DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 935834 - Geändert am: Samstag, 23. November 2013 - Version: 4.0

 

Auf dieser Seite

SCHNELLE VERÖFFENTLICHUNG

SCHNELLE VERÖFFENTLICHUNG ARTIKELN FINDEN SIE INFORMATIONEN IN DER ANTWORT AUF ODER EINDEUTIGE THEMEN UND KANN AKTUALISIERT WERDEN, SOBALD NEUER INFORMATIONEN VERFÜGBAR SIND.

EINFÜHRUNG

Die Sicherheit der ein Verzeichnisserver kann durch Konfigurieren des Servers zum Ablehnen von Simple Authentication and Security Layer (SASL) erheblich verbessert werden LDAP-Bindungen, die keine anfordern (Integrität Signaturüberprüfung) oder LDAP ablehnen einfach gebunden ist, werden für einen unverschlüsselten Text (nicht SSL/TLS-verschlüsselte) Verbindung ausgeführt. Bei SASLs kann es sich um Protokolle wie z. B. die Negotiate, Kerberos, NTLM und Digest-Protokolle handeln

Nicht signierter Netzwerkverkehr ist anfällig für Angriffe in der Ein Angreifer fängt der Authentifizierungsversuch und die ein vollständiges Verbot angestrebttung ein Ticket. Der unbefugte Benutzer kann das Ticket um legitime Benutzer imitieren wiederverwenden. EINHinzunahmeVerbündeter, nicht signierter Netzwerkverkehr ist anfällig für Man-in-the-Middle-Angriffe in der ein Eindringling Pakete zwischen Client und Server abfängt, ändert sich die Pakete und anschließend an den Server weiterleitet. Wenn dieses Tritt bei einem LDAP-Server ein Angreifer können dazu führen, dass einen Server zu Antworten veranlassen, die auf gefälschte Anfragen vom LDAP-Client basieren.

Dieser Artikel beschreibt die Vorgehensweise beim Konfigurieren des Verzeichnisservers, um sie vor solchen Angriffen zu schützen.

Weitere Informationen

Wie Sie Clients ermitteln, die nicht verwenden die"RAnfrageformular signieren" Option

Clients, die verlassen Sie sich auf den nicht signierten SASL (Negotiate, Kerberos, NTLM oder Digest) LDAP gebunden oder auf einfache LDAP über SSL/TLS-Verbindung gebunden nicht mehr funktioniert nach dem vornehmen Diese Konfigurationsänderung. Zu helfen Identifizieren Diese clients, den Verzeichnisserver Protokolls eine Zusammenfassung der Ereignisdaten 2887 einmal aufgetreten ist, innerhalb von 24 Stunden an, wie viele solcher bindet. Es wird empfohlen, dass Sie th konfiguriereneSE-Clients nicht an solchen Bindungen verwenden. Nach keine derartigen Ereignisse für einen längeren Zeitraum beobachtet werden, wird empfohlen, dass Sie den Server zum Ablehnen von solchen Bindungen konfigurieren.

Wenn Sie weitere Informationen zu solchen Clients identifizieren müssen, können Sie den Verzeichnisserver zur Bereitstellung von ausführlichere Protokollierung konfigurieren.s. Diese zusätzliche Protokollierung wird ein Ereignis protokolliert. 2889 Wenn ein Client versucht, eine nicht signierte LDAP-Bindung. Die Protokollierung Anzeiges Das Dialogfeld IP-Adresse des Clients und die Identität, der der Client versucht Verwenden Sie, um Authentifizieren. Sie können diese zusätzliche Protokollierung durch Festlegen der LDAP-Schnittstellenereignisse diagnostic-Einstellung auf 2 (einfach). Weitere Informationen zum Ändern der Diagnoseeinstellungen finden Sie auf der folgenden Microsoft-Website:
http://go.Microsoft.com/?LinkId=9645087 (http://go.microsoft.com/?linkid=9645087)
Wenn der Verzeichnisserver bindet ohne Vorzeichen SASL LDAP ablehnen oder einfache LDAP-Bindungen über eine SSL/TLS-Verbindung, wird der Verzeichnisserver Zusammenfassung Ereignis protokolliert 2888 einmal alle 24 Stunden, wenn solche Versuche binden, auftreten.

Konfigurieren Sie das Verzeichnis, um LDAP-Signatur erforderlich ist.

