ปัญหาด้านความปลอดภัย ด้วยการเชื่อมต่อฐาน LDAP เป็น NULL

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 837964 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

ผลิตภัณฑ์ประเมินการรักษาความปลอดภัยของบริษัทอื่นบางอย่างอาจส่งคืนข้อความแจ้งเตือนหลังจากที่สแกนตัวควบคุมโดเมนที่ใช้ Microsoft Windows 2000 ตั้งค่าตัวอย่างเช่น ซอฟต์แวร์ RealSecure ระบบความปลอดภัย Inc. ของอินเทอร์เน็ตอาจสถานะตัวควบคุมโดเมน Windows 2000 กับข้อความแจ้งเตือนความเสี่ยงต่ำและเชื่อมโยงไปยังบทความต่อไปนี้สำหรับข้อมูลเพิ่มเติม:
http://xforce.iss.net/xforce/xfdb/1425

สาเหตุ

บนเซิร์ฟเวอร์ไดเรกทอรีใช้งานอยู่ของ Windows 2000, unauthenticated การเชื่อมต่อ (NULL) จะได้รับอนุญาตให้เชื่อมต่อไปยังรากเฉพาะตัวของการ DSA รายการ (DSE) นี่คือ โดยการออกแบบเพื่อให้สอดคล้องกับการร้องขอสำหรับข้อคิดเห็น (RFC) 2251 ผู้ใช้สามารถใช้ผู้ใช้การเชื่อมต่อเป็น NULL เหล่านี้เพื่อระบุข้อมูลที่สำคัญอาจจากโดเมนบริบทการตั้งชื่อ (NC) สำหรับเซิร์ฟเวอร์นั้น ซึ่งรวมถึงข้อมูลนโยบายรหัสผ่านสำหรับโดเมน

ผู้ดูแลระบบสามารถสอบถามเซิร์ฟเวอร์ Active Directory ของตนเอง โดยใช้เบราว์เซอร์ LDAP ใด ๆ เพื่อตรวจสอบข้อมูลที่สามารถได้รับลับ ตัวอย่างเช่น ผู้ดูแลระบบสามารถใช้เครื่องมือ LDP.EXE ที่อยู่บนซีดีของเครื่องมือสนับสนุน Windows 2000

ตัวอย่างเช่น ผู้ใช้อาจขอข้อมูลลับ โดยใช้การตั้งค่าเริ่มต้น Windows 2000:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
ข้อมูลนี้มีการส่งคืนจากราก DSE ให้สอดคล้องกับการร้องขอสำหรับข้อคิดเห็น (RFC) 2251 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ RFC 2251 แวะไปที่เว็บไซต์ต่อไปนี้:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
ข้อมูลนี้ต้องทำการเชื่อมต่อ unauthenticated ทั้งหมดเพื่อให้สอดคล้องกับ RFC พร้อมใช้งาน

อย่างไรก็ตาม โดยค่าเริ่มต้น ผู้ใช้ unauthenticated สามารถขอรับข้อมูลเพิ่มเติมจากคอนเทนเนอร์ตัวควบคุมชื่อโดเมนที่อาจเปิดเผยข้อมูลที่สำคัญ เช่นนโยบายรหัสผ่าน ตัวอย่างเช่น ผู้ใช้ unauthenticated อาจขอข้อมูลต่อไปนี้:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
เมื่อต้องการลดข้อมูลที่จะถูกเปิดเผยโดยผ่านการเชื่อมต่อ unauthenticated บนตัวควบคุมโดเมน Windows 2000 คุณสามารถเปิดใช้งานการตั้งค่ารีจิสทรี RestrictAnonymous ด้วยค่าของ 2 เมื่อต้องการทำเช่นนี้ ให้ดูที่บทความที่ระบุไว้ในส่วน "อ้างอิง" การตั้งค่ารีจิสทรีนี้ลบ Everyone SID จากโทเค็นการเข้าถึงเครือข่าย unauthenticated การตั้งค่านี้ป้องกันโทเค็นการเข้าถึงเซสชันค่า NULL จาก enumerating บริบทการตั้งชื่อโดเมน คุณต้องรีสตาร์ทเครื่องคอมพิวเตอร์ของคุณสำหรับการตั้งค่านี้จะมีผล

หมายเหตุ:Microsoft ไม่สนับสนุนการใช้ RestrictAnonymous ด้วยค่าของ 2 การตั้งค่านี้อาจทำให้เกิดปัญหาร้ายแรง โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมแบบผสมกับรุ่นก่อนหน้านี้ไคลเอนต์ เช่น Windows NT 4.0 และรุ่นก่อนหน้านี้ See the "References" section for links to more articles about the RestrictAnonymous registry setting.
By default, Microsoft Windows Server 2003 includes security settings that prevent LDAP null base connections from enumerating information from the domain naming context anonymously.

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
326690การดำเนินงาน LDAP แบบไม่ระบุชื่อไปยัง Active Directory ถูกปิดใช้งานตัวควบคุมโดเมน Windows Server 2003
For additional information about the RestrictAnonymous registry value, click the following article numbers to view the articles in the Microsoft Knowledge Base:
296405The "RestrictAnonymous" registry value may break the trust to a Windows 2000 domain
246261วิธีการใช้ค่ารีจิสทรี RestrictAnonymous ใน Windows 2000
823659ความเข้ากันไม่ได้ระหว่างไคลเอ็นต์ บริการและโปรแกรมที่อาจเกิดขึ้นได้เมื่อคุณปรับเปลี่ยนการตั้งค่าความปลอดภัยและการกำหนดสิทธิผู้ใช้


ผลิตภัณฑ์ของบุคคลที่สามที่กล่าวถึงในบทความนี้ ผลิตขึ้นโดยบริษัทที่ไม่ขึ้นอยู่กับ Microsoft Microsoft ไม่มีการรับประกันใดๆ ไม่ว่าโดยนัยหรือรูปแบบอื่นใด เกี่ยวกับประสิทธิภาพหรือความเชื่อถือได้ของผลิตภัณฑ์เหล่านี้

คุณสมบัติ

หมายเลขบทความ (Article ID): 837964 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Keywords: 
kbprb kbmt KB837964 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:837964

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com