Problemas de seguridad con las conexiones de base de LDAP NULL

Síntomas

Algunos productos de evaluación de seguridad de otros fabricantes pueden devolver un mensaje de advertencia cuando exploran un controlador de dominio basado en Microsoft Windows 2000. Por ejemplo, el software RealSecure de Internet Security Systems, Inc. puede indicar un controlador de dominio de Windows 2000 con un mensaje de advertencia de bajo riesgo y un vínculo para el siguiente artículo para obtener más información:

Causa

En los servidores de Active Directory de Windows 2000, conexiones no autenticadas de (NULL) pueden conectarse a raíz entrada DSA específica (DSE). Este comportamiento está diseñado para cumplir la solicitud de comentarios (RFC) 2251. Los usuarios pueden utilizar estos usuarios de conexiones NULL para enumerar información potencialmente delicada desde el contexto de nombres de dominio (CN) para ese servidor. Esto incluye información de la directiva de contraseñas para el dominio.

Los administradores pueden consultar sus servidores de Active Directory mediante cualquier explorador LDAP para determinar qué información puede obtenerse de forma anónima. Por ejemplo, los administradores pueden utilizar el LDP. Herramienta EXE que se encuentra en el CD de herramientas de soporte de Windows 2000.

Por ejemplo, los usuarios pueden obtener la siguiente información de forma anónima utilizando la configuración predeterminada de Windows 2000:
ld = ldap_open("localhost", 389);Established connection to localhost.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 2/13/2004 11:28:36 Eastern Standard Time Eastern Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> dsServiceName: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
3> namingContexts: CN=Schema,CN=Configuration,DC=Intranet,DC=com; CN=Configuration,DC=Intranet,DC=com; DC=Intranet,DC=com;
1> defaultNamingContext: DC=Intranet,DC=com;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=Intranet,DC=com;
1> configurationNamingContext: CN=Configuration,DC=Intranet,DC=com;
1> rootDomainNamingContext: DC=Intranet,DC=com;
16> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxActiveQueries; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn;
1> highestCommittedUSN: 14787;
2> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO;
1> dnsHostName: INTRANET-AD.Intranet.com;
1> ldapServiceName: Intranet.com:intranet-ad$@INTRANET.COM;
1> serverName: CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
2> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
-----------

Esta información se devuelve desde la raíz DSE para cumplir con la solicitud de comentarios (RFC) 2251. Para obtener más información acerca de RFC 2251, visite el siguiente sitio Web:Esta información debe estar disponible en todas las conexiones no autenticadas para cumplir con la solicitud de cambio.

Sin embargo, de forma predeterminada, los usuarios no autenticados pueden obtener información adicional desde el contenedor de nomenclatura de dominio podría revelar información confidencial, como las directivas de contraseñas. Por ejemplo, los usuarios no autenticados podrían obtener la siguiente información:
-----------Expanding base 'DC=Intranet,DC=com'...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn: DC=Intranet,DC=com
1> masteredBy: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> auditingPolicy: <ldp: Binary blob>;
1> creationTime: 126751257238782576;
1> dc: Intranet;
1> forceLogoff: -9223372036854775808;
1> fSMORoleOwner: CN=NTDS Settings,CN=INTRANET-AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Intranet,DC=com;
1> gPLink: [LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Intranet,DC=com;0];
1> instanceType: 5;
1> isCriticalSystemObject: TRUE;
1> lockOutObservationWindow: -18000000000;
1> lockoutDuration: -18000000000;
1> lockoutThreshold: 0;
1> maxPwdAge: -36288000000000;
1> minPwdAge: 0;
1> minPwdLength: 0;
1> modifiedCount: 103;
1> modifiedCountAtLastProm: 0;
1> ms-DS-MachineAccountQuota: 10;
1> nextRid: 1006;
1> nTMixedDomain: 1;
1> distinguishedName: DC=Intranet,DC=com;
1> objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=Intranet,DC=com;
3> objectClass: top; domain; domainDNS;
1> objectGUID: c2fab5da-00f8-4a3c-a188-32f11a1ed13e;
1> objectSid: S-15-7D0B1073-14D87EB2-6743F5A;
1> pwdHistoryLength: 1;
1> pwdProperties: 0;
1> name: Intranet;
1> rIDManagerReference: CN=RID Manager$,CN=System,DC=Intranet,DC=com;
1> serverState: 1;
1> subRefs: CN=Configuration,DC=Intranet,DC=com;
1> systemFlags: -1946157056;
1> uASCompat: 1;
1> uSNChanged: 11170;
1> uSNCreated: 1154;
7> wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=Intranet,DC=com; B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=Intranet,DC=com; B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=Intranet,DC=com; B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=Intranet,DC=com; B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=Intranet,DC=com; B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=Intranet,DC=com; B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=Intranet,DC=com;
1> whenChanged: 8/29/2002 17:57:24 Eastern Standard Time Eastern Daylight Time;
1> whenCreated: 8/29/2002 16:7:34 Eastern Standard Time Eastern Daylight Time;
-----------
Para reducir al mínimo la información que se divulgará a través de conexiones no autenticadas en controladores de dominio de Windows 2000, puede habilitar a la configuración de registro RestrictAnonymous con un valor de 2. Para ello, vea los artículos que se enumeran en la sección "Referencias". Este valor del registro quita al SID de todos el token de acceso de red no autenticados. Esta configuración impide que los testigos de acceso de sesión nulo enumerando el contexto de nomenclatura de dominio. Debe reiniciar el equipo para que surta efecto esta configuración.

Nota: Microsoft no admite el uso de RestrictAnonymous con un valor de 2. Esta configuración puede provocar problemas graves, especialmente en entornos mixtos con clientes de versiones anteriores, como Windows NT 4.0 y versiones anteriores. Consulte la sección "Referencias" para obtener vínculos a más artículos acerca de la configuración de registro RestrictAnonymous.
De forma predeterminada, Microsoft Windows Server 2003 incluye la configuración de seguridad que impide conexiones de base de LDAP null de enumerar de forma anónima información desde el contexto de nomenclatura de dominio.

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

326690 las operaciones LDAP anónimas en Active Directory están deshabilitadas en los controladores de dominio de Windows Server 2003

Para obtener información adicional acerca del valor RestrictAnonymous del registro, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

296405 el valor "RestrictAnonymous" del registro puede romper la confianza en un dominio de Windows 2000

246261 cómo utilizar el valor del registro RestrictAnonymous en Windows 2000

Incompatibilidades de programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuario, servicio y cliente 823659



Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos.

Propiedades

Id. de artículo: 837964 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios