Zabezpečení problémy s LDAP NULL základní připojení

Překlady článku Překlady článku
ID článku: 837964 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Některé produkty vyhodnocování zabezpečení jiného výrobce může vracet zprávu upozornění po kontrole řadič domény se systémem Microsoft Windows 2000. Internet Security Systems, Inc. RealSecure software může například příznak řadič domény systému Windows 2000 s nízké riziko upozornění a odkaz na další informace v následujícím článku:
http://xforce.iss.net/xforce/xfdb/1425

Příčina

Na serverech Active Directory systému Windows 2000 jsou oprávněni neověřený (prázdná) připojení připojit kořenové položky specifické DSA (DSE). Toto je záměrné a dodržet Request pro (Comments) 2251. Uživatelé mohou používat tyto uživatele NULL připojení výčet potenciálně citlivé informace z názvového kontextu domény (NC) pro daný server. To zahrnuje informace o zásadách hesla pro doménu.

Správci mohou pomocí libovolného prohlížeče LDAP k určení, jaké informace lze získat anonymně dotazu jejich servery služby Active Directory. Například Administrators, můžete použít nástroj LDP.EXE, která je umístěna na CD-ROM nástroje podpory systému Windows 2000.

Například uživatelé mohou získat následující informace anonymně pomocí výchozích nastavení systému Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
Tato informace je vrácena z kořenového DSE vyhovíte Request pro (Comments) 2251. Další informace o RFC 2251 naleznete na následujícím webu:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Tyto informace musí být k dispozici všechny neověřovaná připojení vyhovíte RFC.

Však standardně neověřených uživatelů lze získat další informace z pojmenování kontejner domény, který by mohl odhalit citlivé informace, například zásady hesla. Například neověřených uživatelů může získat následující informace:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Chcete-li minimalizovat informace budou zveřejněny přes neověřovaná připojení řadiče domény Windows 2000, můžete povolit nastavení registru RestrictAnonymous s hodnotou 2. Chcete-li to provést, naleznete v článcích uvedených v části "Odkazy". Toto nastavení registru odebere Everyone SID z neověřené sítě token přístupu. Toto nastavení zabrání NULL relace přístupové tokeny výčet kontextu pojmenování domény. Musíte restartovat počítač pro toto nastavení se projeví.

Poznámka: Společnost Microsoft nepodporuje použití RestrictAnonymous s hodnotou 2. Toto nastavení může způsobit vážné problémy, zejména ve smíšených prostředích s klienty starších verzí jako například Windows NT 4.0 a starší. Odkazy na další články o nastavení registru RestrictAnonymous naleznete v "Odkazy".
Microsoft Windows Server 2003 obsahuje ve výchozím nastavení zabezpečení zabránit null základní připojení LDAP z výčtu informace z kontextu pojmenování domény anonymně.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
326690Anonymní operací LDAP služby Active Directory jsou zakázány v řadičích domény Windows Server 2003
Další informace o hodnotě registru RestrictAnonymous získáte klepnutím na následující čísla následujících článcích databáze Microsoft Knowledge Base:
296405Hodnota RestrictAnonymous v registru může porušit vztah důvěryhodnosti s doménou systému Windows 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
246261Použití hodnoty registru RestrictAnonymous v systému Windows 2000
823659Nekompatibilita klienta, služby a nebo aplikace, k níž může dojít po úpravě nastavení zabezpečení a přiřazení uživatelských práv (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)


Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Vlastnosti

ID článku: 837964 - Poslední aktualizace: 5. září 2007 - Revize: 2.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Klíčová slova: 
kbmt kbprb KB837964 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:837964

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com