È possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le ...

È possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le operazioni di binding LDAP SASL (Negotiate, 
Kerberos, NTLM o Digest) che non richiedono la firma (verifica dell'integrità) e le operazioni di binding LDAP semplice
eseguite attraverso una connessione non crittografata con SSL o TLS. Anche se questi tipi di binding non vengono utilizzati da alcun client,
la configurazione del server descritta consente di migliorare la sicurezza del server stesso.



A seguito di questa modifica, gli eventuali client basati su binding SASL non firmato o binding LDAP semplice attraverso una connessione non SSL/TLS
non funzioneranno più. Per semplificare l'identificazione di questi client, quando si verificano tali operazioni di binding
il server di directory registra ogni 24 ore un evento di riepilogo indicante il numero di binding di questo tipo
verificatisi. È consigliabile configurare i client in modo che non utilizzino questo tipo di binding. Se dopo un certo periodo di tempo non si rileva 
alcun evento di questo tipo, è consigliabile configurare il server in modo che rifiuti tali operazioni di binding.



Per ulteriori dettagli e informazioni su come eseguire la modifica della configurazione del server, vedere http://go.microsoft.com/fwlink/?LinkID=87923.



È possibile attivare la registrazione di un evento ogni volta che un client esegue un'operazione di binding di questo tipo. La registrazione comprende
le informazioni sul client interessato. A tale scopo, impostare la categoria di registrazione degli eventi dell'interfaccia LDAP
sul livello 2 o superiore.