La seguridad de este servidor de directorio puede mejorar de forma notable si se configura el servidor para que rechace los ...

La seguridad de este servidor de directorio puede mejorar de forma notable
si se configura el servidor para que rechace los enlaces LDAP de tipo SASL
(Negotiate, Kerberos, NTLM o Digest) que no soliciten ninguna firma
(comprobación de integridad) y los enlaces LDAP simples que se realizan en una conexión de texto no cifrado (sin cifrado SSL/TLS). Aunque no haya ningún cliente usando dichos enlaces, si configura el servidor para que los rechace, mejorará la seguridad de este servidor.



Es probable que algunos clientes se basen actualmente en enlaces SASL sin
firmar o en enlaces LDAP simples a través de una conexión que no sea SSL/TLS, y
dejarán de funcionar si se realiza este cambio de configuración. Para ayudarle a
identificar estos clientes, si se realizan enlaces de este tipo, este servidor
de directorio registrará un evento de resumen cada 24 horas que indique cuántos enlaces de este tipo se han realizado. Es conveniente que configure estos clientes para que no usen este tipo de enlaces. Cuando deje de observar este tipo de eventos durante un largo período, es recomendable que configure el servidor para que rechace este tipo de enlaces.



Para obtener más detalles e información sobre cómo realizar este cambio de configuración en el servidor, vea http://go.microsoft.com/fwlink/?LinkID=87923.



Puede habilitar un registro adicional para registrar un evento cada vez que un
cliente realice un enlace de este tipo que incluya información sobre el cliente
que realizó el enlace. Para ello, aumente el valor de la categoría de registro de eventos "Eventos de interfaz LDAP" al nivel 2 o a un nivel superior.