LDAP NULL 基本接続でのセキュリティ上の問題

文書翻訳 文書翻訳
文書番号: 837964
すべて展開する | すべて折りたたむ

現象

いくつかサード パーティのセキュリティ評価製品は、Microsoft Windows 2000 ベースのドメイン コント ローラーをスキャンした後、警告メッセージを返します。たとえば、RealSecure のインターネット セキュリティ システム, Inc. のソフトウェアを Windows 2000 ドメイン コント ローラーは、低リスクの警告メッセージと詳細については、次の資料へのリンク フラグが設定可能性があります。
http://xforce.iss.net/xforce/xfdb/1425

原因

Windows 2000 の Active Directory サーバーでは、DSA 固有エントリ (DSE) ルートに接続を認証されていない (NULL) 接続が許可されます。これは、要求のコメント RFC 2251 に準拠するために設計です。ユーザーはそのサーバーのドメイン名前付けコンテキスト (NC) から重要な情報を列挙するのには、これらの NULL 接続ユーザーを使用できます。これにより、ドメインのパスワード ポリシーの情報が含まれます。

管理者は、Active Directory サーバーは LDAP のブラウザーを使用して、どのような情報を匿名で取得できるを決定するを照会できます。たとえば、管理者は、LDP を使用できます。Windows 2000 サポート ツールの CD 上にあるツールを EXE です。

たとえば、ユーザー、次の情報匿名で Windows 2000 の既定の設定を使用して取得できます。
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
この情報は、ルート dse サービス要求のコメント RFC 2251 に準拠するから返されます。RFC 2251 の詳細については、次の Web サイトを参照してください。
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
この情報は、RFC に準拠するすべての認証されていない接続を使用できる必要があります。

ただし、既定では、認証されていないユーザーについて、パスワード ポリシーなどの機密情報を公開できます、ドメインの名前付けコンテナーから取得できます。たとえば、認証されていないユーザーに次の情報を取得できます。
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Windows 2000 ドメイン コント ローラー上の認証されていない接続を通じて公開される情報を最小化するには、RestrictAnonymous のレジストリ設定の値が 2 で有効にできます。これを行うには、「関連情報」に記載されている資料を参照してください。このレジストリ設定は、認証されていないネットワーク アクセス トークンから、Everyone の SID を削除します。この設定は、ドメイン名前付けコンテキストを列挙、NULL セッション アクセス トークンを防ぎます。この設定を有効にするのにはコンピューターを再起動する必要があります。

メモ マイクロソフトでは、RestrictAnonymous 値が 2 の使用はサポートしていません。この設定は Windows NT 4.0 など、以前のバージョン、以前のバージョンのクライアントが混在する環境に特に深刻な問題があります。RestrictAnonymous のレジストリ設定に関するその他の資料へのリンクについては、「関連情報」」を参照してください。
既定では、Microsoft Windows Server 2003 には、ドメイン名前付けコンテキストからの情報を匿名で列挙する LDAP null 基本接続を防止するセキュリティ設定が含まれます。

詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
326690Windows Server 2003 ドメイン コント ローラー上で Active Directory への匿名の LDAP 操作が無効になっています。
RestrictAnonymous レジストリ値の詳細については、マイクロソフト サポート技術記事を表示するのには、次の資料番号をクリックしてください。
296405"RestrictAnonymous"レジストリ値が Windows 2000 ドメインに信頼を中断します。
246261 Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
823659 クライアント、サービス、およびセキュリティの設定を変更し、[ユーザー権利の割り当て時に発生する可能性がありますプログラムの非互換性


この資料に記載サード ・ パーティ製品がマイクロソフトと関連のある会社で製造されています。マイクロソフト、黙示またはそれ以外の場合のパフォーマンスや信頼性これらの製品について負わない。

プロパティ

文書番号: 837964 - 最終更新日: 2011年7月30日 - リビジョン: 4.0
キーワード:?
kbprb kbmt KB837964 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:837964
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com