文章編號: 837964 - 上次校閱: 2007年9月5日 - 版次: 2.2

LDAP NULL 的基底連接的安全性問題

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

徵狀

它們掃描 Microsoft Windows 2000 網域控制站之後,某些協力廠商安全性評估產品可能會傳回警告訊息。 比方說網際網路安全性系統,Inc.RealSecure 軟體可能會標幟含有低風險警告訊息和下列的文件,如需詳細資訊連結的 Windows 2000 網域控制站:
http://xforce.iss.net/xforce/xfdb/1425 (http://xforce.iss.net/xforce/xfdb/1425)
回此頁最上方

發生的原因

在 Windows 2000 啟動目錄伺服器上允許未經驗證 (NULL) 連線連接到根 DSA 特定項目 (DSE)。這是為了符合要求的註解 (RFC) 2251年的設計。使用者可以使用這些 NULL 連線使用者列舉來自網域命名內容 (NC) 可能的敏感性資訊,該伺服器。這包括網域密碼原則的資訊。

系統管理員可以藉由使用 LDAP 的任何瀏覽器來判斷何種資訊可以匿名方式取得查詢他們 Active Directory 的伺服器。例如系統管理員也可以使用位於 [LDP.EXE 工具,在 Windows 2000 支援工具光碟上。

比方說使用者可能取得下列資訊以匿名方式藉由使用 Windows 2000 預設設定: 
ld = ldap_open("localhost", 389);
Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: 
	1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time; 
	1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com; 
	1> defaultNamingContext: DC=Intranet,DC=com; 
	1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com; 
	1> rootDomainNamingContext: DC=Intranet,DC=com; 
	16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 
	2> supportedLDAPVersion: 3; 2; 
	12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; 
	1> highestCommittedUSN: 14787; 
	2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; 
	1> dnsHostName: INTRANET-AD.Intranet.com; 
	1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM; 
	1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791; 
	1> isSynchronized: TRUE; 
	1> isGlobalCatalogReady: TRUE; 
-----------
從根 DSE 遵守要求的註解 (RFC) 2251年傳回此資訊。如需有關 RFC 2251 的詳細資訊,請造訪下列網站:
http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html (http://www.cse.ohio-state.edu/cgi-bin/rfc/rfc2251.html)
這項資訊必須成為可用遵守 RFC 所有未經驗證的連線。

不過,預設情況下,未驗證的使用者可以取得額外資訊可能洩露像是密碼原則的敏感資訊在網域命名容器中。 未驗證的使用者,例如可能取得下列資訊: 
-----------
Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs: 
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
	1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> auditingPolicy: <ldp: Binary blob>; 
	1> creationTime: 126751257238782576; 
	1> dc: Intranet; 
	1> forceLogoff: -9223372036854775808; 
	1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com; 
	1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0]; 
	1> instanceType: 5; 
	1> isCriticalSystemObject: TRUE; 
	1> lockOutObservationWindow: -18000000000; 
	1> lockoutDuration: -18000000000; 
	1> lockoutThreshold: 0; 
	1> maxPwdAge: -36288000000000; 
	1> minPwdAge: 0; 
	1> minPwdLength: 0; 
	1> modifiedCount: 103; 
	1> modifiedCountAtLastProm: 0; 
	1> ms-DS-MachineAccountQuota: 10; 
	1> nextRid: 1006; 
	1> nTMixedDomain: 1; 
	1> distinguishedName: DC=Intranet,DC=com; 
	1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com; 
	3> objectClass: top; domain; domainDNS; 
	1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e; 
	1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A; 
	1> pwdHistoryLength: 1; 
	1> pwdProperties: 0; 
	1> name: Intranet; 
	1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com; 
	1> serverState: 1; 
	1> subRefs: CN=Configuration,DC=Intranet,DC=com; 
	1> systemFlags: -1946157056; 
	1> uASCompat: 1; 
	1> uSNChanged: 11170; 
	1> uSNCreated: 1154; 
	7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com; 
	1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time; 
	1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time; 
-----------
回此頁最上方
會揭發透過未經驗證的連線,Windows 2000 網域控制站上的資訊減到最少,您可以啟用 RestrictAnonymous 登錄設定值為 2。若要執行此動作請參閱 < 參考 > 一節中所列出的文件]。這個登錄設定值從未經驗證的網路存取語彙基元移除 Everyone SID。 此設定可防止 NULL 工作階段存取語彙基元 (Token) 列舉網域命名內容。您必須重新啟動您的電腦,此設定才會生效。

附註 Microsoft 不支援使用 RestrictAnonymous 具有值為 2。此設定可能具有較早版本的用戶端如 Windows NT 4.0 或更早版本的混合環境中特別會導致嚴重的問題。 請參閱 < 參考 > 一節有關 RestrictAnonymous 登錄設定的多個文件的連結。
回此頁最上方
依預設值,Microsoft Windows Server 2003 會包含防止 LDAP null 基底的連線從匿名列舉網域命名內容的資訊的安全性設定。

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
326690? (http://support.microsoft.com/kb/326690/ ) 在 Windows Server 2003 網域控制站上已停用到 Active Directory 的匿名 LDAP 操作
回此頁最上方
取得更多資訊有關 RestrictAnonymous 登錄值按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
296405? (http://support.microsoft.com/kb/296405/ ) RestrictAnonymous 」 登錄值可能會中斷到 Windows 2000 網域的信任
246261? (http://support.microsoft.com/kb/246261/ ) 如何在 Windows 2000 中使用 RestrictAnonymous 登錄值
823659? (http://support.microsoft.com/kb/823659/ ) 用戶端、 服務及修改安全性設定和使用者權限的工作分派時,可能會發生的程式不相容


在本文所討論的協力廠商產品是由 Microsoft 以外的公司所製造的。Microsoft 可讓不以暗示或其他方式,效能或可靠性這些產品的保證。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbmt kbprb KB837964 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:837964? (http://support.microsoft.com/kb/837964/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。