LDAP NULL 기본 연결 보안 문제

기술 자료 번역 기술 자료 번역
기술 자료: 837964 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

Microsoft Windows 2000 기반 도메인 컨트롤러 검색 후 일부 타사 보안 평가 제품은 경고 메시지를 반환할 수 있습니다. 예를 들어, 인터넷 보안 Systems, Inc. RealSecure 소프트웨어 위험이 적은 경고 메시지 및 자세한 내용은 다음 링크를 사용하여 Windows 2000 도메인 컨트롤러를 플래그가 있습니다.
http://xforce.iss.net/xforce/xfdb/1425

원인

Windows 2000 Active Directory 서버에 루트 DSE DSA 관련 항목 연결할 인증되지 않은 (NULL) 연결은 사용할 수 있습니다. 대한 설명 (RFC) 2251 요청 준수하기 위해 의도적으로 설계된 것입니다. 사용자가 이러한 NULL 연결 사용자는 해당 서버에 대한 도메인 명명 컨텍스트 (NC) 잠재적으로 중요한 정보를 열거할 수 있습니다. 이 도메인에 대한 암호 정책 정보가 포함됩니다.

관리자는 어떤 정보를 얻을 수 익명으로 확인하려면 모든 LDAP 브라우저를 사용하여 Active Directory 서버를 쿼리할 수 있습니다. 예를 들어, 관리자가 Windows 2000 지원 도구를 CD에 있는 LDP.EXE 도구를 사용할 수 있습니다.

예를 들어, 사용자는 다음 정보를 익명으로 Windows 2000 기본 설정을 사용하여 얻을 수 있습니다:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
루트 DSE 요청에 대한 설명 (RFC) 2251 준수하기 위해 이 정보가 반환됩니다. RFC 2251에 대한 자세한 내용은 다음 웹 사이트를 방문하십시오.
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
이 정보는 사용하여 RFC 따르지 않는 모든 인증되지 않은 연결에 사용할 수 있게 합니다.

그러나 기본적으로 인증되지 않은 사용자가 추가 정보를 암호 정책 같은 중요한 정보를 노출시킬 수 있는 도메인 명명 컨테이너에서 얻을 수 있습니다. 인증되지 않은 사용자가 다음 정보를 얻을 수 있습니다 예:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
값이 2 인 RestrictAnonymous 레지스트리 설정을 사용하면 Windows 2000 도메인 컨트롤러에서 인증되지 않은 연결을 통해 공개됩니다 정보를 최소화할 수 있습니다. 이렇게 하려면 "참조" 절에 나열된 문서를 참조하십시오. 이 레지스트리 설정은 인증되지 않은 네트워크 액세스 토큰에서 Everyone SID를 제거합니다. 이 설정을 도메인 명명 컨텍스트 열거하는 NULL 세션 액세스 토큰이 없습니다. 이 설정 적용하려면 컴퓨터를 다시 시작해야 합니다.

참고 값이 2 인 RestrictAnonymous 사용하여 지원되지 않습니다. 이 설정은 이전 버전 클라이언트와의 예: Windows NT 4.0 및 이전 혼합 환경에서 특히 심각한 문제가 발생할 수 있습니다. RestrictAnonymous 레지스트리 설정에 대한 자세한 문서의 링크가 "참조" 절을 참조하십시오.
기본적으로 Microsoft Windows Server 2003 도메인 명명 컨텍스트 정보를 익명으로 열거하는 LDAP null 기본 연결이 않도록 보안 설정이 포함됩니다.

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
326690Windows Server 2003 도메인 컨트롤러에서 Active Directory 익명 LDAP 작업에 사용할 수 없습니다.
RestrictAnonymous 레지스트리 값에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
296405"RestrictAnonymous" 레지스트리 값을 Windows 2000 도메인에 트러스트가 중단될 수 있습니다.
246261Windows 2000에서 RestrictAnonymous 레지스트리 값을 사용하는 방법
823659클라이언트, 서비스 및 사용자 권한 할당 및 보안 설정을 수정할 때 발생할 수 있는 프로그램 비호환성


이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft 는 이러한 제품의 성능 및 신뢰성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.

속성

기술 자료: 837964 - 마지막 검토: 2007년 9월 5일 수요일 - 수정: 2.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
키워드:?
kbmt kbprb KB837964 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com