Az LDAP-aláírás engedélyezése Windows Server 2008 rendszerben

GYORS KÖZZÉTÉTEL


A GYORS KÖZZÉTÉTELŰ CIKKEK AZ ÚJONNAN FELBUKKANÓ VAGY EGYEDI TÉMÁKRÓL ADNAK TÁJÉKOZTATÁST, ÉS ÚJABB INFORMÁCIÓK ELÉRHETŐSÉGE ESETÉN FRISSÜLHETNEK.

BEVEZETÉS

A címtárkiszolgálók biztonsága jelentős mértékben javítható, ha úgy állítja be a kiszolgálót, hogy elutasítsa azokat az SASL-alapú LDAP-kötéseket, amelyek nem követelik meg az aláírást (integritás-ellenőrzést), és azokat az egyszerű LDAP-kötéseket, amelyeket a rendszer egyszerű szöveges (nem SSL/TLS-titkosítású) kapcsolatokon végez. Az SASL (egyszerű hitelesítési és biztonsági réteg) olyan protokollokat tartalmazhat, mint az egyeztetéses, a Kerberos, az NTLM vagy a kivonatoló protokoll.

Az aláíratlan hálózati forgalom ki van téve az ismétlési támadásoknak, amelyek során egy támadó elfoghatja a hitelesítésre tett kísérleteket és a jegyek kibocsátását. A támadó ezután a jegyek újrafelhasználásával megszemélyesítheti a jogosult felhasználókat. Az aláíratlan hálózati forgalom betolakodó harmadik általi támadásoknak is ki van téve, amelyekben a támadó csomagokat fog el az ügyfél és a kiszolgáló között, és módosítja, majd továbbítja a csomagokat a kiszolgálónak. Ha egy LDAP-kiszolgálón ilyen támadás történik, a támadó olyan döntésekre kényszerítheti a kiszolgálót, amelyek az LDAP-ügyféltől érkező, de hamisított kéréseken alapulnak.

Ez a cikk azzal foglalkozik, hogy miként állítható be a címtárkiszolgáló úgy, hogy védve legyen ezektől a támadásoktól.

További információ

Az Aláírás szükséges beállítást nem használó ügyfelek felderítése


Azok az ügyfelek, amelyek aláíratlan SASL-alapú (egyeztetéses, Kerberos, NTLM vagy kivonatoló protokollon alapuló) LDAP-kötéseket vagy egyszerű, nem SSL/TLS-titkosítású kapcsolaton keresztüli LDAP-kötéseket használnak, leállnak, miután módosítja ezt a beállítást. Ezen ügyfelek azonosítását megkönnyíti, hogy a címtárkiszolgáló 24 óránként naplóz egy 2887-es számú összefoglaló eseményt, amelyben feltünteti, hogy hány ilyen kötés történt. Azt javasoljuk, hogy az eseményben szereplő ügyfeleket állítsa be úgy, hogy ne használjanak ilyen típusú kötéseket. Miután hosszabb ideje nem tapasztal ilyen eseményeket, állítsa be a kiszolgálót az említett típusú kötések elutasítására.

Ha a kérdéses ügyfelek azonosításához további információra van szüksége, beállíthatja, hogy a címtárkiszolgáló részletesebb naplókat készítsen. Ebben az esetben a rendszer egy 2889-es számú eseményt naplóz, amikor egy ügyfél aláíratlan LDAP-kötéssel próbálkozik. A napló tartalmazza az ügyfél IP-címét, valamint azt az identitást, amellyel a hitelesítésre kísérletet tett. A részletes naplózás engedélyezéséhez állítsa be az LDAP Interface Events (LDAP-felület eseményei) diagnosztikai beállítást 2-es (alap) szintre. A diagnosztikai beállítások módosításáról további információt a Microsoft következő webhelyén találhat:
http://technet.microsoft.com/hu-hu/library/cc961809.aspx

Ha a címtárkiszolgáló úgy van beállítva, hogy elutasítsa az aláíratlan SASL-alapú LDAP-kötéseket vagy a nem SSL/TLS-titkosítású kapcsolatokon keresztüli egyszerű LDAP-kötéseket, a kiszolgáló 24 óránként egyszer egy 2888-as számú összefoglaló eseményt naplóz, amikor ilyen kötésekre kísérletet tesz egy ügyfél.

A címtár beállítása az LDAP-kiszolgáló aláírási funkcióinak megköveteléséhez

Csoportházirend használata

Az LDAP-kiszolgáló aláírási követelményeinek megadása
 1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
 2. Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára.
 3. A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendkezelés-szerkesztő elemet, és kattintson a Hozzáadás gombra.
 4. A Csoportházirend-objektum kiválasztása párbeszédpanelen kattintson a Tallózás gombra.
 5. A Tallózás csoportházirend-objektumok között párbeszédpanelen válassza az Alapértelmezett tartományházirend lehetőséget a Tartományok, szervezeti egységek és kapcsolt csoportházirend-objektumok csoportban, és kattintson az OK gombra.
 6. Kattintson a Befejezés gombra.
 7. Kattintson az OK gombra.
 8. Bontsa ki rendre a Házirend: Alapértelmezett tartományvezérlő, a Számítógép konfigurációja, a Házirendek, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
 9. Kattintson a jobb gombbal a Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei elemre, és válassza a Tulajdonságok parancsot.
 10. A Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei tulajdonságai párbeszédpanelen engedélyezze A következő házirend-beállítás megadása beállítást, válassza az Aláírás szükséges elemet A következő házirend-beállítás megadása legördülő listában, és kattintson az OK gombra.
 11. A Beállításmódosítás megerősítése párbeszédpanelen kattintson az Igen gombra.
Az LDAP-ügyfél aláírási követelményének beállítása helyi számítógép-házirenden keresztül
 1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
 2. Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára.
 3. A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendobjektum-szerkesztő elemet, és kattintson aHozzáadás gombra.
 4. Kattintson a Befejezés gombra.
 5. Kattintson az OK gombra.
 6. Bontsa ki rendre a Házirend: Helyi számítógép, a Számítógép konfigurációja, a Házirendek, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
 7. Kattintson a jobb gombbal a Hálózati biztonság: LDAP-ügyfél aláírási követelményei elemre, és válassza a Tulajdonságok parancsot.
 8. A Hálózati biztonság: LDAP-ügyfél aláírási követelményei tulajdonságai párbeszédpanelen kattintással jelölje ki az Aláírás szükséges elemet a legördülő listából, és kattintson az OK gombra.
 9. A Beállításmódosítás megerősítése párbeszédpanelen kattintson az Igen gombra.
Az LDAP-ügyfél aláírási követelményének beállítása tartományi csoportházirenden keresztül
 1. Kattintson a Start menü Futtatás parancsára, írja be az mmc.exe parancsot, majd kattintson az OK gombra.
 2. Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára.
 3. A Beépülő modul hozzáadása/eltávolítása párbeszédpanelen jelölje ki a Csoportházirendobjektum-szerkesztő elemet, és kattintson a Hozzáadás gombra.
 4. Kattintson a Tallózás gombra, és válassza az Alapértelmezett tartományházirend lehetőséget (vagy azt a csoportházirendet, amelyben az LDAP-ügyfél aláírási követelményét be szeretné állítani).
 5. Kattintson az OK gombra.
 6. Kattintson a Befejezés gombra.
 7. Kattintson a Bezárás gombra.
 8. Kattintson az OK gombra.
 9. Bontsa ki rendre a Házirend: Alapértelmezett tartomány, a Számítógép konfigurációja, A Windows beállításai, a Biztonsági beállítások és a Helyi házirendek csomópontot, majd kattintson a Biztonsági beállítások elemre.
 10. A Hálózati biztonság: LDAP-ügyfél aláírási követelményei tulajdonságai párbeszédpanelen kattintással jelölje ki az Aláírás szükséges elemet a legördülő listából, és kattintson az OK gombra.
 11. A Beállításmódosítás megerősítése párbeszédpanelen kattintson az Igen gombra.


A Microsoft Tudásbázis kapcsolódó cikke:

823659 Ügyfélrendszereken, szolgáltatásokban és programokban felmerülő inkompatibilitási problémák, melyek a biztonsági beállítások és a felhasználóknak kiosztott jogosultságok módosításakor jelentkezhetnek

Beállításkulcsok használata

Ha azt szeretné, hogy rendszerünk automatikusan módosítsa a beállításkulcsokat, lépjen az Automatikus javítás szakaszra. A beállításkulcsok saját kezű módosításához a Kézi javítás szakasszal folytassa a cikk olvasását.

Automatikus javításA probléma automatikus javításához kattintson A probléma javítása hivatkozásra vagy a fölötte látható gombra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
Megjegyzések
 • Előfordulhat, hogy a varázsló csak angol nyelven érhető el, az automatikus javítás ugyanakkor a Windows többi nyelvi változatában is működik.
 • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD-re, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

A cikket folytassa a Megoldódott a probléma? szakasszal.Kézi javítás

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben
 1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, és kattintson az OK gombra.
 2. Keresse meg és jelölje ki az alábbi beállításkulcsot:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
 3. Kattintson a jobb gombbal az LDAPServerIntegrity beállítás-jegyzékbeli bejegyzésre, és válassza a Módosítás parancsot.
 4. Az Azonosító értéke mezőben adja meg a 2 értéket, és kattintson az OK gombra.
 5. Keresse meg és jelölje ki az alábbi beállításkulcsot:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
 6. Kattintson a jobb gombbal az ldapclientintegrity beállítás-jegyzékbeli bejegyzésre, és válassza a Módosítás parancsot.
 7. Az Azonosító értéke mezőben adja meg a 2 értéket, és kattintson az OK gombra.

Az Active Directory Lightweight Directory-szolgáltatások esetében a beállításkulcs alapértelmezésként nem érhető el. Ezért létre kell hoznia egy REG_DWORD típusú LDAPServerIntegrity beállítás-jegyzékbeli bejegyzést az alábbi alkulcs alatt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\ParametersMegjegyzés: Az InstanceName az Active Directory Lightweight Directory-szolgáltatások azon példányának a neve, amelyet módosítani szeretne.

A beállítások módosításának ellenőrzése
 1. Kattintson a Start menü Futtatás parancsára, írja be az ldp.exe parancsot, majd kattintson az OK gombra.
 2. A Kapcsolat menüben kattintson a Csatlakozás parancsra.
 3. A Kiszolgáló, illetve a Port mezőbe írja be a címtárkiszolgáló kiszolgálónevét és a nem SSL/TLS-port számát, majd kattintson az OK gombra.
  Megjegyzés: Active Directory-tartományvezérlő esetében a használandó port száma 389.
 4. A kapcsolat létrejötte után kattintson a Kapcsolat menü Kötés parancsára.
 5. A Kötés típusa csoportban jelölje be az Egyszerű választógombot.
 6. Írja be a felhasználónevét és jelszavát, majd kattintson az OK gombra.

Ha a következő hibaüzenet jelenik meg, a címtárkiszolgáló beállítása sikerült:
Az Ldap_simple_bind_s() művelet meghiúsult: Erős hitelesítés szükséges

Megoldódott a probléma?

JOGI NYILATKOZAT


A MICROSOFT ÉS/VAGY ÉRINTETT BESZÁLLÍTÓI NEM TESZNEK SEMMIFÉLE KIJELENTÉST A JELEN WEBHELYEN KÖZZÉTETT DOKUMENTUMOK VAGY A HOZZÁJUK KAPCSOLÓDÓ GRAFIKUS ELEMEK TARTALMÁT KÉPEZŐ INFORMÁCIÓK BÁRMINEMŰ CÉLRA VALÓ ALKALMASSÁGÁRÓL. A JELEN WEBHELYEN KÖZZÉTETT DOKUMENTUMOK VAGY A HOZZÁJUK KAPCSOLÓDÓ GRAFIKUS ELEMEK TECHNIKAI PONTATLANSÁGOKAT VAGY HELYESÍRÁSI HIBÁKAT TARTALMAZHATNAK. AZ ITT KÖZÖLT INFORMÁCIÓK IDŐRŐL IDŐRE VÁLTOZÁSON ESNEK ÁT. A MICROSOFT ÉS/VAGY ÉRINTETT BESZÁLLÍTÓI AZ E HELYT ISMERTETETT TERMÉK(EK)BEN ÉS/VAGY PROGRAM(OK)BAN BÁRMIKOR JAVÍTÁSOKAT VAGY MÓDOSÍTÁSOKAT VÉGEZHETNEK.


A használati feltételekről további információt az alábbi hivatkozásra kattintva olvashat:

http://support.microsoft.com/tou/
Tulajdonságok

Cikkazonosító: 935834 - Utolsó ellenőrzés: 2011. máj. 17. - Verziószám: 1

Visszajelzés