Blog TechNet Brasil : Segurançahttp://blogs.technet.com/technetbr/archive/tags/Seguran_E700_a/default.aspxTags: Segurançaen-USCommunityServer 2.1 SP1 (Build: 61025.2)Contornando o Event ID 2886 no Windows Server 2008http://blogs.technet.com/technetbr/archive/2009/01/13/contornando-o-event-id-2886-no-windows-server-2008.aspxTue, 13 Jan 2009 14:24:05 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3181650lucianopalma0http://blogs.technet.com/technetbr/comments/3181650.aspxhttp://blogs.technet.com/technetbr/commentrss.aspx?PostID=3181650<p>Quando concluímos a adição da função de <i>Active Directory Domain Service</i> em um <i>Windows Server 2008</i>, encontramos um alerta na console do Server Manager, e ao fazermos um <i>Drill Down</i> teremos o <b>Event ID 2886</b>. Este alerta é registrado toda vez que iniciamos/reiniciamos o sistema operacional.</p> <p>… <br /><i>Log Name: Directory Service <br />Source: Microsoft-Windows-ActiveDirectory_DomainService <br />Event ID: 2886 <br />Task Category: LDAP Interface <br />Level: Warning <br />Description: <br />The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server. <br /></i>….</p> <p>Este alerta ocorre porque o ambiente é <i>by design</i> projetado para compatibilidade do tráfego LDAP com clientes, serviços, e aplicações que não foram modificadas para o suporte a este recurso. Para configurarmos o ambiente para que este alerta deixe de ser registrado, teremos que realizar duas modificações, usando o <i>Group Policy Management</i>, na política de grupo <i>Default Domain Controllers Policy</i>, que é a GPO padrão do domínio. Segue abaixo como as duas entradas deverão estar configuradas:</p> <p>Computer Configuration <br />=&gt; Policies <br />==&gt; Windows Settings <br />===&gt; Security Settings <br />====&gt; Local Policies <br />=====&gt; Security Options</p> <p>Domain controller: LDAP server signing requirements = “Require signing”</p> <p>Computer Configuration </p> <p>=&gt; Policies <br />==&gt; Windows Settings <br />===&gt; Security Settings <br />====&gt; Local Policies <br />=====&gt; Security Options</p> <p>Network Security: LDAP client signing requirements = “Negotiate signing”</p> <p>Salientando, estas mudanças obrigam (escopo de domínio) ou haverá negociação (escopo de rede) que o tráfego LDAP seja assinado. Mudando estes parâmetros poderá ocorrer incompatibilidade em alguns clientes, serviços ou aplicações. Entretanto, modificando estas configurações, ganhamos na segurança do ambiente.</p> <p>Para melhor entendimento, recomendo consultar o KB823659 e, testar…</p> <p>por <em><strong>Jonildo Santos</strong></em></p><img src="http://blogs.technet.com/aggbug.aspx?PostID=3181650" width="1" height="1">JonildoDicasMicrosoftJonildo SantosSantosWindows Server 2008ADActive DirectorySegurança