このディレクトリ サーバーのセキュリティは 署名 (整合性の確認) を要求しない SASL (ネゴシエート Kerberos NTLM または ダイジェスト) LDAP バインド およびクリア テキスト (SSL/TLS 暗号化がされていない) ...

このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または
ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易
バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する
クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。



一部のクライアントは現在、署名されていない SASL バインド、または非 SSL/TLS 接続を介した LDAP 簡易バインドに依存して
いる可能性があり、構成を変更すると機能しなくなる可能性があります。このようなバインドを使用するクライアントを特定できるように、
このディレクトリ サーバーで該当するバインドが発生した場合、発生件数を示す概要イベントを 24 時間ごとに記録します。
該当するバインドの使用を特定されたクライアントについては、そのようなバインドを使用しないように構成を変更することをお勧めします。イベントが
記録されなくなってから一定の期間が経過したら、該当するバインドを拒否するようにサーバーを構成してください。



サーバーの構成を変更する方法について詳しくは、http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。



追加のログ作成を有効にして、クライアントがそのようなバインドを作成するたびに、バインドの作成元のクライアントの情報も含め、
イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリ
の設定をレベル 2 以上に上げてください。

このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または
ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易
バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する
クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。



一部のクライアントは現在、署名されていない SASL バインド、または非 SSL/TLS 接続を介した LDAP 簡易バインドに依存して
いる可能性があり、構成を変更すると機能しなくなる可能性があります。このようなバインドを使用するクライアントを特定できるように、
このディレクトリ サーバーで該当するバインドが発生した場合、発生件数を示す要約イベントを 24 時間ごとに記録します。
該当するバインドの使用を特定されたクライアントについては、そのようなバインドを使用しないように構成を変更することをお勧めします。イベントが
記録されなくなってから一定の期間が経過したら、該当するバインドを拒否するようにサーバーを構成してください。



サーバーの構成を変更する方法について詳しくは、http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。



追加のログ作成を有効にして、クライアントがそのようなバインドを作成するたびに、バインドの作成元のクライアントの情報も含め、
イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリ
の設定をレベル 2 以上に上げてください。