Problémy se zabezpečením protokolu LDAP NULL základní připojení

Příznaky

Některé produkty hodnocení zabezpečení jiného výrobce může vrátit zprávu upozornění po jejich kontroly řadiče domény se systémem Microsoft Windows 2000. Například může software Internet Security Systems, Inc. RealSecure příznak řadiče domény systému Windows 2000 s nízkým rizikem upozornění a odkaz na další informace v následujícím článku:

Příčina

U serverů služby Active Directory systému Windows 2000 povoleno připojení ke kořenové DSA specifické položky (DSE) připojení bez ověření (NULL). Jedná se o záměr s účelem v souladu s Request for (Comments) 2251. Uživatelé mohou používat tyto uživatele NULL připojení pro tento server vytvořit výčet potenciálně citlivé informace z domény názvový kontext (NC). To zahrnuje informace o zásadách hesla pro doménu.

Správci mohou pomocí libovolného prohlížeče protokolu LDAP k určení, jaké informace lze získat anonymně dotazu serverů služby Active Directory. Správci mohou pomocí například nástroj LDP. EXE nástroj, který je umístěn na disku CD-ROM systému Windows 2000 support nástroje.

Například uživatelé mohou získat následující informace anonymně s použitím výchozího nastavení systému Windows 2000:
ld = ldap_open("localhost", 389);Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com;
1> defaultNamingContext: DC=Intranet,DC=com;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com;
1> rootDomainNamingContext: DC=Intranet,DC=com;
16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn;
1> highestCommittedUSN: 14787;
2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO;
1> dnsHostName: INTRANET-AD.Intranet.com;
1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM;
1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
-----------

Tato informace je vrácena z kořenové DSE pro dosažení souladu s Request for (Comments) 2251. Další informace o dokumentu RFC 2251 naleznete na následujícím webu:Tyto informace musí být zpřístupněny všechny neověřovaná připojení splňovat specifikaci RFC.

Však standardně neověřených uživatelů můžete získat další informace názvový kontejner domény, který by mohl odhalit citlivé informace, například zásady hesla. Například neověřených uživatelů může získat následující informace:
-----------Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> auditingPolicy: <ldp: Binary blob>;
1> creationTime: 126751257238782576;
1> dc: Intranet;
1> forceLogoff: -9223372036854775808;
1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0];
1> instanceType: 5;
1> isCriticalSystemObject: TRUE;
1> lockOutObservationWindow: -18000000000;
1> lockoutDuration: -18000000000;
1> lockoutThreshold: 0;
1> maxPwdAge: -36288000000000;
1> minPwdAge: 0;
1> minPwdLength: 0;
1> modifiedCount: 103;
1> modifiedCountAtLastProm: 0;
1> ms-DS-MachineAccountQuota: 10;
1> nextRid: 1006;
1> nTMixedDomain: 1;
1> distinguishedName: DC=Intranet,DC=com;
1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
3> objectClass: top; domain; domainDNS;
1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e;
1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A;
1> pwdHistoryLength: 1;
1> pwdProperties: 0;
1> name: Intranet;
1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com;
1> serverState: 1;
1> subRefs: CN=Configuration,DC=Intranet,DC=com;
1> systemFlags: -1946157056;
1> uASCompat: 1;
1> uSNChanged: 11170;
1> uSNCreated: 1154;
7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com;
1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time;
1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time;
-----------
Chcete-li minimalizovat informace, které budou zveřejněny prostřednictvím neověřovaného připojení v řadičích domény systému Windows 2000, můžete povolit nastavení registru RestrictAnonymous s hodnotou 2. Chcete-li to provést, naleznete v článcích, které jsou uvedeny v části "Odkazy". Toto nastavení registru odebere identifikátor SID účtu Everyone z neověřené sítě přístupový token. Toto nastavení zabrání NULL relace přístupové tokeny výčet názvového kontextu domény. Musíte restartovat počítač pro toto nastavení se projeví.

Poznámka: Společnost Microsoft nepodporuje použití RestrictAnonymous s hodnotou 2. Toto nastavení může způsobit vážné problémy, zejména ve smíšených prostředích s klienty starších verzí, například Windows NT 4.0 a starší. Odkazy na další články o nastavení registru RestrictAnonymous naleznete v "Odkazy".
Microsoft Windows Server 2003 obsahuje ve výchozím nastavení zabezpečení, které brání null základní připojení LDAP z anonymní výčet informací z názvového kontextu domény.

Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:

326690 jsou zakázány operace anonymní LDAP do služby Active Directory v řadičích domény systému Windows Server 2003

Další informace o hodnotě registru RestrictAnonymous získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

296405 hodnotu registru "RestrictAnonymous" může porušit vztah důvěryhodnosti k doméně systému Windows 2000

246261 postup použití hodnoty registru RestrictAnonymous v systému Windows 2000

823659 klienta, služby a program nekompatibility, které mohou nastat při úpravě nastavení zabezpečení a přiřazení uživatelských práv



Produkty třetích stran, které tento článek popisuje jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, ohledně výkonu nebo spolehlivosti těchto produktů.

Vlastnosti

ID článku: 837964 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor