Problemas de segurança com ligações de base LDAP NULL

Traduções de Artigos Traduções de Artigos
Artigo: 837964 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Alguns produtos de avaliação de segurança de terceiros podem devolver uma mensagem de aviso depois de verificar um controlador de domínio baseado no Microsoft Windows 2000. Por exemplo, o software do Internet Security Systems, Inc. RealSecure pode sinalizar um controlador de domínio Windows 2000 com uma mensagem de aviso de baixo risco e uma hiperligação para o artigo seguinte para obter mais informações:
http://xforce.iss.net/xforce/xfdb/1425

Causa

Nos servidores do Active Directory do Windows 2000, ligações (NULL) não autenticadas têm permissão para ligar à raiz DSE (DSA específicas entrada). Isto ocorre por predefinição para conformidade com pedido de comentários (RFC) 2251. Os utilizadores podem utilizar estes utilizadores de ligações NULL para enumerar informações potencialmente importantes do contexto de atribuição de nomes do domínio (NC) para esse servidor. Isto inclui informações de política de palavra-passe para o domínio.

Os administradores podem consultar os servidores do Active Directory utilizando qualquer browser LDAP para determinar quais as informações que podem ser obtidas anonimamente. Por exemplo, administradores podem utilizar a ferramenta LDP.EXE que está localizada no CD de ferramentas de suporte do Windows 2000.

Por exemplo, os utilizadores podem obter as seguintes informações anonimamente utilizando predefinições do Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
esta informação é devolvida de raiz DSE em conformidade com o pedido de comentários (RFC) 2251. Para obter mais informações sobre RFC 2251, visite o seguinte Web site:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Estas informações devem ser feitas disponíveis para todas as ligações não autenticadas para conformidade com o RFC.

No entanto, por predefinição, os utilizadores não autenticados podem de obter informações adicionais a partir do contentor de atribuição de nomes de domínio pode revelar informações sensíveis, tais como políticas de palavra-passe. Por exemplo, os utilizadores não autenticados poderão obter as seguintes informações:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Para minimizar as informações que irão ser divulgadas através de ligações não autenticadas em controladores de domínio do Windows 2000, pode activar a definição de registo RestrictAnonymous com um valor de 2. Para efectuar este procedimento, consulte os artigos listados na secção "Referências". Esta definição de registo remove o SID todos (Everyone) a partir do token de acesso não-autenticados da rede. Esta definição impede que tokens de acesso de sessão NULL enumerar o contexto de atribuição de nomes de domínio. Tem de reiniciar o computador para esta definição tenha efeito.

Nota Microsoft não suporta a utilização RestrictAnonymous com um valor de 2. Esta definição pode provocar problemas graves, especialmente em ambientes mistos com clientes de versões anteriores como o Windows NT 4.0 e anteriores. Consulte a secção "Referências" para obter hiperligações para obter mais artigos sobre a definição de registo RestrictAnonymous.
Por predefinição, o Microsoft Windows Server 2003 inclui definições de segurança que impedem LDAP nulo ligações base de enumeração anonimamente informações de contexto de atribuição de nomes do domínio.

Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
326690Anónimas operações LDAP no Active Directory estão desactivadas em controladores de domínio do Windows Server 2003
Para obter informações adicionais sobre o valor do registo RestrictAnonymous, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
296405O valor do registo "RestrictAnonymous" pode dividir a fidedignidade para um domínio do Windows 2000
246261Como utilizar o valor do registo RestrictAnonymous no Windows 2000
823659Cliente, serviço e programa incompatibilidades que poderão ocorrer quando modifica definições de segurança e atribuições de direitos de utilizador


Os produtos de outros fabricantes explicado neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos.

Propriedades

Artigo: 837964 - Última revisão: 5 de setembro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbprb KB837964 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837964

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com