Procédure pour activer LDAP de signature dans Windows Server 2008

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 935834

PUBLICATION RAPIDE

PUBLICATION RAPIDE ARTICLES FOURNISSENT DES INFORMATIONS EN RÉPONSE AUX NOUVELLES OU RUBRIQUES UNIQUE ET PEUT ÊTRE MIS À JOUR LORSQUE DE NOUVELLES INFORMATIONS DEVIENNENT DISPONIBLES.
INTRODUCTION
La sécurité des a serveur d'annuaire peut être considérablement améliorée en configurant le serveur pour refuser l'authentification Simple et couche de sécurité (SASL) Les liaisons LDAP qui ne demandent pas de signature (vérification de l'intégrité) ou rejeter LDAP non-simples qui sont effectuées sur une connexion de texte clair (non-SSL/TLS-crypté). (non chiffrée via SSL/TLS). Même si aucun client n’utilise de telles liaisons, le fait de configurer le serveur pour les rejeter permet d’améliorer la sécurité de ce dernier. SASLs peut inclure des protocoles comme Negotiate, Kerberos, NTLM et les protocoles Digest.

Le trafic réseau non signé est vulnérable aux attaques répétées dans lequel un intrus intercepte la tentative d'authentification et la parefeuxrequis d'un ticket. L'intrus peut réutiliser le ticket pour emprunter l'identité de l'utilisateur légitime. Additionallié, le trafic réseau non signé est sensible aux attaques de man-in-the-middle dans lequel un intrus intercepte des paquets entre le client et le serveur, modifie les paquets, puis les transfère au serveur. Si ce se produit sur un serveur LDAP, un attaquant pouvez obliger le serveur à prendre des décisions basées sur fausses requêtes provenant du client LDAP.

Cet article décrit comment configurer votre serveur d'annuaire pour le protéger contre de telles attaques.
Plus d'informations

Comment faire pour détecter les clients qui n'utilisent pas le"Require de signature" option

Les clients qui s'appuient sur SASL non signé (Negotiate, Kerberos, NTLM ou Digest) LDAP lie ou LDAP simple lie via une connexion non-SSL/TLS cesser de fonctionner Après avoir effectué Ce changement de configuration. À l'aide de identifier ces clients, le serveur d'annuaire journals un événement résumé 2887 une fois toutes les 24 heures pour indiquer le nombre de ces liaisons s'est produite. Il est recommandé que vous configurer theclients se ne doit ne pas utiliser ces liaisons. Après Aucun événement de ce type n'est observés pendant une longue période, nous vous recommandons de configurer le serveur pour refuser ces liaisons.

Si vous devez avoir plus d'informations pour identifier des clients, vous pouvez configurer le serveur d'annuaire pour fournir le journal plus détaillés. Cette journalisation supplémentaire consigne un événement 2889 Lorsqu'un client tente d'effectuer une liaison LDAP non signée. La journalisation affichers le Adresse IP du client et de l'identité que le client a tenté permet de s'authentifier. Vous pouvez activer cette journalisation supplémentaires en définissant le paramètre de diagnostic d'Événements de l'Interface LDAP à 2 (Basic). Pour plus d'informations sur la façon de modifier les paramètres de diagnostics, consultez le site Web Microsoft suivant :Si le serveur d'annuaire est configuré pour rejeter les non signées SASL LDAP lie ou liaisons simples LDAP via une connexion non-SSL/TLS, le serveur d'annuaire enregistrera un événement résumé 2888 une fois toutes les 24 heures lorsque ces tentatives de liaison se produisent.

Comment faire pour configurer le répertoire pour exiger la signature de serveur LDAP

À l'aide de la stratégie de groupe

Comment faire pour définir le serveur obligation de signature LDAP
  1. Cliquez sur Démarrer, sur exécuter, type MMC.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants , cliquez sur Éditeur de gestion de stratégie de groupe, puis cliquez sur Ajouter.
  4. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe , cliquez sur Parcourir.
  5. Dans la boîte de dialogue Rechercher un objet stratégie de groupe , cliquez sur Stratégie de domaine par défaut dans la zone des domaines, des unités d'organisation et des objets de stratégie de groupe lié , puis cliquez sur OK.
  6. Cliquez sur Terminer.
  7. Cliquez sur OK.
  8. Développez Stratégie de contrôleur de domaine par défaut, développez Configuration ordinateur, développez stratégies, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales et puis cliquez sur Options de sécurité.
  9. Droit contrôleur de domaine : signature de serveur LDAP, puis cliquez sur Propriétés.
  10. Dans la contrôleur de domaine : conditions propriétés de signature de serveur LDAP boîte de dialogue zone, permettent de définir ce paramètre de stratégie, Cliquez sur nécessite la signature dans la liste déroulante définir ce paramètre de stratégie , puis cliquez sur OK.
  11. Dans la boîte de dialogue Confirmer la modification de paramètre , cliquez sur Oui.
Comment définir le client obligation de signature LDAP via la stratégie d'ordinateur local
  1. Cliquez sur Démarrer, sur exécuter, type MMC.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants , cliquez sur Éditeur d'objets de stratégie de groupe, puis Cliquez sur Ajouter.
  4. Cliquez sur Terminer.
  5. Cliquez sur OK.
  6. Développez Stratégie ordinateur Local, développez Configuration ordinateur, développez stratégies, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
  7. Droit sécurité réseau : conditions de signature de client LDAP, puis cliquez sur Propriétés.
  8. Dans la sécurité réseau : conditions propriétés de signature de client LDAP boîte de dialogue, Cliquez sur nécessite la signature dans la liste déroulante, puis cliquez sur OK.
  9. Dans la boîte de dialogue Confirmer la modification de paramètre , cliquez sur Oui.
Comment définir le client d'obligation de signature LDAP via un objet de stratégie de groupe du domaine
  1. Cliquez sur Démarrer, sur exécuter, tapez mmc.exe, puis cliquez sur OK.
  2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants enfichables, cliquez sur Éditeur d'objets de stratégie de groupe, puis cliquez sur Ajouter.
  4. Cliquez sur Parcourir, puis sélectionnez stratégie de domaine par défaut (ou l'objet de stratégie de groupe pour lequel vous souhaitez activer la signature de client LDAP).
  5. Cliquez sur OK.
  6. Cliquez sur Terminer.
  7. Cliquez sur Fermer.
  8. Cliquez sur OK.
  9. Développez la Stratégie de domaine par défaut, développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Options de sécurité.
  10. Dans la sécurité réseau : conditions propriétés de signature de client LDAP boîte de dialogue, sélectionnez Exiger la signature dans la liste déroulante liste, puis cliquez sur OK.
  11. Dans la Confirmer la modification du paramètre boîte de dialogue, cliquez sur Oui.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
823659 Les clients, services et incompatibilité de programme qui peut se produire lorsque vous modifiez les paramètres de sécurité et d'attribution des droits utilisateur

Comment faire pour utiliser des clés de Registre

Afin que nous puissions modifier les clés de Registre pour vous, passez à le »Aidez-moi. Si vous préférez modifier les clés de Registre vous-même, passez à le »Je résous le problème moi-même.

Aidez-moi

Pour résoudre ce problème automatiquement, cliquez sur le bouton Fix it ou le lien et cliquez sur exécuter dans la boîte de dialogue Téléchargement de fichier , puis suivez les étapes décrites dans le correctif il Assistant.
Remarques
  • Il se peut que l'assistant logiciel soit disponible uniquement en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n'utilisez pas l'ordinateur concerné par le problème, enregistrez le correctif il solution sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur qui rencontre le problème.
Ensuite, passez à le »Le problème est-il résolu ?.

Je résous le problème moi-même

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d'informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows
  1. Cliquez sur Démarrer, cliquez sur exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Avec le bouton droit à l'entrée de Registre LDAPServerIntegrity , puis cliquez sur Modifier.
  4. Modifier les données de la valeur2, puis cliquez sur OK.
  5. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Avec le bouton droit à l'entrée de Registre ldapclientintegrity , puis cliquez sur Modifier.
  7. Modifier les données de la valeur2, puis cliquez sur OK.
Par défaut, pour Active Directory Lightweight Directory Services (AD LDS), la clé de Registre n'est pas disponible. Par conséquent, yunité d'organisation doit créer. a Registre de la variable LDAPServerIntegrity entrée du type REG_DWORD sous la sous-clé de Registre suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Remarque L'espace réservé <InstanceName>représente le nom de l'AD LDS instance du<b00> </b00> </InstanceName>vous souhaitez modifier.

Comment vérifier les modifications de configuration

  1. Cliquez sur Démarrer, sur exécuter, type LDP.exe, puis cliquez sur OK.
  2. Dans le menu connexion , cliquez sur se connecter.
  3. Dans le champ serveur et dans le champ Port , tapez le nom du serveur et le port SSL/TLS de votre serveur d'annuaire, puis cliquez sur OK.

    Remarque
    pour un domaine contrôleur de Active Directory, le port est 389.
  4. Lorsqu'une connexion est établie, sélectionnez liaison dans le menu connexion .
  5. Sous type de liaison, sélectionnez liaison Simple.
  6. Tapez le nom d'utilisateur et le mot de passe, puis cliquez sur OK.
Si le message d'erreur suivant s'affiche, vous avez configuré correctement votre serveur d'annuaire :
Ldap_simple_bind_s() a échoué : authentification forte requise

Le problème est-il résolu ?

  • Vérifiez si le problème est résolu. Si le problème est résolu, vous avez terminé avec cette section. Si le problème n'est pas résolu, vous pouvez : Contactez le support technique.
  • Nous aimerions connaître votre opinion. Pour fournir des commentaires ou d'un problème concernant cette solution, écrivez-nous sur le "Aidez-moi« blog, ou nous envoyer un message électronique.

EXCLUSION DE RESPONSABILITÉ

MICROSOFT ET/OU SES FOURNISSEURS RESPECTIFS NE FONT AUCUNE DÉCLARATION CONCERNANT L'ADAPTABILITÉ DES INFORMATIONS CONTENUES DANS LES DOCUMENTS ET GRAPHIQUES ASSOCIÉS PUBLIÉS SUR CE SITE WEB À DES FINS. LES DOCUMENTS ET LES GRAPHIQUES ASSOCIÉS PUBLIÉS SUR CE SITE WEB PEUVENT INCLURE DES IMPRÉCISIONS TECHNIQUES OU DES ERREURS TYPOGRAPHIQUES. MODIFICATIONS SONT RÉGULIÈREMENT AJOUTÉES AUX PRÉSENTES INFORMATIONS. MICROSOFT ET/OU SES FOURNISSEURS RESPECTIFS PEUVENT APPORTER DES AMÉLIORATIONS ET/OU DES MODIFICATIONS DANS LE PRODUIT (S) ET/OU AUX PROGRAMME (S) DÉCRITS DANS LE PRÉSENT DOCUMENT À TOUT MOMENT.

Pour plus d'informations sur les conditions d'utilisation, consultez le site Web Microsoft suivant :
correctif correctif

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 935834 - Dernière mise à jour : 10/04/2015 08:32:00 - Révision : 6.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtfr
Commentaires