SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Event ID: 2887, Source: ActiveDirectory_DomainService

E-mail Печать PDF
(1 Проголосовало)
Безопасность сервера каталогов можно значительно повысить путем настройки сервера на отклонение простой проверки подлинности и уровня безопасности (SASL) привязки LDAP, не требующих подписи (проверки целостности), либо отклонение простых связок LDAP, выполняемых на подключение открытым текстом (без SSL/TLS-шифрования).SASLs может включать протоколы, такие как согласование, Kerberos, NTLM и протоколы дайджест.

Неподписанный сетевой трафик делает возможной атаки, когда злоумышленник перехватывает попытки проверки подлинности и выдачи билетов. Злоумышленник может повторно использовать билет для олицетворения законного пользователя. Кроме того Неподписанный сетевой трафик делает возможной атаки в середине, в которых злоумышленник перехватывает пакеты между клиентом и сервером, меняет пакеты и пересылает их на сервер. В этом случае на LDAP-сервере, злоумышленник может заставить сервер для принятия решений, основанных на поддельных запросы от клиента LDAP.

Как найти клиентов, не использующих параметр «Требовать подпись»

Клиенты, использующие неподписанных SASL (Negotiate, Kerberos, NTLM или дайджест) привязок LDAP или на LDAP простая привязка через подключение без SSL/TLS перестают работать после внесения этого изменения конфигурации.Чтобы помочь идентифицировать эти клиенты, сервер каталогов входит Сводка событий 2887 один раз каждые 24 часа, указывает, сколько привязки. Корпорация Майкрософт рекомендует настраивать эти клиенты не следует использовать эти привязки. После того, как события не наблюдаются в течение продолжительного периода, рекомендуется настроить сервер, чтобы отклонить такой привязки.

Если необходимы дополнительные сведения для идентификации таких клиентов можно настроить сервер каталогов для предоставления более подробных журналов. Это дополнительное ведение журнала запишет в журнал событие 2889, когда клиент пытается сделать привязку LDAP без знака. Ведение журнала отображает IP-адрес клиента и удостоверения, которое пытается использовать для проверки подлинности клиента. Это дополнительное ведение журнала можно включить, задав параметр диагностики События интерфейса LDAP(Basic). В реестре меняем значение параметра 16 LDAP Interface Events на 2 в ветке HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\
Если сервер каталогов настроен на отклонение без знака привязки SASL LDAP или простая связка LDAP через подключение без SSL/TLS, сервер каталогов будут входить Сводка событий 2888 происходит один раз каждые 24 часа при такой привязки попыток.

Настройка каталога требование цифровой подписи LDAP сервера

С помощью групповой политики

Как установить требования подписывания для LDAP сервера
  1. Нажмите кнопку Пуск, выберите пункт выполнить, введите mmc.exeи нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор управления групповыми политиками и нажмите кнопку Добавить.
  4. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
  5. В диалоговом окне Поиск объекта групповой политики нажмите кнопку Политика домена по умолчанию в области домены, подразделения и связанные объекты групповой политики и нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку ОК.
  8. Разверните узел Политика контроллеров домена по умолчанию, разверните узлы Конфигурация компьютера, разверните узел политики, конфигурация Windows, параметры БезопасностиЛокальные политики и выберите Параметры безопасности.
  9. Щелкните правой кнопкой мыши контроллер домена: требования подписывания для LDAP-сервера, а затем выберите команду Свойства.
  10. В контроллера домена: свойства требования подписывания для LDAP-сервера диалоговое окно, позволяют определить следующий параметр политики, выберите в раскрывающемся списке определить следующий параметр политики требуется цифровая подпись и нажмите кнопку ОК.
  11. В диалоговом окне Подтверждение изменения настроек нажмите кнопку " Да".
Как установить требование подписи LDAP политикой локального компьютера клиента
  1. Нажмите кнопку Пуск, выберите пункт выполнить, введите mmc.exeи нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политикии нажмите кнопку Добавить.
  4. Нажмите кнопку Готово.
  5. Нажмите кнопку ОК.
  6. Разверните узел Политика локального компьютера, разверните узлы Конфигурация компьютера, разверните узел политики, конфигурация Windows, параметры БезопасностиЛокальные политики и выберите Параметры безопасности.
  7. Щелкните правой кнопкой мыши Сетевая безопасность: требования подписывания для LDAP клиента и выберите команду Свойства.
  8. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, выберите в раскрывающемся списке выберите требуется цифровая подпись , а затем нажмите кнопку ОК.
  9. В диалоговом окне Подтверждение изменения настроек нажмите кнопку " Да".
Как установить требования подписывания для LDAP клиента через объект групповой политики домена
  1. Нажмите кнопку Пуск, выберите пункт выполнить, введите mmc.exeи нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить или удалить оснастку щелкните Редактор объектов групповой политики и нажмите кнопку Добавить.
  4. Нажмите кнопку Обзор, а затем выберите Политику домена по умолчанию (или объект групповой политики, для которого нужно включить подписывания для LDAP клиента).
  5. Нажмите кнопку ОК.
  6. Нажмите кнопку Готово.
  7. Нажмите кнопку Закрыть.
  8. Нажмите кнопку ОК.
  9. Разверните узел Политика домена по умолчанию, разверните узлы Конфигурация компьютера, конфигурацияWindows, параметры БезопасностиЛокальные политики и выберите Параметры безопасности.
  10. В Сетевая безопасность: свойства требования подписывания для LDAP клиента диалоговое окно, выберите требуется цифровая подпись в раскрывающемся списке и нажмите кнопку ОК.
  11. В Подтверждение изменения параметра диалоговом окне нажмите кнопку Да.

Решить самостоятельно

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Щелкните правой кнопкой мыши запись реестра LDAPServerIntegrity и выберите команду Изменить.
  4. Изменить значение2, а затем нажмите кнопку ОК.
  5. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Щелкните правой кнопкой мыши запись реестра ldapclientintegrity и выберите команду Изменить.
  7. Изменить значение2, а затем нажмите кнопку ОК.
По умолчанию для служб Active Directory облегченного доступа к каталогам (AD LDS) раздел реестра не доступен. Таким образом, yнеобходимо создать подразделение в Реестр LDAPServerIntegrity запись типа REG_DWORD в разделе в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Примечание Заполнитель <InstanceName>представляет имя AD LDS экземпляр,<b00> </b00> </InstanceName>Чтобы изменить.

Как проверить изменения конфигурации

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Ldp.exe, а затем нажмите кнопку ОК.
  2. В меню " подключение " нажмите кнопку Подключить.
  3. В поле « сервер » и в поле Port введите имя сервера и порт сервера каталогов без SSL/TLS и нажмите кнопку ОК.

    Примечание
    для контроллер домена Active Directory, соответствующий порт является порт 389.
  4. После установки подключения, выберите привязку в меню подключение .
  5. В группе тип привязкивыберите простую привязку.
  6. Введите имя пользователя и пароль и нажмите кнопку ОК.
Если появляется следующее сообщение об ошибке, настроен сервер каталогов:

Ошибка Ldap_simple_bind_s(): требуется строгая проверка подлинности

 

Источник: technet.microsoft.com

Обновлено 25.11.2013 22:12  

Добавить комментарий



Анти-спам: выполните задание
network monitoring tool

Погода

Яндекс.Погода

Статистика

Пользователи : 705
Статьи : 246
Просмотры материалов : 1479707
mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterСегодня16
mod_vvisit_counterВчера136
mod_vvisit_counterЗа неделю520
mod_vvisit_counterЗа месяц2151
mod_vvisit_counterВсего839876

Кто на сайте

Сейчас 13 гостей онлайн

Поиск

Информация о профиле

Application afterLoad: 0.004 seconds, 0.52 MB
Application afterInitialise: 0.107 seconds, 3.13 MB
Application afterRoute: 0.123 seconds, 3.68 MB
Application afterDispatch: 0.288 seconds, 8.25 MB
Application afterRender: 0.551 seconds, 9.32 MB