Come attivare Windows Server 2008 la firma LDAP

PUBBLICAZIONE RAPIDA

LA PUBBLICAZIONE RAPIDA ARTICOLI CONTENGONO INFORMAZIONI IN RISPOSTA A EMERGENTI O ARGOMENTI UNIVOCI E PUÒ ESSERE AGGIORNATO MAN MANO CHE DIVENTANO DISPONIBILI NUOVE INFORMAZIONI.

INTRODUZIONE

La protezione di un server di directory può essere nettamente migliorata configurando il server a rifiutare binding semplice autenticazione e il livello di protezione (SASL) LDAP che non richiedono la firma (verifica di integrità) o per rifiutare i binding LDAP semplici che vengono eseguiti su una testo non crittografato (SSL/TLS-connessione non crittografata). SASLs può includere protocolli quali Negotiate, NTLM, Kerberos e i protocolli di Digest.

Il traffico di rete non firmato digitalmente è soggetto ad attacchi replay in cui un intruso intercetta il tentativo di autenticazione e l'emissione del un ticket. L'intruso può riutilizzare il ticket per rappresentare l'utente legittimo. Inoltre, il traffico di rete senza segno è soggetto ad attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client e server, consente di modificare i pacchetti e quindi li inoltra al server. In questo caso su un server LDAP, un utente malintenzionato può causare un server a prendere decisioni basate su contraffatti richieste dal client LDAP.

In questo articolo viene descritto come configurare il server di directory per proteggerla da tali attacchi.

Ulteriori informazioni

Come individuare i client che non utilizzano l'opzione "Richiedi firma"

I client che si basano su unsigned SASL (Negotiate, Kerberos, NTLM o Digest) binding LDAP o su LDAP binding semplici tramite una connessione non-SSL/TLS smettono di funzionare dopo aver modificare questa configurazione. Per identificare questi client, il server di directory registra un evento 2887 una volta ogni 24 ore per indicare quanti tali associazioni si è verificato. Si consiglia di configurare i client di non utilizzare tali associazioni. Tali eventi non sono osservati per un periodo prolungato, si consiglia di configurare il server per rifiutare tali associazioni.

Se è necessario disporre di ulteriori informazioni per identificare tali client, è possibile configurare il server di directory per fornire i registri più dettagliati. Questa registrazione aggiuntiva verrà registrato un evento 2889 quando un client tenta per rendere un binding LDAP senza segno. La registrazione consente di visualizzare l'indirizzo IP del client e l'identità che il client ha tentato di utilizzare per l'autenticazione. È possibile attivare questo la registrazione impostando l'impostazione di diagnostica di Eventi di interfaccia LDAP su 2 (Basic). Per ulteriori informazioni su come modificare le impostazioni di diagnostiche, visitare il seguente sito Web Microsoft:Se il server di directory è configurato per rifiutare di binding LDAP SASL senza segno o stabilisce un'associazione semplice LDAP tramite una connessione SSL/TLS, il server di directory registrerà un evento 2888 si verificano una volta ogni 24 ore, quando tale associazione tentativi.

Come configurare la directory per richiedere la firma server LDAP

Utilizzando criteri di gruppo

Come impostare il server di requisito di firma LDAP
  1. Fare clic su Start, scegliere Esegui, digitare mmc.exe. exe e quindi fare clic su OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor Gestione criteri di gruppoe quindi fare clic su Aggiungi.
  4. Nella finestra di dialogo Selezione oggetto Criteri di gruppo , fare clic su Sfoglia.
  5. Nella finestra di dialogo Sfoglia per un oggetto Criteri di gruppo fare clic su Criterio dominio predefinito nell'area di domini, unità organizzative e oggetti Criteri di gruppo e quindi fare clic su OK.
  6. Fare clic su Fine.
  7. Fare clic su OK.
  8. Espandere Criteri predefiniti Controller di dominio, espandere Configurazione Computer, espandere criteri, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di sicurezza.
  9. Click col tasto destro su controller di dominio: requisiti per la firma server LDAP, quindi scegliere proprietà.
  10. Nella controller di dominio: requisiti di proprietà di accesso al server LDAP nella finestra di dialogo Definisci questa impostazioneattiva, fare clic per selezionare Richiedi firma nell'elenco a discesa Definisci questa impostazione e quindi fare clic su OK.
  11. Nella finestra di dialogo Modifica impostazioni di conferma , fare clic su .
Come impostare il client requisito di firma LDAP tramite criteri del computer locale
  1. Fare clic su Start, scegliere Esegui, digitare mmc.exe. exe e quindi fare clic su OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor oggetti Criteri di gruppoe quindi fare clic su Aggiungi.
  4. Fare clic su Fine.
  5. Fare clic su OK.
  6. Espandere Criteri Computer locale, espandere Configurazione Computer, espandere criteri, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di protezione.
  7. Mouse protezione di rete: requisiti di la firma client LDAP, quindi scegliere proprietà.
  8. Nella protezione di rete: requisiti di proprietà di la firma client LDAP finestra di dialogo, fare clic per selezionare Richiedi firma nell'elenco a discesa e quindi fare clic su OK.
  9. Nella finestra di dialogo Modifica impostazioni di conferma , fare clic su .
Come impostare il client di requisito di firma LDAP tramite un oggetto Criteri di gruppo di dominio
  1. Fare clic su Start, scegliere Esegui, digitare mmc.exe. exe e quindi fare clic su OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor oggetti Criteri di gruppoe quindi fare clic su Aggiungi.
  4. Fare clic su Sfogliae quindi selezionare Criterio dominio predefinito (o l'oggetto Criteri di gruppo per il quale si desidera abilitare la firma client LDAP).
  5. Fare clic su OK.
  6. Fare clic su Fine.
  7. Fare clic su Chiudi.
  8. Fare clic su OK.
  9. Espandere Criterio dominio predefinito, espandere Configurazione Computer, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di protezione.
  10. Nella protezione di rete: requisiti di proprietà di la firma client LDAP finestra di dialogo, fare clic per selezionare Richiedi firma nell'elenco a discesa e quindi fare clic su OK.
  11. Nella finestra di dialogo Modifica impostazioni di conferma , fare clic su .
Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

