Problèmes de sécurité des connexions de base LDAP NULL

Traductions disponibles Traductions disponibles
Numéro d'article: 837964 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Certains produits d'évaluation de sécurité tierce partie peuvent renvoyer un message d'avertissement après leur analyse d'un contrôleur de domaine Windows 2000. Par exemple, le logiciel Internet Security Systems, Inc. RealSecure peut marque un contrôleur de domaine Windows 2000 avec un message d'avertissement risque faible et un lien vers l'article suivant pour plus d'informations :
http://xforce.iss.net/xforce/xfdb/1425

Cause

Sur les serveurs Windows 2000 Active Directory, les connexions non authentifiées (NULL) sont autorisées à se connecter à racine entrée spécifique de la DSA (DSE). Ce comportement est par la conception à conformes aux commentaires RFC (Request for) 2251. Les utilisateurs peuvent utiliser ces utilisateurs de connexions NULL pour énumérer les informations potentiellement sensibles du contexte de nommage de domaine (NC) pour ce serveur. Cela inclut des informations de stratégie mot de passe pour le domaine.

Les administrateurs peuvent demander leurs serveurs Active Directory en utilisant n'importe quel navigateur LDAP pour déterminer quelles informations peuvent être obtenues anonyme. Par exemple, les administrateurs peuvent utiliser l'outil LDP.EXE qui se trouve sur le CD-ROM d'outils de support Windows 2000.

Par exemple, les utilisateurs peuvent obtenir les informations suivantes anonyme à l'aide paramètres par défaut de Windows 2000 :
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
Ces informations sont renvoyées à partir de la racine DSE pour se conformer aux commentaires RFC (Request for) 2251. Pour plus d'informations sur la RFC 2251, reportez-vous au site Web suivant :
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Ces informations doivent être effectuées disponibles pour toutes les connexions non authentifiées pour se conformer à la RFC.

Toutefois, par défaut, les utilisateurs non authentifiés peuvent obtenir des informations supplémentaires à partir du conteneur de dénomination de domaine peut révéler des informations confidentielles, telles que les stratégies de mot de passe. Par exemple, les utilisateurs non authentifiés peuvent obtenir les informations suivantes : base Expanding
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Pour limiter les informations qui va être transmises via des connexions non authentifiées sur les contrôleurs de domaine Windows 2000, vous pouvez activer le paramètre de Registre RestrictAnonymous avec la valeur 2. Pour ce faire, consultez les articles qui sont répertoriés dans la section « Références ». Ce paramètre de Registre supprime le SID de tout le monde le jeton d'accès réseau non authentifiés. Ce paramètre empêche jetons d'accès session NULL d'énumération le contexte de nommage de domaine. Vous devez redémarrer votre ordinateur pour que ce paramètre prenne effet.

note Microsoft ne prend pas en charge l'utilisation de RestrictAnonymous avec une valeur de 2. Ce paramètre peut provoquer des problèmes sérieuses, particulièrement dans les environnements mixtes avec version antérieure de clients tels que Windows NT 4.0 et antérieure. Reportez-vous à la section « Références » pour les liens vers plus d'articles sur le paramètre de Registre RestrictAnonymous.
Par défaut, Microsoft Windows Server 2003 inclut les paramètres de sécurité qui empêchent les connexions de base nulles LDAP à partir de l'énumération des informations du contexte de nommage de domaine anonyme.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
326690 Les opérations LDAP anonymes vers Active Directory sont désactivées sur les contrôleurs de domaine Windows Server 2003
Pour plus d'informations sur la valeur de Registre RestrictAnonymous, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
296405 La valeur de Registre "RestrictAnonymous" peut rompre l'approbation à un domaine Windows 2000
246261 Comment utiliser la valeur de Registre RestrictAnonymous dans Windows 2000
823659 Client, le service et les incompatibilités de programme qui peuvent se produire lorsque vous modifiez des paramètres de sécurité et l'utilisateur des attributions des droits


Les produits tiers Cet article décrit sont mentionnés par des sociétés indépendantes de Microsoft. Microsoft garantit pas, ou implicite, concernant les performances ou la fiabilité de ces produits.

Propriétés

Numéro d'article: 837964 - Dernière mise à jour: mercredi 5 septembre 2007 - Version: 2.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Mots-clés : 
kbmt kbprb KB837964 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 837964
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com