Problemas de seguridad con las conexiones LDAP NULL de base

Seleccione idioma Seleccione idioma
Id. de artículo: 837964 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Algunos productos de evaluación de seguridad de terceros pueden devolver un mensaje de advertencia después de buscar un controlador de dominio basado en Microsoft Windows 2000. Por ejemplo, el software RealSecure de Internet Security Systems, Inc. puede marcar un controlador de dominio de Windows 2000 con un mensaje de advertencia de bajo riesgo y el vínculo para el artículo siguiente para obtener más información:
http://xforce.iss.net/xforce/xfdb/1425

Causa

En los servidores de Active Directory de Windows 2000, se permite conectarse a raíz entrada DSA específica (DSE) conexiones (NULL) no autenticadas. Esto es así por diseño para cumplir con la solicitud de comentarios (RFC) 2251. Los usuarios pueden utilizar estos usuarios de conexiones de NULL para enumerar información potencialmente confidencial del contexto de nomenclatura de dominio (CN) para ese servidor. Esto incluye información de directiva de contraseña para el dominio.

Los administradores pueden consultar sus servidores de Active Directory mediante cualquier explorador LDAP para determinar qué información puede obtenerse anónimamente. Por ejemplo, los administradores pueden utilizar la herramienta LDP.exe que se encuentra en el CD de herramientas de soporte técnico de Windows 2000.

Por ejemplo, los usuarios pueden obtener la siguiente información anónima con configuración predeterminada de Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
esta información se devuelve desde la raíz DSE para cumplir con la solicitud de comentarios (RFC) 2251. Para obtener más información acerca de RFC 2251, visite el siguiente sitio Web:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Esta información debe estar disponible para todas las conexiones no autenticadas a cumplir con la solicitud.

Sin embargo, de forma predeterminada, los usuarios no autenticados pueden obtener información adicional del contenedor de nomenclatura de dominio podría revelar información confidencial, como las directivas de contraseña. Por ejemplo, los usuarios no autenticados podrían obtener la siguiente información:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Para minimizar la información que revelar mediante conexiones no autenticadas en controladores de dominio de Windows 2000, puede habilitar a la configuración de registro RestrictAnonymous con un valor de 2. Para ello, vea los artículos que aparecen en la sección "Referencias". Esta configuración de registro quita al SID todos del testigo de acceso de red no autenticados. Esta configuración impide que tokens de acceso de sesión NULL enumerar el contexto de nomenclatura de dominio. Debe reiniciar el equipo para que surta efecto esta configuración.

Nota Microsoft no admite el uso RestrictAnonymous con un valor de 2. Esta configuración puede causar serios problemas, especialmente en entornos mixtos con clientes de versión anterior como Windows NT 4.0 y anteriores. Consulte la sección "Referencias" para obtener vínculos a más artículos acerca de la configuración de registro RestrictAnonymous.
De forma predeterminada, Microsoft Windows Server 2003 incluye la configuración de seguridad que impedir LDAP nulos base conexiones enumerar información desde el contexto de nomenclatura de dominio de forma anónima.

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
326690Las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio de Windows Server 2003
Para obtener información adicional acerca del valor RestrictAnonymous del registro, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
296405El valor "RestrictAnonymous" del Reistro puede romper la confianza en un entorno de dominio mixto
246261Cómo utilizar el valor del Registro RestrictAnonymous en Windows 2000
823659Problemas de compatibilidad que pueden producirse entre clientes, servicios y programas al modificar la configuración de seguridad y la asignación de derechos de usuario


Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Propiedades

Id. de artículo: 837964 - Última revisión: miércoles, 5 de septiembre de 2007 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbmt kbprb KB837964 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 837964

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com