В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как включить в Windows Server 2008 подписывание LDAP

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 935834

БЫСТРАЯ ПУБЛИКАЦИЯ.

СТАТЬИ ИЗ ЦИКЛА "БЫСТРАЯ ПУБЛИКАЦИЯ" СОДЕРЖАТ СВЕДЕНИЯ В ОТВЕТ НА НОВЫЕ ИЛИ УНИКАЛЬНЫЕ ТЕМЫ И МОЖЕТ ОБНОВЛЯТЬСЯ ПО МЕРЕ ПОЯВЛЕНИЯ НОВЫХ СВЕДЕНИЙ.
ВВЕДЕНИЕ
Безопасность в сервер каталогов можно значительно повысить путем настройки сервера для отклонения простой проверки подлинности и уровня безопасности (SASL) Выполняет привязку LDAP, не требующих подписи (проверка целостности) или отклонить LDAP непростые, выполняются на подключение открытым текстом (без SSL/TLS-шифрования). SASL могут включать протоколы, такие как Negotiate, Kerberos, NTLM и Digest.

Неподписанный сетевой трафик делает возможной атаки в котором злоумышленник перехватывает попытки проверки подлинности и проблемВоспользуйтесь билета. Злоумышленник может повторно использовать билет для олицетворения законного пользователя. Additionматически, Неподписанный сетевой трафик уязвим для атак в середине в котором злоумышленник перехватывает пакеты между клиентом и сервером, изменения пакеты и пересылает их на сервер. Если это происходит на сервере LDAP злоумышленник можно привести к принимать решения, основанные на поддельных запросы от клиента LDAP сервера.

В данной статье описывается настройка сервера каталогов для защиты от таких атак.
Дополнительная информация

Как найти клиентов, не использующих »Require подписи" параметр

Клиенты, полагаться на неподписанных SASL (Negotiate, Kerberos, NTLM или Digest) LDAP привязывает или на LDAP простого связывает через подключение без SSL/TLS Прекращение работы После внесения Это изменение конфигурации. Чтобы помочь Определение Эти клиенты, сервер каталогов журналs Сводка событий 2887 один раз каждые 24 часа, чтобы указать, сколько привязки произошло. Мы рекомендуем вам Настройка theSE клиентам не использовать такой привязки. После события не наблюдается для продолжительного периода времени, рекомендуется настроить сервер для отклонения такой привязки.

Если необходимы дополнительные сведения для определения таких клиентов можно настроить сервер каталогов для предоставления более подробный журналs. Это дополнительное ведение журнала будет записать событие в журнал 2889 Когда клиент пытается сделать привязку LDAP без знака. Ведение журнала Отображениеs в IP-адрес клиента и клиент пытался удостоверение используется для Проверка подлинности. Чтобы включить запись этой информации, задайте для параметра диагностики События интерфейса LDAP значение 2 (Basic). Дополнительные сведения об изменении параметров диагностики посетите следующий веб-сайт корпорации Майкрософт:Если сервер каталогов настроен на отклонение без знака SASL LDAP привязывает или простая связка LDAP через подключение без SSL/TLS, сервер каталогов будут входить Сводка событий 2888 возникает один раз каждые 24 часа при такой привязки попыток.

Настройка каталога требование цифровой подписи LDAP сервера

С помощью групповой политики

Как установить требования подписывания для LDAP-сервера
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC.exe, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор управления групповыми политиками и нажмите кнопку Добавить.
  4. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
  5. В диалоговом окне Поиск объекта групповой политики нажмите кнопку Политика домена по умолчанию в области домены, подразделения и связанные объекты групповой политики и нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку ОК.
  8. Разверните узел Политика контроллеров домена по умолчанию, разверните узлы Конфигурация компьютера, разверните узел Политики, Конфигурация Windows, Параметры безопасности, Локальные политики и выберите Параметры безопасности.
  9. Щелкните правой кнопкой мыши Контроллер домена: требования подписывания для LDAP-сервера, а затем выберите команду Свойства.
  10. В контроллера домена: свойства требования подписывания для LDAP-сервера диалоговом окне укажите, позволяют определить следующий параметр политики Выберите в раскрывающемся списке определить следующий параметр политикитребуется цифровая подпись и нажмите кнопку ОК.
  11. В диалоговом окне Подтверждение изменения настроек нажмите кнопку Да.
Как установить требование подписи LDAP клиентом политикой локального компьютера
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC.exe, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политикиа затем Нажмите кнопку Добавить.
  4. Нажмите кнопку Готово.
  5. Нажмите кнопку ОК.
  6. Разверните узел Политика локального компьютера, разверните узел Конфигурация компьютера, разверните узел Политики, Конфигурация Windows, Параметры безопасности, Локальные политики и выберите Параметры безопасности.
  7. Щелкните правой кнопкой мыши Сетевая безопасность: требования подписывания для LDAP клиента и выберите команду Свойства.
  8. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, Выберите в раскрывающемся списке требуется цифровая подпись и нажмите кнопку ОК.
  9. В диалоговом окне Подтверждение изменения настроек нажмите кнопку Да.
Как установить требование подписи LDAP клиента через объект групповой политики домена
  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc.exe и нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политики и нажмите кнопку Добавить.
  4. Нажмите кнопку Обзори выберите Политика домена по умолчанию (или объект групповой политики, для которого нужно включить подписывания для LDAP клиента).
  5. Нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку Закрыть.
  8. Нажмите кнопку ОК.
  9. Разверните узел Политика домена по умолчанию, разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики и выберите Параметры безопасности.
  10. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, выберите требуется цифровая подпись в раскрывающемся списке и нажмите кнопку ОК.
  11. В Подтверждение изменения параметра диалоговом окне нажмите кнопку Да.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
823659 Несовместимости в клиентах, службах и программах, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей

Как использовать разделы реестра

Требуется помощь изменение разделов реестра, перейти к "Помощь в решении проблемы"раздел. Если нужно изменить параметры реестра самостоятельно, перейдите к»Самостоятельное решение проблемы"раздел.

Помощь в решении проблемы

Чтобы устранить проблему автоматически, нажмите кнопку Устранить проблему или ссылку, нажмите кнопку Запустить в диалоговом окне Загрузка файла и следуйте инструкциям мастера.
Заметки
  • Этот мастер может быть только на английском языке. Однако автоматическое исправление также работает для других языковых версий Windows.
  • Если вы не используете компьютер, на котором выявлена проблема, сохраните решение Fix it на флэш-накопитель или компакт-диск, и затем запустите его на нужном компьютере.
Перейдите в ""Устранена ли неполадка?""раздел.

Самостоятельное решение проблемы

Важно: Этот раздел, метод или задача содержит действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как сделать резервное копирование и восстановление реестра Windows
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Щелкните правой кнопкой мыши параметр LDAPServerIntegrity и выберите команду Изменить.
  4. Изменить значение2, а затем нажмите кнопку ОК.
  5. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Щелкните правой кнопкой мыши параметр ldapclientintegrity и выберите команду Изменить.
  7. Изменить значение2, а затем нажмите кнопку ОК.
По умолчанию для служб Active Directory облегченного доступа к каталогам (AD LDS) раздел реестра не доступен. Таким образом, yнеобходимо создать подразделение в Реестр LDAPServerIntegrity запись типа REG_DWORD в разделе в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Примечание Заполнитель <InstanceName>представляет имя AD LDS экземпляр,<b00> </b00> </InstanceName>Чтобы изменить.

Как проверить изменения конфигурации

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Ldp.exe, а затем нажмите кнопку ОК.
  2. В меню Подключение выберите Подключение.
  3. В поле Сервер и в поле Порт введите имя сервера и порт сервера каталогов без SSL/TLS и нажмите кнопку ОК.

    Примечание
    для контроллер домена Active Directory, соответствующий порт является порт 389.
  4. После установки подключения, выберите Привязка в меню Подключение.
  5. В группе Тип привязки выберите Простая привязка.
  6. Введите имя пользователя и пароль, а затем нажмите кнопку ОК.
Если появляется следующее сообщение об ошибке, сервер каталогов настроен:
Ldap_simple_bind_s() Ошибка: требуется строгая проверка подлинности

"Устранена ли неполадка?"

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

МАЙКРОСОФТ ИЛИ ЕЕ ПОСТАВЩИКОВ СООТВЕТСТВУЮЩИХ НЕ ДЕЛАЮТ НИКАКИХ УТВЕРЖДЕНИЙ О ПРИГОДНОСТИ ИНФОРМАЦИЯ, СОДЕРЖАЩАЯСЯ В ДОКУМЕНТАХ И СВЯЗАННЫЕ РИСУНКИ ОПУБЛИКОВАННЫЕ НА ЭТОМ ВЕБ-САЙТЕ ДЛЯ ЛЮБЫХ ЦЕЛЕЙ. ДОКУМЕНТЫ И СООТВЕТСТВУЮЩИЕ ГРАФИКИ, ОПУБЛИКОВАННЫЕ НА ЭТОМ ВЕБ-САЙТЕ МОГУТ ВКЛЮЧАТЬ ТЕХНИЧЕСКИЕ НЕТОЧНОСТИ ИЛИ ОПЕЧАТОК. ИЗМЕНЕНИЯ, ПЕРИОДИЧЕСКИ ДОБАВЛЯЮТСЯ СОДЕРЖАЩИЕСЯ В НЕЙ СВЕДЕНИЯ. КОРПОРАЦИЯ МАЙКРОСОФТ И ЕЕ ПАРТНЕРАМ СООТВЕТСТВУЮЩИХ МОЖЕТ СДЕЛАТЬ УЛУЧШЕНИЯ И ИЗМЕНЕНИЯ В ПРОДУКТ (S) И/ИЛИ ПРОГРАММА (S) ОПИСАННЫЕ ЗДЕСЬ В ЛЮБОЕ ВРЕМЯ.

Дополнительные сведения об условиях использования посетите следующий веб-узел корпорации Майкрософт:
решить устранить

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 935834 — последний просмотр: 01/09/2016 08:23:00 — редакция: 9.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtru
Отзывы и предложения