Problemi di protezione con connessioni di base LDAP NULL

Traduzione articoli Traduzione articoli
Identificativo articolo: 837964 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Alcuni prodotti di valutazione di protezione di terze parti potrebbero restituire un messaggio di avviso dopo che scansione di un controller di dominio di Microsoft Windows 2000. Ad esempio, il software RealSecure di Internet Security Systems, Inc. potrebbe contrassegnare un controller di dominio Windows 2000 con un messaggio di avviso a basso rischio e il collegamento al seguente articolo per ulteriori informazioni:
http://xforce.iss.net/xforce/xfdb/1425

Cause

In Active Directory di Windows 2000 Server, sono consentite connettersi alla directory principale DSE (DSA specifiche voci) le connessioni (NULL) non autenticate. Questo legato alla progettazione in eccesso con Request for Comment (RFC) 2251. Gli utenti possono utilizzare questi utenti di connessioni NULL per enumerare informazioni potenzialmente riservate dal contesto di denominazione di dominio (NC) per tale server. Include informazioni di criterio password per il dominio.

Gli amministratori possono eseguire una query dei server di Active Directory utilizzando qualsiasi browser LDAP per determinare quali informazioni è possibile ottenere in modo anonimo. Ad esempio, gli amministratori possono utilizzarlo LDP.exe che si trova sul CD di strumenti di supporto di Windows 2000.

Ad esempio, gli utenti potrebbero ottenere le seguenti informazioni in modo anonimo utilizzando le impostazioni predefinite di Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
queste informazioni vengono restituite dalla directory principale DSE in conformità alle Request for Comment (RFC) 2251. Per ulteriori informazioni sulle RFC 2251, visitare il seguente sito Web:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Necessario apportare queste informazioni disponibili per tutte le connessioni non autenticate in conformità con la richiesta.

Tuttavia, per impostazione predefinita, gli utenti non autenticati possono ottenere ulteriori informazioni dal contenitore di denominazione di dominio che potrebbe rivelare informazioni riservate, ad esempio i criteri password. Ad esempio, gli utenti non autenticati potrebbero disporre le seguenti informazioni:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Per ridurre al minimo le informazioni che verranno essere divulgate tramite connessioni non autenticate sul controller di dominio di Windows 2000, è possibile attivare l'impostazione del Registro di sistema RestrictAnonymous con un valore pari a 2. Per effettuare questa operazione, vedere gli articoli elencati nella sezione "Riferimenti". Questa impostazione del Registro di sistema consente di rimuove il SID Everyone dal token di accesso di rete non autenticati. Questa impostazione impedisce l'enumerazione del contesto dei nomi di dominio di token di accesso di sessione NULL. È necessario riavviare il computer rendere effettiva l'impostazione.

Nota Non è supportata utilizzando RestrictAnonymous con un valore di 2. Questa impostazione può causare gravi problemi, soprattutto in ambienti misti con client di versioni precedenti, ad esempio Windows NT 4.0 e versioni precedenti. Vedere la sezione "Riferimenti" per i collegamenti a ulteriori articoli sull'impostazione del Registro di sistema RestrictAnonymous.
Per impostazione predefinita, Microsoft Windows Server 2003 include le impostazioni di protezione che impediscono di null connessioni base LDAP di enumerare le informazioni dal contesto dei nomi di dominio in modo anonimo.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
326690Le operazioni LDAP anonime in Active Directory disattivate nei controller di dominio di Windows Server 2003
Per ulteriori informazioni sul valore del Registro di sistema RestrictAnonymous, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
296405Il valore di registro di sistema "RestrictAnonymous" possibile interruzione della relazione di trust a un dominio di Windows 2000
246261Come utilizzare il valore del Registro di sistema RestrictAnonymous in Windows 2000
823659Client, servizio e le incompatibilità di programma che possono verificarsi quando si modificano le impostazioni di protezione e le assegnazioni di diritti utente


I prodotti di terze parti che in questo articolo viene descritto sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia, implicita o di altra natura, relativa alle prestazioni o all'affidabilità di questi prodotti.

Proprietà

Identificativo articolo: 837964 - Ultima modifica: mercoledì 5 settembre 2007 - Revisione: 2.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Chiavi: 
kbmt kbprb KB837964 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 837964
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com