823659 , servizio, programma incompatibilità tra client e che può verificarsi quando si modificano le impostazioni di protezione e assegnazione diritti utente

Come utilizzare le chiavi del Registro di sistema

Per modificare le chiavi del Registro di sistema per è, passare alla sezione "correzione". Se si preferisce modificare manualmente le chiavi del Registro di sistema, passare alla sezione "Consenti correzione manuale".

Correzione automatica

Per risolvere il problema automaticamente, fare clic sul pulsante Correggi o collegamento, fare clic su Esegui nella finestra di dialogo Download File e quindi seguire la procedura guidata.
Notes
  • Questa procedura guidata può essere solo in lingua inglese. Tuttavia, la correzione automatica funziona anche per altre versioni di lingua di Windows.
  • Se non si utilizza il computer che presenta il problema, salvare la correzione è una soluzione a un'unità memoria flash o un CD, quindi eseguirlo sul computer che presenta il problema.
Quindi, visitare la sezione "il problema è stato risolto?".

Consenti la correzione manuale

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows
  1. Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. La voce del Registro di sistema LDAPServerIntegrity destro e scegliere Modifica.
  4. Modificare i dati valore su 2e quindi fare clic su OK.
  5. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Destro la voce del Registro di sistema ldapclientintegrity e quindi fare clic su Modifica.
  7. Modificare i dati valore su 2e quindi fare clic su OK.
Per impostazione predefinita, Active Directory Lightweight Directory Services (AD LDS), la chiave del Registro di sistema non è disponibile. Pertanto, è necessario creare una voce del Registro di sistema LDAPServerIntegrity di tipo REG_DWORD nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota: Il segnaposto < InstanceName > rappresenta il nome dell'istanza di AD LDS che si desidera modificare.

Come verificare le modifiche di configurazione

  1. Fare clic su Start, scegliere Esegui, digitare ldp.exee quindi fare clic su OK.
  2. Nel menu connessione , fare clic su Connetti.
  3. Nel campo Server e nel campo porta , digitare il nome del server e la porta SSL/TLS del server di directory e quindi fare clic su OK.

    Nota per un Domain Controller di Active Directory, la porta è 389.
  4. Dopo aver stabilita una connessione, selezionare associazione dal menu di connessione .
  5. In tipo di binding, selezionare associazione semplice.
  6. Digitare il nome utente e la password e quindi fare clic su OK.
Se viene visualizzato il seguente messaggio di errore, il server di directory è configurato correttamente:
Ldap_simple_bind_s() non riuscito: necessaria autenticazione avanzata

Il problema è stato risolto?

  • Controllare se il problema è risolto. Se il problema viene risolto, è necessario continuare con questa sezione. Se il problema non viene risolto, è possibile contattare il supporto tecnico.
  • Ci piacerebbe ricevere commenti e suggerimenti. Per fornire commenti o segnalare problemi con questa soluzione, lasciare un commento nel blog "correzione" o inviare un messaggio di posta elettronica.

DECLINAZIONE DI RESPONSABILITÀ

MICROSOFT E/O I RELATIVI FORNITORI NON RENDERE RILASCIANO ALCUNA DICHIARAZIONE RELATIVAMENTE ALL'ADEGUATEZZA DELLE INFORMAZIONI CONTENUTE NEI DOCUMENTI E IMMAGINI RELATIVE PUBBLICATI SU QUESTO SITO WEB PER QUALSIASI SCOPO. I DOCUMENTI E NELLA RELATIVA GRAFICA PUBBLICATA SU QUESTO SITO WEB POTREBBE CONTENERE INESATTEZZE TECNICHE O ERRORI TIPOGRAFICI. LE MODIFICHE VENGONO AGGIUNTE PERIODICAMENTE ALLE INFORMAZIONI NEL PRESENTE DOCUMENTO. MICROSOFT E/O I RELATIVI FORNITORI POSSONO APPORTARE MIGLIORAMENTI O MODIFICHE DEL PRODOTTO (S) E/O IL PROGRAMMA (S) DESCRITTE NEL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.

Per ulteriori informazioni sulle condizioni di utilizzo, visitare il seguente sito Web Microsoft:
Proprietà

ID articolo: 935834 - Ultima revisione: 31 gen 2017 - Revisione: 1

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

Feedback