Sicherheitsprobleme mit NULL LDAP-Basis

Problembeschreibung

Einige Drittanbieter Bewertung Produkte möglicherweise eine Warnung zurück, nachdem sie Microsoft Windows 2000-basierten Domänencontroller überprüfen. Internet Security Systems, Inc. RealSecure Software kann z. B. einen Windows 2000-Domänencontroller mit geringem Risiko Warnung Link zu folgendem Artikel Weitere Informationen gekennzeichnet:

Ursache

Auf Windows 2000 Active Directory-Server dürfen nicht authentifizierten (NULL) Anschlüsse Stamm DSA-spezifischen Eintrag (DSE) herstellen. Dies ist systembedingt Request for Comment (RFC) 2251 Einhaltung. Benutzer können NULL Verbindungen Benutzer potenziell vertrauliche Informationen im Domänennamenskontext (NC) für diesen Server aufgelistet werden. Dies umfasst Informationen zu Kennwort für die Domäne.

Administratoren können ihre Active Directory-Server mit jedem Browser LDAP-bestimmen, welche anonym Informationen Abfragen. Beispielsweise können Administratoren die LDP verwenden. EXE-Tool, das auf der Windows 2000 Support Tools-CD befindet.

Beispielsweise können Benutzer folgende Informationen anonym erhalten Windows 2000 Standardeinstellungen:
ld = ldap_open("localhost", 389);Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com;
1> defaultNamingContext: DC=Intranet,DC=com;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com;
1> rootDomainNamingContext: DC=Intranet,DC=com;
16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn;
1> highestCommittedUSN: 14787;
2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO;
1> dnsHostName: INTRANET-AD.Intranet.com;
1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM;
1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
-----------

Diese Informationen werden vom Stamm-DSE Request for Comment (RFC) 2251 entspricht zurückgegeben. Weitere Informationen zu RFC 2251 finden Sie auf der folgenden Website:Diese Daten muss alle nicht authentifizierten Verbindung zur Einhaltung der RFC zur Verfügung.

Jedoch standardmäßig erhalten nicht authentifizierte Benutzer Weitere Informationen den Namenscontainer Domäne, die vertrauliche Informationen wie Kennwortrichtlinien anzeigen kann. Nicht authentifizierte Benutzer können z. B. folgende Informationen erhalten:
-----------Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> auditingPolicy: <ldp: Binary blob>;
1> creationTime: 126751257238782576;
1> dc: Intranet;
1> forceLogoff: -9223372036854775808;
1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0];
1> instanceType: 5;
1> isCriticalSystemObject: TRUE;
1> lockOutObservationWindow: -18000000000;
1> lockoutDuration: -18000000000;
1> lockoutThreshold: 0;
1> maxPwdAge: -36288000000000;
1> minPwdAge: 0;
1> minPwdLength: 0;
1> modifiedCount: 103;
1> modifiedCountAtLastProm: 0;
1> ms-DS-MachineAccountQuota: 10;
1> nextRid: 1006;
1> nTMixedDomain: 1;
1> distinguishedName: DC=Intranet,DC=com;
1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
3> objectClass: top; domain; domainDNS;
1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e;
1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A;
1> pwdHistoryLength: 1;
1> pwdProperties: 0;
1> name: Intranet;
1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com;
1> serverState: 1;
1> subRefs: CN=Configuration,DC=Intranet,DC=com;
1> systemFlags: -1946157056;
1> uASCompat: 1;
1> uSNChanged: 11170;
1> uSNCreated: 1154;
7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com;
1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time;
1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time;
-----------
Die Informationen minimieren, die durch nicht authentifizierte Verbindungen auf Windows 2000-Domänencontroller weitergegeben werden, können Sie RestrictAnonymous Registry-Einstellung mit einem Wert von 2. Hierzu finden Sie im Abschnitt "Informationsquellen" aufgeführten Artikeln. Dieser Registrierungseintrag entfernt der Zugriffstoken für nicht authentifizierte Netzwerkbenutzer jeder-SID. Diese Einstellung verhindert, dass NULL-Sitzung Zugriffstoken Domänennamenskontext auflisten. Starten Sie Ihren Computer auf diese Einstellung wirksam wird neu.

Hinweis Microsoft unterstützt keinen Wert 2 RestrictAnonymous mit. Diese Einstellung kann besonders in gemischten Umgebung für Clients früherer Versionen wie Windows NT 4.0 und früher schwerwiegende Probleme verursachen. Finden Sie im Abschnitt "Informationsquellen" Links, um weitere Artikel zu den Registrierungseintrag "RestrictAnonymous".
Microsoft Windows Server 2003 enthält standardmäßig die Sicherheitsstufe, die LDAP-null Basis von Informationen aus den Domänennamenskontext anonym auflisten verhindert.

Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

326690 anonyme LDAP-Operationen in Active Directory sind in Windows Server 2003-Domänencontroller deaktiviert.

Weitere Informationen zum Registrierungswert "RestrictAnonymous" finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

296405 des Registrierungswertes "RestrictAnonymous" kann die Vertrauensstellung zu einer Windows 2000-Domäne aufheben

246261 zum Verwenden des Registrierungswertes RestrictAnonymous in Windows 2000

823659 Client Service und Programm-Inkompatibilitäten, die auftreten können, wenn Sie Einstellungen und Ändern von Benutzerrechten



Die in diesem Artikel erörterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in die Leistung oder Zuverlässigkeit dieser Produkte.

Eigenschaften

Artikelnummer: 837964 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback