Sicherheitsprobleme mit LDAP NULL Basis Verbindungen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 837964 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Einige Produkte von Drittanbietern Sicherheit Bewertung möglicherweise eine Warnmeldung zurück, nachdem Sie einen Microsoft Windows 2000-basierten Domänencontroller überprüfen. Internet Security Systems, Inc. RealSecure Software kann z. B. einen Windows 2000-Domänencontroller mit geringem Risiko Warnmeldung und Link, um weitere Informationen im folgenden Artikel gekennzeichnet:
http://xforce.iss.net/xforce/xfdb/1425

Ursache

Auf Windows 2000 Active Directory-Servern dürfen nicht authentifizierte (NULL) Verbindungen herstellen Stamm-DSE (DSA-spezifischen Eintrag). Dies ist gewollt um Request for Comment (RFC) 2251 entsprechen. Benutzer können diese NULL Verbindungen Benutzer potenziell vertrauliche Informationen im Domänennamenskontext (NC) für diesen Server auflisten. Dies umfasst Kennwort Richtlinieninformationen für die Domäne.

Administratoren können mithilfe von jedem LDAP-Browser bestimmen, welche Informationen anonym abgerufen werden kann Ihre Active Directory-Server Abfragen. Beispielsweise können Administratoren das Tool Ldp.exe, das befindet verwenden, auf der Windows 2000 Support Tools-CD.

Benutzer könnten erhalten beispielsweise die folgende Informationen anonym mit Windows 2000-Standardeinstellungen:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
diese Informationen von der Stamm-DSE Request for Comment (RFC) 2251 einhalten zurückgegeben wird. Weitere Informationen zu RFC 2251 der folgenden-Website:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Diese Informationen muss alle nicht authentifizierten Verbindungen zum Einhalten der RFC verfügbar gemacht werden.

Jedoch können standardmäßig nicht authentifizierte Benutzer zusätzliche Informationen von den Namenscontainer Domäne abrufen, die vertraulichen Informationen, wie z. B. Kennwortrichtlinien bereitstellen konnte. Nicht authentifizierte Benutzer könnte z. B. die folgende Informationen erhalten:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Um die Informationen zu minimieren, die über nicht authentifizierte Verbindungen auf Windows 2000-Domänencontroller weitergegeben werden, können Sie die Registrierungseinstellung RestrictAnonymous mit einem Wert von 2 aktivieren. Gehen Sie hierzu finden Sie Artikeln, die im Abschnitt "Informationsquellen" aufgeführt sind. Diese Registrierungseinstellung wird die SID Jeder aus dem Netzwerk nicht authentifizierten Zugriffstoken entfernt. Diese Einstellung wird die auflisten im Domänennamenskontext in NULL-Sitzung Zugriffstoken verhindert. Sie müssen Ihren Computer für diese Einstellung wirksam werden neu starten.

Hinweis: Der Wert 2 RestrictAnonymous mit unterstützt Microsoft nicht. Diese Einstellung kann ernsthafte Probleme vor allem in gemischten Umgebungen mit Clients früherer Versionen wie Windows NT 4.0 und früher verursachen. Finden Sie im Abschnitt "Informationsquellen" für Verknüpfungen zu Weitere Artikel über die Registrierungseinstellung ? RestrictAnonymous.
Microsoft Windows Server 2003 enthält standardmäßig die Sicherheitseinstellungen, die verhindern, LDAP null base Verbindungen dass von Informationen aus den Domänennamenskontext anonym auflisten.

Weitere Informationen finden Sie die folgende KB-Artikelnummer:
326690Anonyme LDAP-Operationen in Active Directory sind auf Windows Server 2003-Domänencontrollern deaktiviert.
Weitere Informationen zu den Registrierungswert "RestrictAnonymous" finden Sie folgende Artikel der Microsoft Knowledge Base:
296405Der Registrierungswert "RestrictAnonymous" kann die Vertrauensstellung zu einer Windows 2000-Domäne aufheben.
246261Wie Sie den Registrierungswert "RestrictAnonymous" in Windows 2000 verwenden
823659Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit Clients, Diensten und Programmen auftreten


Die in diesem Artikel erwähnten Fremdanbieterprodukte werden von einem Lieferanten hergestellt, der von Microsoft unabhängig ist. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Eigenschaften

Artikel-ID: 837964 - Geändert am: Mittwoch, 5. September 2007 - Version: 2.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Keywords: 
kbmt kbprb KB837964 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 837964
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com