Come attivare Windows Server 2008 la firma LDAP

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 935834

PUBBLICAZIONE RAPIDA

LA PUBBLICAZIONE RAPIDA ARTICOLI CONTENGONO INFORMAZIONI IN RISPOSTA A EMERGENTI O ARGOMENTI UNIVOCI E PUÒ ESSERE AGGIORNATO MAN MANO CHE DIVENTANO DISPONIBILI NUOVE INFORMAZIONI.
INTRODUZIONE
La protezione di un server di directory può essere nettamente migliorata configurando il server per rifiutare Simple Authentication and Security Layer SASL) Binding LDAP che non richiedono la firma (verifica di integrità) o di rifiutare LDAP semplice associa che vengono eseguite su una testo non crittografato (SSL/TLS-connessione non crittografata). SASLs può includere protocolli quali Negotiate, NTLM, Kerberos e i protocolli di Digest.

Senza segno il traffico di rete è soggetto ad attacchi di riproduzione in cui Quando un intruso intercetta il tentativo di autenticazione e di problemima di un ticket. L'intruso può riutilizzare il ticket per rappresentare l'utente legittimo. OGGETTOdditionalleato, senza segno il traffico di rete è soggetto ad attacchi man-in-the-middle in cui un intruso acquisisce i pacchetti tra il client e server, consente di modificare i pacchetti e quindi li inoltra al server. Se l'oggetto si verifica su un server LDAP, un utente malintenzionato possibile costringere un server a prendere decisioni basate su contraffatti richieste dal client LDAP.

In questo articolo viene descritto come configurare il server di directory per proteggerla da tali attacchi.
Informazioni

Come individuare i client che non utilizzano il"Rfirma equire" opzione

I client che si basano su SASL senza segno (Negotiate, Kerberos, NTLM o Digest) LDAP consente di associare o su LDAP semplice associa una connessione SSL/TLS smettere di funzionare Dopo aver apportato Questa modifica di configurazione. Per la Guida in linea identificare questi client, il server di directory Registros un evento 2887 una volta ogni 24 ore per indicare quanti tali associazioni si è verificato. Si consiglia di configurare theSe i client di non utilizzare tali associazioni. Dopo eventi di questo tipo sono osservati per un periodo prolungato, è consigliabile configurare il server per rifiutare tali associazioni.

Se è necessario disporre di ulteriori informazioni per identificare tali client, è possibile configurare il server di directory per fornire ulteriori logs. Questa registrazione aggiuntiva verrà registrato un evento 2889 Quando un client tenta di effettuare un binding LDAP senza segno. La registrazione visualizzaziones il Indirizzo IP del client e l'identità che il client ha tentato di Per utilizzare eseguire l'autenticazione. È possibile attivare questo la registrazione impostando l'impostazione di diagnostica di Eventi di interfaccia LDAP su 2 (Basic). Per ulteriori informazioni su come modificare le impostazioni di diagnostiche, visitare il seguente sito Web Microsoft:Se il server di directory è configurato per rifiutare unsigned SASL LDAP associa o binding LDAP semplice tramite una connessione SSL/TLS, il server di directory registrerà un evento 2888 una volta ogni 24 ore, quando ad esempio associare i tentativi di verifica.

Come configurare la directory per richiedere la firma server LDAP

Utilizzando criteri di gruppo

Come impostare il server di requisito di firma LDAP
  1. Fare clic su Start, scegliere Esegui, tipo MMC.exe, quindi scegliere OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor Gestione criteri di gruppoe quindi fare clic su Aggiungi.
  4. Nella finestra di dialogo Selezione oggetto Criteri di gruppo , fare clic su Sfoglia.
  5. Nella finestra di dialogo Sfoglia per un oggetto Criteri di gruppo fare clic su Criterio dominio predefinito nell'area di domini, unità organizzative e oggetti Criteri di gruppo e quindi fare clic su OK.
  6. Fare clic su Fine.
  7. Fare clic su OK.
  8. Espandere Criteri predefiniti Controller di dominio, espandere Configurazione Computer, espandere criteri, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di sicurezza.
  9. Click col tasto destro su controller di dominio: requisiti per la firma server LDAP, quindi scegliere proprietà.
  10. Nel controller di dominio: requisiti di proprietà di accesso al server LDAP finestra di dialogo casella, attivare Definisci questa impostazione, Fare clic per selezionare Richiedi firma nell'elenco a discesa Definisci questa impostazione e quindi fare clic su OK.
  11. Nella finestra di dialogo Modifica impostazioni di conferma , fare clic su .
Come impostare il client requisito di firma LDAP tramite criteri del computer locale
  1. Fare clic su Start, scegliere Esegui, tipo MMC.exe, quindi scegliere OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor oggetti Criteri di gruppo, e quindi Fare clic su Aggiungi.
  4. Fare clic su Fine.
  5. Fare clic su OK.
  6. Espandere Criteri Computer locale, espandere Configurazione Computer, espandere criteri, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di protezione.
  7. Mouse protezione di rete: requisiti di la firma client LDAP, quindi scegliere proprietà.
  8. Nella protezione di rete: requisiti di proprietà di la firma client LDAP nella finestra di dialogo Fare clic per selezionare Richiedi firma nell'elenco a discesa e quindi fare clic su OK.
  9. Nella finestra di dialogo Modifica impostazioni di conferma , fare clic su .
Come impostare il client di requisito di firma LDAP tramite un oggetto Criteri di gruppo di dominio
  1. Fare clic su Start, scegliere Esegui, digitare mmc.exe. exe e quindi fare clic su OK.
  2. Dal menu File , fare clic su Aggiungi/Rimuovi Snap-in.
  3. Nella finestra di dialogo Aggiungi o Rimuovi Snap-in , fare clic su Editor oggetti Criteri di gruppoe quindi fare clic su Aggiungi.
  4. Fare clic su Sfogliae selezionare criterio dominio predefinito (o l'oggetto Criteri di gruppo per il quale si desidera abilitare la firma client LDAP).
  5. Fare clic su OK.
  6. Fare clic su Fine.
  7. Fare clic su Chiudi.
  8. Fare clic su OK.
  9. Espandere Criterio dominio predefinito, espandere Configurazione Computer, espandere Impostazioni di Windows, espandere Impostazioni protezione, espandere Criteri localie quindi fare clic su Opzioni di protezione.
  10. Nella protezione di rete: requisiti di proprietà di la firma client LDAP la finestra di dialogo, selezionare Richiedi firma nell'elenco a discesa elenco e quindi fare clic su OK.
  11. Nella Conferma modifica impostazioni finestra di dialogo fare clic su .
Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
823659 Client, servizio e le incompatibilità di programma che possono verificarsi quando si modificano le impostazioni di protezione e assegnazione diritti utente

