ З НЕЮ ЗОБРАЖЕННЯ, ОПУБЛІКОВАНІ НА ЦЬОМУ ВЕБ-САЙТІ, МОЖУТЬ МІСТИТИ ТЕХНІЧНІ НЕТОЧНОСТІ АБО ДРУКАРСЬКІ ПОМИЛКИ. ДО ЦЬОГО ДОКУМЕНТА ПЕРІОДИЧНО ВНОСЯТЬСЯ ЗМІНИ Й ДОДАЄТЬСЯ ІНФОРМАЦІЯ. КОРПОРАЦІЯ МАЙКРОСОФТ І/АБО ЇЇ ВІДПОВІДНІ ПОСТАЧАЛЬНИКИ МОЖУТЬ БУДЬ-КОЛИ ВНОСИТИ ПОКРАЩЕННЯ ТА/АБО ЗМІНИ ДО ПРОДУКТІВ І ПРОГРАМ, ОПИСАНИХ У ЦЬОМУ ДОКУМЕНТІ.

Щоб отримати додаткові відомості про умови використання, клацніть таке посилання:
http://support.microsoft.com/tou/uk
(http://support.microsoft.com/tou/uk)
На початок | Надіслати відгук
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use
(http://go.microsoft.com/fwlink/?LinkId=151500)
for other considerations.
На початок | Надіслати відгук

Властивості

Номер статті: 935834 - Востаннє переглянуто: 12 травня 2011 р. - Редакція: 2.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключові слова: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок