مشاكل الأمان مع الاتصالات الأساسية LDAP NULL

الأعراض

قد ترجع بعض منتجات تقييم خارجية رسالة تحذير بعد أن يقوموا بمسح وحدة تحكم مجال المستندة إلى نظام التشغيل Microsoft Windows 2000. على سبيل المثال، برامج أنظمة أمان الإنترنت، شركة ريلسيكوري قد وضع علامة على وحدة تحكم مجال Windows 2000 مع رسالة تحذير منخفضة المخاطر وارتباط بالمقالة التالية لمزيد من المعلومات:

السبب

على ملقمات Windows 2000 Active Directory، يتم السماح غير مصادقة اتصالات (NULL) تتصل بجذر الإدخال الخاصة ببدل الإقامة اليومي (DSE). وهذا حسب التصميم من أجل الامتثال لطلب التعليقات (RFC) 2251. يمكن للمستخدمين استخدام هؤلاء المستخدمين اتصالات NULL تعداد المعلومات الحساسة من سياق تسمية المجال (NC) لهذا الملقم. ويتضمن ذلك معلومات نهج كلمة المرور للمجال.

المسؤولين الاستعلام ملقماتهم Active Directory باستخدام أي مستعرض LDAP لتحديد ما يمكن الحصول على المعلومات كمجهول. على سبيل المثال، استخدام مسؤولي الحزب الديمقراطي الليبرالي. أداة EXE الموجود على القرص المضغوط أدوات دعم Windows 2000.

على سبيل المثال، المستخدمين قد الحصول على المعلومات التالية مجهولة باستخدام الإعدادات الافتراضية في Windows 2000:
ld = ldap_open("localhost", 389);Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com;
1> defaultNamingContext: DC=Intranet,DC=com;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com;
1> rootDomainNamingContext: DC=Intranet,DC=com;
16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn;
1> highestCommittedUSN: 14787;
2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO;
1> dnsHostName: INTRANET-AD.Intranet.com;
1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM;
1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
-----------

يتم إرجاع هذه المعلومات من الجذر DSE الامتثال لطلب التعليقات (RFC) 2251. لمزيد من المعلومات حول RFC 2251، قم بزيارة موقع ويب التالي:هذه المعلومات يجب أن تكون متوفرة لكافة الاتصالات غير مصادق بالتوافق مع RFC.

ومع ذلك، بشكل افتراضي، المستخدمون غير المصادقين يمكن الحصول على معلومات إضافية من حاوية أسماء المجالات التي يمكن أن تكشف عن معلومات حساسة، مثل نهج كلمة المرور. على سبيل المثال، المستخدمين غير المصادقين يمكن الحصول على المعلومات التالية:
-----------Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> auditingPolicy: <ldp: Binary blob>;
1> creationTime: 126751257238782576;
1> dc: Intranet;
1> forceLogoff: -9223372036854775808;
1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0];
1> instanceType: 5;
1> isCriticalSystemObject: TRUE;
1> lockOutObservationWindow: -18000000000;
1> lockoutDuration: -18000000000;
1> lockoutThreshold: 0;
1> maxPwdAge: -36288000000000;
1> minPwdAge: 0;
1> minPwdLength: 0;
1> modifiedCount: 103;
1> modifiedCountAtLastProm: 0;
1> ms-DS-MachineAccountQuota: 10;
1> nextRid: 1006;
1> nTMixedDomain: 1;
1> distinguishedName: DC=Intranet,DC=com;
1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
3> objectClass: top; domain; domainDNS;
1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e;
1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A;
1> pwdHistoryLength: 1;
1> pwdProperties: 0;
1> name: Intranet;
1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com;
1> serverState: 1;
1> subRefs: CN=Configuration,DC=Intranet,DC=com;
1> systemFlags: -1946157056;
1> uASCompat: 1;
1> uSNChanged: 11170;
1> uSNCreated: 1154;
7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com;
1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time;
1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time;
-----------
وللحد من المعلومات التي سوف يتم الكشف عنها من خلال الاتصالات غير مصادق على وحدات تحكم مجال Windows 2000، يمكنك تمكين إعداد التسجيل RestrictAnonymous مع قيمة 2. للقيام بذلك، راجع المقالات المسردة في قسم "المراجع". يزيل هذا الإعداد التسجيل Everyone SID من الرمز المميز للوصول إلى الشبكة غير المصادقين. يمنع هذا الإعداد رموز الوصول جلسة عمل فارغة من تعداد سياق تسمية المجال. يجب إعادة تشغيل جهاز الكمبيوتر الخاص بك لهذا الإعداد ساري المفعول.

ملاحظة: لا تدعم Microsoft استخدام RestrictAnonymous مع قيمة 2. قد هذا الإعداد إلى حدوث مشكلات خطيرة، لا سيما في البيئات المختلطة مع عملاء الإصدار السابق مثل Windows NT 4.0 والإصدارات السابقة. راجع قسم "المراجع" لارتباطات لمزيد من المقالات حول إعداد التسجيل RestrictAnonymous.
بشكل افتراضي، يتضمن نظام التشغيل Microsoft Windows Server 2003 إعدادات الأمان التي تمنع الاتصالات الأساسية null LDAP من تعداد المعلومات من سياق تسمية المجال مجهولة.

للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":

326690 يتم تعطيل عمليات LDAP المجهول إلى "Active Directory" على وحدات التحكم بالمجال Windows Server 2003

لمزيد من المعلومات حول قيمة التسجيل RestrictAnonymous، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

296405 قيمة التسجيل "RestrictAnonymous" قد قطع الثقة بمجال Windows 2000

246261 كيفية استخدام قيمة التسجيل RestrictAnonymous في نظام التشغيل Windows 2000

823659 عميل الخدمة وحالات عدم توافق البرامج التي قد تحدث عندما تقوم بتعديل إعدادات الأمان وتعيينات حقوق المستخدم



منتجات الجهات الأخرى المذكورة في هذه المقالة تابعة لشركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، سواء ضمنياً أو صريحا، بخصوص أداء هذه المنتجات أو كفائتها.

خصائص

رقم الموضوع: 837964 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات