Problemas de segurança com conexões LDAP NULL base

ID do artigo: 837964 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Expandir tudo | Recolher tudo

Sintomas

Alguns produtos de avaliação de segurança de terceiros podem retornar uma mensagem de aviso após eles digitalizar um controlador de domínio com Microsoft Windows 2000. Por exemplo, o software do Internet Security Systems, Inc. RealSecure pode sinalizar um controlador de domínio do Windows 2000 com uma mensagem de aviso de baixo risco e link para o seguinte artigo para obter mais informações:
http://xforce.iss.net/xforce/xfdb/1425
(http://xforce.iss.net/xforce/xfdb/1425)
Voltar para o início | Submeter comentários

Causa

Em servidores do Active Directory do Windows 2000, as conexões de (NULL) não autenticadas são permitidas para se conectar a raiz DSE (DSA específicas-entrada). Isso ocorre por design para atender a solicitação de comentário (RFC) 2251. Os usuários podem usar esses usuários de conexões NULL para enumerar informações potencialmente confidenciais o contexto de nomeação de domínio (NC) para o servidor. Isso inclui informações de diretiva de senha para o domínio.

Os administradores podem consultar seus servidores do Active Directory usando qualquer navegador LDAP para determinar quais informações podem ser obtidas anonimamente. Por exemplo, administradores podem usar a ferramenta LDP.EXE que está localizada no CD de ferramentas de suporte do Windows 2000.

Por exemplo, os usuários podem obter as informações a seguir anonimamente usando as configurações padrão do Windows 2000: 
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
essa informação é retornada da raiz DSE para atender a solicitação de comentário (RFC) 2251. Para obter mais informações sobre RFC 2251, visite o seguinte site:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
(http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html)
Essas informações devem ser disponibilizadas para todas as conexões não autenticadas para obedecer a RFC.

No entanto, por padrão, os usuários não autenticados podem obter informações adicionais do contêiner de nomeação domínio poderia revelar informações confidenciais, como diretivas de senha. Por exemplo, usuários não autenticados podem obter as informações seguintes: 
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Voltar para o início | Submeter comentários
Para minimizar as informações que irão ser divulgadas através de conexões não autenticadas em controladores de domínio do Windows 2000, você pode ativar a configuração do Registro RestrictAnonymous com um valor de 2. Para fazer isso, consulte os artigos listados na seção "Referências". Esta configuração de registro remove o SID todos do token de acesso de rede não autenticados. Esta configuração impede que tokens de acesso de sessão NULL enumerar o contexto de nomeação de domínio. Você deve reiniciar seu computador para essa configuração tenha efeito.

Observação Microsoft não oferece suporte usando RestrictAnonymous com um valor de 2. Essa configuração pode causar sérios problemas, especialmente em ambientes mistos com clientes de versão anterior, como o Windows NT 4.0 e anterior. Consulte a seção "Referências" para obter links para mais artigos sobre a configuração do Registro RestrictAnonymous.
Voltar para o início | Submeter comentários
Por padrão, o Microsoft Windows Server 2003 inclui as configurações de segurança que impedem que conexões de base nulos LDAP não poderão enumerar informações de contexto de nomeação de domínio anonimamente.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
326690
(http://support.microsoft.com/kb/326690/ )
Operações LDAP anônimas para o Active Directory estão desabilitadas nos controladores de domínio do Windows Server 2003
Voltar para o início | Submeter comentários
Para obter informações adicionais sobre o valor do Registro RestrictAnonymous, clique no números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
296405
(http://support.microsoft.com/kb/296405/ )
O valor do Registro "RestrictAnonymous" pode quebrar a relação de confiança a um domínio do Windows 2000
246261
(http://support.microsoft.com/kb/246261/ )
Como usar o valor do Registro RestrictAnonymous no Windows 2000
823659
(http://support.microsoft.com/kb/823659/ )
Cliente, serviço e incompatibilidades do programa que podem ocorrer quando você modificar as configurações de segurança e atribuições de direitos do usuário


Os produtos de terceiros mencionados neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 837964 - Última revisão: quarta-feira, 5 de setembro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbprb KB837964 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837964
(http://support.microsoft.com/kb/837964/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início