Come utilizzare le chiavi del Registro di sistema

Per modificare le chiavi del Registro di sistema per l'utente, Vai al "Risolvere il problema per me" sezione. Se si preferisce modificare il Registro di sistema tasti manualmente, scegliere la "Consenti la correzione manuale" sezione.

Risolvere il problema per me

Per risolvere il problema automaticamente, fare clic sul pulsante Correggi o collegamento, fare clic su Esegui nella finestra di dialogo Download File e quindi seguire la procedura guidata.
Note
  • Questa procedura guidata può essere solo in lingua inglese. Tuttavia, la correzione automatica funziona anche per altre versioni di lingua di Windows.
  • Se non si utilizza il computer che presenta il problema, salvare la correzione è una soluzione a un'unità memoria flash o un CD, quindi eseguirlo sul computer che presenta il problema.
Quindi, eseguire il "Il problema è stato risolto?" sezione.

Consenti la correzione manuale

Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, può causare seri problemi la modifica del Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Eseguire il backup e ripristino del Registro di sistema in Windows
  1. Fare clic su Start, fare clic su Esegui, tipo Regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. La voce del Registro di sistema LDAPServerIntegrity destro e scegliere Modifica.
  4. Modificare i dati valore2, quindi scegliere OK.
  5. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Destro la voce del Registro di sistema ldapclientintegrity e quindi fare clic su Modifica.
  7. Modificare i dati valore2, quindi scegliere OK.
Per impostazione predefinita, Active Directory Lightweight Directory Services (AD LDS), la chiave del Registro di sistema non è disponibile. Di conseguenza, yè necessario creare unità organizzative un Registro di sistema LDAPServerIntegrity voce di tipo REG_DWORD sotto la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota Il segnaposto <InstanceName>rappresenta il nome di AD LDS che di istanza<b00> </b00> </InstanceName>si desidera modificare.

Come verificare le modifiche di configurazione

  1. Fare clic su Start, scegliere Esegui, tipo Ldp.exe, quindi scegliere OK.
  2. Nel menu connessione , fare clic su Connetti.
  3. Nel campo Server e nel campo porta , digitare il nome del server e la porta SSL/TLS del server di directory e quindi fare clic su OK.

    Nota
    per un Domain Controller di Active Directory, la porta è 389.
  4. Dopo aver stabilita una connessione, selezionare associazione dal menu di connessione .
  5. In tipo di binding, selezionare associazione semplice.
  6. Digitare il nome utente e la password e quindi fare clic su OK.
Se viene visualizzato il seguente messaggio di errore, il server di directory è configurato correttamente:
Ldap_simple_bind_s() non riuscito: necessaria autenticazione avanzata

Il problema è stato risolto?

DECLINAZIONE DI RESPONSABILITÀ

MICROSOFT E/O I RELATIVI FORNITORI NON RENDERE RILASCIANO ALCUNA DICHIARAZIONE RELATIVAMENTE ALL'ADEGUATEZZA DELLE INFORMAZIONI CONTENUTE NEI DOCUMENTI E IMMAGINI RELATIVE PUBBLICATI SU QUESTO SITO WEB PER QUALSIASI SCOPO. I DOCUMENTI E NELLA RELATIVA GRAFICA PUBBLICATA SU QUESTO SITO WEB POTREBBE CONTENERE INESATTEZZE TECNICHE O ERRORI TIPOGRAFICI. LE MODIFICHE VENGONO AGGIUNTE PERIODICAMENTE ALLE INFORMAZIONI NEL PRESENTE DOCUMENTO. MICROSOFT E/O I RELATIVI FORNITORI POSSONO APPORTARE MIGLIORAMENTI O MODIFICHE DEL PRODOTTO (S) E/O IL PROGRAMMA (S) DESCRITTE NEL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.

Per ulteriori informazioni sulle condizioni di utilizzo, visitare il seguente sito Web Microsoft:
correzione FixIt

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 935834 - Ultima revisione: 02/06/2016 06:52:00 - Revisione: 5.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtit
Feedback