Contornando o Event ID 2886 no Windows Server 2008

Quando concluímos a adição da função de Active Directory Domain Service em um Windows Server 2008, encontramos um alerta na console do Server Manager, e ao fazermos um Drill Down teremos o Event ID 2886. Este alerta é registrado toda vez que iniciamos/reiniciamos o sistema operacional.


Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2886
Task Category: LDAP Interface
Level: Warning
Description:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.

….

Este alerta ocorre porque o ambiente é by design projetado para compatibilidade do tráfego LDAP com clientes, serviços, e aplicações que não foram modificadas para o suporte a este recurso. Para configurarmos o ambiente para que este alerta deixe de ser registrado, teremos que realizar duas modificações, usando o Group Policy Management, na política de grupo Default Domain Controllers Policy, que é a GPO padrão do domínio. Segue abaixo como as duas entradas deverão estar configuradas:

Computer Configuration
=> Policies
==> Windows Settings
===> Security Settings
====> Local Policies
=====> Security Options

Domain controller: LDAP server signing requirements = “Require signing”

Computer Configuration

=> Policies
==> Windows Settings
===> Security Settings
====> Local Policies
=====> Security Options

Network Security: LDAP client signing requirements = “Negotiate signing”

Salientando, estas mudanças obrigam (escopo de domínio) ou haverá negociação (escopo de rede) que o tráfego LDAP seja assinado. Mudando estes parâmetros poderá ocorrer incompatibilidade em alguns clientes, serviços ou aplicações. Entretanto, modificando estas configurações, ganhamos na segurança do ambiente.

Para melhor entendimento, recomendo consultar o KB823659 e, testar…

por Jonildo Santos