Mithilfe von Gruppenrichtlinien

Festlegen der Anforderung der LDAP-Signierung für den Server
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben MMC.exe, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-InsGruppenrichtlinienverwaltungs-Editorklicken Sie auf, und klicken Sie dann auf Hinzufügen.
  4. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Durchsuchen.
  5. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt suchen klicken Sie im Bereich Domänen, Organisationseinheiten und verknüpfte Gruppenrichtlinienobjekte auf Standarddomänenrichtlinie , und klicken Sie dann auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf OK.
  8. Erweitern Sie die Standard-Domänencontrollerrichtlinie, Computerkonfiguration, Richtlinien, erweitern Sie Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  9. Mit der rechten Maustaste Domänencontroller: Signaturanforderungen für LDAP-Server, und klicken Sie dann auf Eigenschaften.
  10. In der Domänencontroller: Signaturanforderungen Eigenschaften für LDAP-Server Dialog box, aktivieren Sie Diese Richtlinieneinstellung definieren, Klicken Sie, um die Signatur erforderlich wählen in der Dropdown-Liste Diese Richtlinieneinstellung definieren , und klicken Sie auf OK.
  11. Klicken Sie im Dialogfeld Bestätigung der Einstellungsänderung auf Ja.
Die Client LDAP-Signierungsanforderung durch die Richtlinie für lokalen Computer festlegen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben MMC.exe, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins auf Gruppenrichtlinienobjekt-Editor, und dann Klicken Sie auf Hinzufügen.
  4. Klicken Sie auf Fertig stellen.
  5. Klicken Sie auf OK.
  6. Erweitern Sie Richtlinien für Lokaler Computer, Computerkonfiguration, Richtlinien, erweitern Sie Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  7. Mit der rechten Maustaste Netzwerksicherheit: Signaturanforderungen für LDAP-Clients, und klicken Sie dann auf Eigenschaften.
  8. In die Netzwerksicherheit: Signaturanforderungen Eigenschaften für LDAP-Clients im Dialogfeld Klicken Sie, um eine Signatur erforderlich , die in der Dropdown-Liste wählen, und klicken Sie dann auf OK.
  9. Klicken Sie im Dialogfeld Bestätigung der Einstellungsänderung auf Ja.
Die LDAP-Signierung erforderlich über eine Domäne Gruppenrichtlinienobjekt festlegen
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc.exeein, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Hinzufügen oder Entfernen von Snap-Ins klicken Sie auf Gruppenrichtlinienobjekt-Editor, und klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf Durchsuchen, und wählen Sie dann Default Domain Policy (oder das Gruppenrichtlinienobjekt, für die Sie Client LDAP-Signierung aktivieren möchten).
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Fertig stellen.
  7. Klicken Sie auf Schließen.
  8. Klicken Sie auf OK.
  9. Erweitern Sie Default Domain Policy, erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinienund klicken Sie dann auf Sicherheitsoptionen.
  10. In die Netzwerksicherheit: Signaturanforderungen Eigenschaften für LDAP-Clients Dialogfeld, klicken Sie auf Signatur erforderlich in der Dropdown-Liste, und klicken Sie dann auf OK.
  11. In der Bestätigung der Einstellungsänderung Dialogfeld auf Ja.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823659  (http://support.microsoft.com/kb/823659/ ) Client und Dienst Programm Inkompatibilitäten, die beim Ändern von Sicherheitseinstellungen und Benutzerrechten auftreten

Wie Sie Registrierungsschlüssel

Um uns die Registrierungsschlüssel geändert haben, fahren Sie mit dem "Problem automatisch beheben"Abschnitt. Wenn Sie es vorziehen, ändern Sie die Registrierungsschlüssel selbst, klicken Sie auf die "Problem manuell beheben"Abschnitt.

Problem automatisch beheben

Um dieses Problem automatisch zu beheben, klicken Sie auf die Fix it -Schaltfläche oder einen Link, klicken Sie auf Ausführen klicken Sie im Dialogfeld Dateidownload und dann folgen Sie den Schritten in den Fix es Assistenten.
Dieses Problem beheben.
Microsoft Fix it 50518
Hinweise
  • Dieser Assistent kann nur auf Englisch verfügbar sein. Die automatische Korrektur funktioniert auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht den Computer verwenden, das Problem auftritt, speichern Sie die Fehlerbehebung es Lösung auf ein Flashlaufwerk oder eine CD, und führen Sie es auf dem Computer, das Problem auftritt.
Dann gehen Sie zu den "Wurde das Problem behoben?"Abschnitt.

Problem manuell beheben

Wichtig: Dieser Abschnitt, die Methode oder die Aufgabe enthält Schritte, die erklären, wie Sie die Windows-Registry ändern. Es können schwerwiegende Probleme auftreten, wenn Sie die Windows-Registry falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie Änderungen vornehmen. Gegebenenfalls können Sie dann die Registrierung wiederherstellen, wenn ein Problem auftritt. Für Weitere Informationen zum Sichern und Wiederherstellen der Registrierung, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
322756  (http://support.microsoft.com/kb/322756/ ) Sichern und Wiederherstellen der Registrierung in Windows
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ regedit, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Maustaste auf den Registrierungseintrag " LDAPServerIntegrity ", und klicken Sie dann auf Ändern.
  4. Wert ändern 2, und klicken Sie dann auf OK.
  5. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Maustaste auf den Registrierungseintrag " Ldapclientintegrity ", und klicken Sie dann auf Ändern.
  7. Ändern Sie die Wertdaten2, und klicken Sie dann auf OK.
Standardmäßig für Active Directory Lightweight Directory Services (AD LDS) ist der Registrierungsschlüssel nicht verfügbar. Aus diesem Grund yOrganisationseinheit erstellen müssen ein LDAPServerIntegrity Registrierung Eintrag des Typs REG_DWORD Klicken Sie unter die folgenden Unterschlüssel der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Hinweis Der Platzhalter <InstanceName>stellt den Namen der AD LDS-Instanz, die<b00> </b00> </InstanceName>Sie möchten ändern..

Überprüfen der Konfigurationsänderungen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben LDP.exe, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Geben Sie im Feld Server und im Feld Port den Servernamen und den SSL/TLS-Port Ihres Verzeichnis-Servers, und klicken Sie dann auf OK.

    Hinweis
    für eine Active Directory-Domänencontroller, wird der jeweilige Anschluss 389.
  4. Nachdem eine Verbindung hergestellt wurde, wählen Sie im Menü Verbindungzu binden .
  5. Wählen Sie unter Typ bindeneinfache Bindung.
  6. Geben Sie den Benutzernamen und das Kennwort, und klicken Sie dann auf OK.
Wenn Sie die folgende Fehlermeldung erhalten, konfiguriert erfolgreich des Verzeichnisservers:
Fehler bei Ldap_simple_bind_s(): starke Authentifizierung erforderlich

Wurde das Problem behoben?

  • Überprüfen Sie, ob das Problem behoben ist. Wenn das Problem behoben ist, sind Sie mit diesem Abschnitt fertig. Wenn das Problem nicht behoben ist, können Sie Kontakt zum support (http://support.microsoft.com/contactus) .
  • Wir schätzen Ihr Feedback. Um Feedback zu geben oder über Probleme mit dieser Lösung zu informieren, einen Kommentar zu den "Problem automatisch beheben (http://blogs.technet.com/fixit4me/) "-Blog, oder senden Sie uns eine e-Mail-Nachricht (mailto:fixit4me@microsoft.com?Subject=KB) .

HAFTUNGSAUSSCHLUSS

MICROSOFT UND/ODER DEREN JEWEILIGEN LIEFERANTEN MACHEN KEINE ZUSICHERUNGEN ÜBER DIE EIGNUNG DER ENTHALTENEN INFORMATIONEN IN DEN DOKUMENTEN UND ZUGEHÖRIGE GRAFIKEN FÜR IRGENDWELCHE ZWECKE AUF DIESER WEBSITE VERÖFFENTLICHT. DIE DOKUMENTE UND GRAFIKEN AUF DIESER WEBSITE KÖNNEN TECHNISCHE UNGENAUIGKEITEN ODER TYPOGRAFISCHE FEHLER ENTHALTEN. DIE HIER ENTHALTENEN INFORMATIONEN WERDEN REGELMÄSSIG GEÄNDERT. MICROSOFT UND/ODER SEINE JEWEILIGEN LIEFERANTEN KÖNNEN VERBESSERUNGEN UND/ODER ÄNDERUNGEN IM PRODUKT (S) UND DAS PROGRAMM (S) BESCHRIEBENEN ZU EINEM BELIEBIGEN ZEITPUNKT.

Weitere Informationen zu den Nutzungsbedingungen finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/tou/ (http://support.microsoft.com/tou/)

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 935834  (http://support.microsoft.com/kb/935834/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store