ID EVENTO 2886 ACTIVE DIRECTORY ENLACES LDAP, Cómo habilitar LDAP al iniciar sesión en Windows Server 2008

Puede mejorar significativamente la seguridad de un servidor de directorio al configurar el servidor para rechazar los enlaces de autenticación sencilla y capa de seguridad (SASL) de LDAP que no soliciten (comprobación de integridad) de la firma o rechazar los enlaces LDAP simples que se realizan en una conexión de texto no cifrado (SSL/TLS-cifradas). SASLs puede incluir protocolos como Negotiate, Kerberos, NTLM y protocolos de síntesis.

El tráfico de red sin firmar es susceptible a ataques en los que un intruso intercepta el intento de autenticación y la emisión de un vale de reproducción. El intruso puede volver a utilizar el vale para suplantar al usuario legítimo. Además, el tráfico de red sin firmar es susceptible a ataques de intermediario en el que un intruso captura los paquetes entre el cliente y el servidor, cambia los paquetes y, a continuación, los reenvía al servidor. Si esto ocurre en un servidor LDAP, un atacante puede provocar un servidor tome decisiones basándose en las solicitudes del cliente LDAP falsificadas.

Cómo detectar a clientes que no utilice la opción «Requerir firma»

Los clientes que confían en unsigned SASL (Negotiate, Kerberos, NTLM o implícita) enlaces LDAP o en LDAP enlaces simples a través de una conexión SSL/TLS de no dejan de funcionar después de que se cambie esta configuración. Para ayudar a identificar a estos clientes, el servidor de directorio registra un evento resumen 2887 una vez cada 24 horas para indicar cuántos enlaces de este tipo se ha producido. Se recomienda configurar estos clientes para que no utilice los enlaces de este tipo. Después de que ningún evento de este tipo se observa durante un período prolongado, se recomienda que configure el servidor para rechazar estos enlaces.

Si necesita más información para identificar a estos clientes, puede configurar el servidor de directorio para proporcionar registros más detallados. Este registro adicional registrará un suceso 2889 cuando un cliente intenta realizar un enlace LDAP sin signo. El registro muestra la dirección IP del cliente y la identidad que el cliente intentó utilizar para autenticar. Puede habilitar un registro adicional al establecer el valor diagnóstico Sucesos de interfaz LDAP en 2 (Basic). Para obtener más información acerca de cómo cambiar la configuración de diagnóstica, consulte el siguiente sitio Web de Microsoft:

Si el servidor de directorio está configurado para rechazar los enlaces LDAP SASL sin signo o enlaces simples de LDAP a través de una conexión no SSL/TLS, el servidor de directorio registrará un suceso resumen 2888 se producen una vez cada 24 horas, cuando tales intentos de enlace.

Cómo configurar el directorio para que requiera la firma de servidor LDAP

Mediante Directiva de grupo

Cómo configurar al servidor de requisito de la firma LDAP

1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuación, haga clic en Aceptar.
2. En el menú archivo , haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de administración de directiva de grupoy, a continuación, haga clic en Agregar.
4. En el cuadro de diálogo Seleccionar un objeto de directiva de grupo , haga clic en Examinar.
5. En el cuadro de diálogo Buscar un objeto de directiva de grupo , haga clic en Directiva de dominio predeterminadaen el área dominios, unidades organizativas y objetos de directiva de grupo vinculados y, a continuación, haga clic enAceptar.
6. Haga clic en Finalizar.
7. Haga clic en Aceptar.
8. Expanda La directiva predeterminada de controladores de dominio, expanda Configuración del equipo, expandadirectivas, expanda Configuración de Windows, configuración de Seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
9. Haga clic en controlador de dominio: requisitos de firma de servidor LDAPy, a continuación, haga clic en Propiedades.
10. En el controlador de dominio: requisitos de propiedades de firma de servidor LDAP cuadro de diálogo, habiliteDefinir esta configuración de directiva, haga clic para seleccionar requiere firma en la lista desplegable Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.
11. En el cuadro de diálogo Confirmar cambio de configuración , haga clic en Sí.

