Como activar a assinatura no Windows Server 2008 LDAP

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 935834

PUBLICAÇÃO RÁPIDA

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES EM RESPOSTA A NOVAS OU TÓPICOS EXCLUSIVOS E PODEM SER ACTUALIZADAS À MEDIDA QUE SURJAM NOVAS INFORMAÇÕES.
INTRODUÇÃO
A segurança do a servidor de directório pode ser significativamente melhorada configurando o servidor rejeitar autenticação simples e de camada de segurança (SASL) Enlaces LDAP que não pedem a assinatura (verificação de integridade) ou rejeitar LDAP simples liga que são executadas numa ligação de texto simples (não encriptado com SSL/TLS). SASLs pode incluir protocolos, como Negotiate, Kerberos, NTLM e os protocolos de autenticação condensada.

O tráfego de rede não assinado é susceptível a ataques de repetição em que um intruso intercepta a tentativa de autenticação e a pobremadade de uma permissão. O intruso pode reutilizar a permissão para representar o utilizador legítimo. Additionter o pormenor, o tráfego de rede não assinado é susceptível a ataques man-in-the-middle em que um intruso captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-as para o servidor. Se este ocorre num servidor LDAP, um intruso Pode fazer com que um servidor tome decisões baseadas em falsos pedidos do cliente LDAP.

Este artigo descreve como configurar o servidor de directório para proteger contra ataques desses tipo.
Mais Informação

Como identificar os clientes que não utilize o"Rassinatura de equire" opção

Os clientes que dependem SASL não assinado (Negotiate, Kerberos, NTLM ou autenticação condensada) LDAP liga ou no LDAP simple liga através de uma ligação não SSL/TLS deixar de funcionar Depois de efectuar Esta alteração da configuração. Para ajudar a identificar Estes clientes, o servidor de directório registos um evento de resumo 2887 uma vez a cada 24 horas para indicar quantos desses enlaces ocorreu. Recomendamos que Configurar theSe os clientes não está a utilizar essas ligações. Depois de esses acontecimentos não são observados durante um período prolongado, recomendamos que configure o servidor rejeitar essas ligações.

Se tem de ter mais informações para identificar esses clientes, pode configurar o servidor de directório para fornecer registo mais detalhados. Este registo adicional registará um evento 2889 Quando um cliente tenta efectuar uma ligação LDAP não assinada. O registo apresentars o Endereço IP do cliente e a identidade que o cliente tentou Utilize para autenticar. Pode activar este registo adicional, definindo a definição de diagnóstico de Eventos da Interface LDAP para 2 (Basic). Para mais informações sobre como alterar as definições de diagnóstico, vá para o seguinte Web site da Microsoft:Se o servidor de directório está configurado rejeitar não assinados SASL LDAP liga ou enlaces LDAP simple através de uma ligação não SSL/TLS, o servidor de directório registará um evento de resumo 2888 uma vez a cada 24 horas, quando tais vincular tentativas ocorrer.

Como configurar o directório para exigir assinatura do servidor LDAP

Utilizar política de grupo

Como definir o servidor de requisito de assinatura de LDAP
  1. Clique em Iniciar, clique em Executar, tipo MMC.exee, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de gestão da política de grupoe, em seguida, clique em Adicionar.
  4. Na caixa de diálogo Seleccionar objecto de política de grupo , clique em Procurar.
  5. Na caixa de diálogo Procurar um objecto de política de grupo , clique em Política de domínio predefinida na área de domínios, UO e objectos de política de grupo ligados e, em seguida, clique em OK.
  6. Clique em Concluir.
  7. Clique em OK.
  8. Expanda Política predefinida de controlador de domínio, expanda Configuração do computador, expanda políticas, expanda Definições do Windows, expanda As definições de segurança, expanda Políticas locais' e, em seguida, clique em Opções de segurança.
  9. Com o botão direito controlador de domínio: requisitos de assinatura do servidor LDAPe, em seguida, clique em Propriedades.
  10. No controlador de domínio: requisitos de propriedades de assinatura do servidor LDAP diálogo caixa, permitem definir esta definição de política, Clique para seleccionar a opção exigir assinatura na lista pendente de definir esta definição de política e, em seguida, clique em OK.
  11. Na caixa de diálogo Confirmar alteração de definição , clique em Sim.
Como definir o cliente requisito de assinatura de LDAP através de política de computador local
  1. Clique em Iniciar, clique em Executar, tipo MMC.exee, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de objecto de política de grupo, e, em seguida Clique em Adicionar.
  4. Clique em Concluir.
  5. Clique em OK.
  6. Expanda Política Computador Local, expanda Configuração do computador, expanda políticas, expanda Definições do Windows, expanda As definições de segurança, expanda Políticas locaise, em seguida, clique em Opções de segurança.
  7. Com o botão direito segurança de rede: requisitos de assinatura do cliente LDAPe, em seguida, clique em Propriedades.
  8. No segurança de rede: requisitos de propriedades de assinatura do cliente LDAP caixa de diálogo, Clique para seleccionar a opção exigir assinatura na lista pendente e, em seguida, clique em OK.
  9. Na caixa de diálogo Confirmar alteração de definição , clique em Sim.
Como definir o cliente requisito de assinatura de LDAP através de um objecto de política de grupo do domínio
  1. Clique em Iniciar, clique em Executar, escreva mmc.exe. exe e, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de objecto de política de grupoe, em seguida, clique em Adicionar.
  4. Clique em Procurare, em seguida, seleccione Default Domain Policy (ou o objecto de política de grupo para o qual pretende activar a assinatura do cliente LDAP).
  5. Clique em OK.
  6. Clique em Concluir.
  7. Clique em Fechar.
  8. Clique em OK.
  9. Expandir a Política predefinida de domínio, expanda Configuração do computador, expanda Definições do Windows, expanda As definições de segurança, expanda Políticas locaise, em seguida, clique em Opções de segurança.
  10. No segurança de rede: requisitos de propriedades de assinatura do cliente LDAP caixa de diálogo, clique para seleccionar exigir assinatura em pendente lista e, em seguida, clique em OK.
  11. No Confirmar alteração de definição de diálogo caixa, clique em Sim.
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
823659 Cliente, serviço e incompatibilidades do programa que podem ocorrer quando modificar definições de segurança e atribuições de direitos de utilizador

Como utilizar chaves de registo

Para nos solicitar a alterar as chaves de registo para si, vá para o "Corrigir por mim"secção. Se pretender alterar o chaves de registo próprio, vá para o "Deixar-me corrigir o problema"secção.

Corrigir por mim

Para corrigir este problema automaticamente, clique na hiperligação ou botão corrigi-lo , clique em Executar na caixa de diálogo Transferência de ficheiros e, em seguida, siga os passos na correcção assistente.
Notas
  • Este assistente pode estar apenas em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
  • Se não estiver a utilizar o computador que tem o problema, guarde a correcção-solução para uma unidade flash ou um CD, e, em seguida, executá-la no computador que tem o problema.
Em seguida, vá para o "Isto corrigiu o problema?"secção.

Deixar-me corrigir o problema

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Com o botão direito na entrada de registo LDAPServerIntegrity e, em seguida, clique em Modificar.
  4. Alterar dados do valor para 2e, em seguida, clique em OK.
  5. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Com o botão direito na entrada de registo ldapclientintegrity e, em seguida, clique em Modificar.
  7. Alterar os dados do valor para 2e, em seguida, clique em OK.
Por predefinição, para os Serviços LDS do Active Directory (AD LDS), a chave de registo não está disponível. Por conseguinte, you tem de criar a Registo de LDAPServerIntegrity entrada do tipo REG_DWORD em a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota O marcador de posição <InstanceName>representa o nome do AD LDS instância que<b00> </b00> </InstanceName>pretende alterar.

Como verificar alterações de configuração

  1. Clique em Iniciar, clique em Executar, tipo Ldp.exee, em seguida, clique em OK.
  2. No menu de ligação , clique em Ligar.
  3. No campo servidor e no campo porta , escreva o nome do servidor e a porta não SSL/TLS do seu servidor de directório e, em seguida, clique em OK.

    Nota
    para um domínio controlador de Active Directory, a porta aplicável é 389.
  4. Depois de estabelecida uma ligação, seleccione Ligar , no menu de ligação .
  5. Em tipo de ligação, seleccione a ligação simples.
  6. Escreva o nome de utilizador e palavra-passe e, em seguida, clique em OK.
Se receber a seguinte mensagem de erro, configurou com êxito o servidor de directório:
Ldap_simple_bind_s () falhou: autenticação forte necessária

Isto corrigiu o problema?

  • Verifique se o problema esta corrigido. Se o problema estiver corrigido, o procedimento está concluído com esta secção. Se o problema não estiver corrigido, pode Contacte o suporte.
  • Agradecemos os seus comentários. Para enviar comentários ou comunicar problemas com esta solução, deixe um comentário sobre o "Corrigir por mim"blogue, ou envie-numa mensagem de correio electrónico.

EXCLUSÃO DE RESPONSABILIDADE

MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES NÃO FAZEM NENHUMA AFIRMAÇÃO RELATIVAMENTE À ADEQUAÇÃO DAS INFORMAÇÕES CONTIDAS NOS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PARA QUALQUER FINALIDADE. OS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE WEB SITE PODERÃO INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS. SÃO ADICIONADAS ALTERAÇÕES PERIÓDICAS ÀS INFORMAÇÕES NESTE DOCUMENTO. MICROSOFT E/OU OS RESPECTIVOS FORNECEDORES PODERÃO EFECTUAR ALTERAÇÕES NO PRODUTO (S) E/OU O PROGRAMA (S) DESCRITO NO PRESENTE REGULAMENTO EM QUALQUER ALTURA.

Para mais informações sobre os termos de utilização, vá para o seguinte Web site da Microsoft:
fixit corrigi-lo

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 935834 - Última Revisão: 11/22/2015 08:59:00 - Revisão: 3.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtpt
Comentários
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)