LDAP BOş temel bağlantılarla güvenlik konuları

Makale çevirileri Makale çevirileri
Makale numarası: 837964 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Belirtiler

Bunlar, Microsoft Windows 2000 tabanlı etki alanı denetleyicisi taradıktan sonra bazı üçüncü taraf güvenlik değerlendirme ürünleri bir uyarı iletisi döndürebilir. Örneğin, ınternet Security Systems, ınc. RealSecure yazılım, bir uyarı iletisi düşük riskli ve daha fazla bilgi için aşağıdaki makaleye bağlantı içeren bir Windows 2000 etki alanı denetleyicisi bayrak:
http://xforce.iss.net/xforce/xfdb/1425

Neden

Windows 2000 Active Directory sunucularda, kimliği doğrulanmamış (NULL) bağlantıları kök DSE (DSA özgü girişi) bağlanmak için izin verilir. Bu, açıklama isteği (RFC) 2251 uymak amacıyla tasarım gereğidir. Kullanıcılar, bu sunucu için etki alanı adlandırma içeriği (NC) büyük olasılıkla hassas bilgilerin numaralandırmak için bu <a0>NULL</a0> bağlantıları kullanıcılar kullanabilir. Bu, etki alanı için parola ilke bilgilerini içerir.

Yöneticiler, hangi bilgilerin anonim olarak elde edilebilir olmadığını belirlemek için herhangi bir LDAP tarayıcısı kullanarak Active Directory sunucularını sorgulayabilir. Örneğin, Administrators Windows 2000 Destek Araçları CD'SINDE bulunan LDP.EXE aracını kullanabilirsiniz.

Örneğin, kullanıcılar aşağıdaki bilgileri anonim olarak Windows 2000 varsayılan ayarları kullanarak elde:
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
Kökünden DSE açıklama isteği (RFC) 2251 uymak için bu bilgileri gönderilir. RFC 2251 hakkında'daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html
Bu bilgi, RFC ile uyumlu olan tüm kimliği doğrulanmamış bağlantılar için yapılmalıdır.

Ancak, varsayılan olarak, kimliği doğrulanmamış kullanıcılar parola ilkeleri gibi önemli bilgileri açığa etki alanı adlandırma kapsayıcısı'dan ek bilgi edinebilirsiniz. Örneğin, kimliği doğrulanmamış kullanıcılar aşağıdaki bilgileri edinin:
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
Windows 2000 etki alanı denetleyicilerinde, kimliği doğrulanmamış bağlantılar aracılığıyla bildirilen bilgileri en aza indirmek için <a0></a0>, 2 değeri ile RestrictAnonymous kayıt defteri ayarını etkinleştirebilirsiniz. Bunu yapmak için <a0></a0>, "Başvurular" bölümünde listelenen makalelere bakın. Bu kayıt defteri ayarı Everyone SıD'SI, kimliği doğrulanmamış ağ erişim belirteci ' kaldırır. Bu ayar, etki alanı adlandırma içeriği numaralandırılıyor gelen NULL oturum erişim belirteçleri engeller. Bu ayarın etkili olabilmesi bilgisayarınızı yeniden başlatmanız gerekir.

Not Microsoft RestrictAnonymous değerini 2 kullanımını desteklemiyor. Bu ayar, özellikle de karma ortamlarda eski sürümlerdeki istemcilerde gibi Windows NT 4.0 ve önceki sürümlerinde, ciddi sorunlara neden olabilir. RestrictAnonymous kayıt defteri ayarı hakkında daha fazla makalelere bağlantılar için "Başvurular" bölümüne bakın.
Varsayılan olarak, Microsoft Windows Server 2003 etki alanı adlandırma bağlamı bilgilerini anonim olarak numaralandırılıyor alınan LDAP boş temel bağlantıları engelleyen güvenlik ayarlarını içerir.

Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
326690Windows Server 2003 etki alanı denetleyicilerinde Active Directory'ye anonim LDAP işlemlerinin devre dışı bırakılır
RestrictAnonymous kayıt defteri değeri hakkında ek bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
296405"RestrictAnonymous" kayıt defteri değeri bir Windows 2000 etki alanına güveni bozabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
246261Windows 2000'de RestrictAnonymous kayıt defteri değeri nasıl kullanılır
823659Güvenlik ayarları ve kullanıcı hakları atamalarını değiştirdiğinizde oluşabilecek istemci, hizmet ve program uyumsuzlukları (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)


Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft bu ürünlerin performans veya güvenilirliğiyle ilgili hiçbir garanti vermemektedir.

Özellikler

Makale numarası: 837964 - Last Review: 5 Eylül 2007 Çarşamba - Gözden geçirme: 2.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Anahtar Kelimeler: 
kbmt kbprb KB837964 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:837964

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com