Cómo configurar al cliente requisito de firma de LDAP a través de la directiva de equipo local

1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuación, haga clic en Aceptar.
2. En el menú archivo , haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de objetos de directiva de grupoy, a continuación, haga clic en Agregar.
4. Haga clic en Finalizar.
5. Haga clic en Aceptar.
6. Expanda Directiva de equipo Local, expanda Configuración del equipo, expanda directivas, expanda Configuración de Windows, configuración de Seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
7. Haga clic en seguridad de red: requisitos de firma de cliente LDAPy, a continuación, haga clic en Propiedades.
8. En la seguridad de red: requisitos de propiedades de firma de cliente LDAP cuadro de diálogo, haga clic en Seleccionerequiere firma en la lista desplegable y, a continuación, haga clic en Aceptar.
9. En el cuadro de diálogo Confirmar cambio de configuración , haga clic en Sí.

Cómo configurar al cliente requisito de firma de LDAP a través de un objeto de directiva de grupo del dominio

1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuación, haga clic en Aceptar.
2. En el menú archivo , haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de objetos de directiva de grupoy, a continuación, haga clic en Agregar.
4. Haga clic en Examinary, a continuación, seleccione Directiva de dominio predeterminada (o el objeto de directiva de grupo para el que desea habilitar la firma de cliente LDAP).
5. Haga clic en Aceptar.
6. Haga clic en Finalizar.
7. Haga clic en Cerrar.
8. Haga clic en Aceptar.
9. Expanda la Directiva de dominio predeterminada, Configuración del equipo, Configuración de Windows,Configuración de seguridad, Directivas localesy, a continuación, haga clic en Opciones de seguridad.
10. En la seguridad de red: requisitos de propiedades de firma de cliente LDAP cuadro de diálogo, haga clic en Seleccionerequiere firma en la lista desplegable y, a continuación, haga clic en Aceptar.
11. En el cuadro de diálogo Confirmar cambio de configuración , haga clic en Sí.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

Cómo utilizar las claves del registro

Para que podamos cambiar las claves del registro para usted, vaya a la sección «corregirlo por mí«. Si prefiere que cambiar las claves del registro manualmente, vaya a la sección «corregirlo yo mismo«.

Déjame arreglarlo yo mismo

Importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Haga clic en la entrada de registro LDAPServerIntegrity y, a continuación, haga clic en Modificar.
4. Cambie el valor a 2y, a continuación, haga clic en Aceptar.
5. Busque y, a continuación, haga clic en la subclave del registro siguiente:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
6. Haga clic en la entrada de registro ldapclientintegrity y, a continuación, haga clic en Modificar.
7. Cambie los datos del valor a 2y, a continuación, haga clic en Aceptar.

De forma predeterminada, para los servicios de directorio ligero de Active Directory (AD LDS), la clave del registro no está disponible. Por lo tanto, debe crear una entrada de registro LDAPServerIntegrity del tipo REG_DWORD bajo la siguiente subclave del registro:

Nota: El marcador < nombreInstancia > representa el nombre de la instancia de AD LDS que desea cambiar.

Cómo comprobar los cambios de configuración

1. Haga clic en Inicio, haga clic en Ejecutar, escriba ldp.exey, a continuación, haga clic en Aceptar.
2. En el menú conexión , haga clic en Conectar.
3. En el campo de servidor y en el campo puerto , escriba el nombre del servidor y el puerto no SSL/TLS de su servidor de directorio y, a continuación, haga clic en Aceptar.
   
   Nota: Para un controlador de dominio de Active Directory, el puerto correspondiente es el 389.
4. Después de establecer una conexión, seleccione el enlace en el menú de conexión .
5. En el tipo de enlace, seleccione enlace Simple.
6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Aceptar.

Si recibe el siguiente mensaje de error, ha configurado correctamente el servidor de directorio: