Вопросы безопасности подключений LDAP пустой базовый

Переводы статьи Переводы статьи
Код статьи: 837964 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Некоторые продукты безопасности сторонних оценки могут возвращать предупреждающее сообщение, отсканировав контроллера домена под управлением Microsoft Windows 2000. Например программное обеспечение безопасности Интернета Systems, Inc. RealSecure может флаг контроллера домена Windows 2000 с низким риском предупреждающее сообщение и ссылку для получения дополнительных сведений в статье:
http://xforce.iss.NET/xforce/xfdb/1425

Причина

На серверах Windows 2000 Active Directory подключений без проверки подлинности (NULL) разрешается подключаться к корневой DSA определенной записи (DSE). Это сделано намеренно, чтобы соответствовать требованиям запроса для комментариев RFC 2251. Пользователи могут использовать эти подключения пользователей NULL перечислить потенциально конфиденциальные сведения из контекста именования (NC) домена для этого сервера. Сюда входят сведения о политике паролей домена.

Администраторы могут запрашивать свои серверы Active Directory с помощью любого обозревателя LDAP для определения, какую информацию анонимно. Например Администраторы могут использовать LDP.EXE инструмент, который находится на компакт-диске средств поддержки Windows 2000.

Например пользователям может получать следующую информацию анонимно с использованием параметров по умолчанию Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
Эти сведения возвращаются из корневого каталога DSE в соответствии с запросом для комментариев RFC 2251. Для получения дополнительных сведений о документе RFC 2251 посетите следующий веб-узел:
http://www.CSE.ohio-State.edu/CGI-bin/RFC/rfc2251.HTML
Эти сведения должны быть доступны для всех подключений, не прошедших проверку подлинности в соответствии с RFC.

Тем не менее по умолчанию, не прошедшие проверку подлинности пользователи могут получить дополнительные сведения из контейнера именования домена, который может раскрывать конфиденциальные сведения, такие как политики паролей. Например не прошедшим проверку пользователям может получить следующие сведения:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Чтобы свести к минимуму информацию, которая будет объявлено через подключения без проверки подлинности на контроллерах домена Windows 2000, можно включить параметр реестра RestrictAnonymous со значением, равным 2. Чтобы это сделать, содержатся в статьях, перечисленных в разделе «Ссылки». Этот параметр реестра удаляется идентификатор безопасности «все» из маркера доступа без проверки подлинности сети. Этот параметр запрещает маркера доступа сеанса NULL перечисление контекста именования домена. Необходимо перезагрузить компьютер для этого параметра вступили в силу.

Примечание Microsoft не поддерживает использование параметра RestrictAnonymous со значением, равным 2. Этот параметр может привести к серьезным проблемам, особенно в смешанных средах с ранними версиями клиентов, таких как Windows NT 4.0 и более ранних версий. Ссылки на другие статьи, посвященные параметра реестра RestrictAnonymous в разделе «Ссылки».
По умолчанию Microsoft Windows Server 2003 включает в себя настройки безопасности, предотвращающие null базового подключения LDAP анонимное перечисление сведений из контекста именования домена.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
326690Отключено анонимных операций LDAP для Active Directory на контроллерах домена Windows Server 2003
Для получения дополнительных сведений о параметре RestrictAnonymous щелкните следующие номера статей базы знаний Майкрософт:
296405Значение реестра «restrictanonymous» может нарушает доверительные отношения с доменом Windows 2000
246261 Как использовать параметр реестра RestrictAnonymous в Windows 2000
823659 Клиент, службу и проблемы с совместимостью программ, которые могут возникнуть при изменении параметров безопасности и назначений прав пользователя


Продукты независимых производителей, обсуждаемые в данной статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает явных или подразумеваемых, относительно производительности или надежности этих продуктов.

Свойства

Код статьи: 837964 - Последний отзыв: 16 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbprb kbmt KB837964 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:837964

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com