Desativar ligação anônima para um Active Directory no Windows Server 2012R2

Navegue suas respostas
1

Eu configurei o Active Directory em uma máquina Windows 2012R2. Eu tenho tentado desativar o Anonymous Binding para o AD, mas ainda não descobri como fazer isso. Como resultado, posso vincular-me ao AD usando apenas o endereço IP e um programa como um navegador LDAP.

Como posso desativar a vinculação anônima?

    
por user289533 20.05.2015 / 14:10

1 resposta

4

O Active Directory (antigo Windows 2000) não permite operações anônimas diferentes de rootDSE pesquisas, por padrão. Portanto, se você conseguir vincular-se anonimamente ao Active Directory, isso significa uma das duas coisas. Qualquer um

  • Você está se conectando ao RootDSE, para o qual ligações anônimas devem ser permitidas por design.
  • Você já modificou o Active Directory para permitir ligações anônimas para operações não-rootDSE e agora é necessário reverter essa configuração.

Anônimo vincula a RootDSE deve ser permitido, porque RootDSE é como a maioria dos aplicativos obtém informações sobre o diretório para completar outras ligações, como nomes distintos de várias partições, etc. Nenhuma informação sensível é contido no RootDSE, e a vinculação anônima ao RootDSE é como ele foi projetado para funcionar. As coisas vão quebrar se os aplicativos não puderem se ligar anonimamente ao RootDSE.

Por exemplo, se um aplicativo quisesse saber quais mecanismos de autenticação tinham suporte para vincular-se ao seu AD, ele poderia obter essas informações do atributo supportedSASLMechanisms em RootDSE , mas é claro que isso teria de ocorrer antes que qualquer autenticação tenha ocorrido, pois você ainda não sabe quais mecanismos de autenticação está autorizado a usar.

Leia: link

Agora, no segundo caso, supondo que você tenha habilitado associações anônimas ao AD para operações não-RootDSE, desative-o alterando o sétimo caractere do atributo dsHeuristics no seguinte objeto de diretório: 

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest

Valid values for the dsHeuristics attribute are 0 and 2. By default, the dsHeuristics attribute does not exist, but its internal default is 0. If you set the seventh character to 2, anonymous clients can perform any operation that is permitted by the access control list (ACL). If the attribute is already set, do not modify any bits in the dsHeuristics string other than the seventh bit. If the value is not set, make sure that you provide the leading zeros up to the seventh bit. You can use Adsiedit.msc to make the change to the dsHeuristics attribute.

Só para esclarecer ainda mais, não há atualmente nenhuma maneira para desabilitar ligações anônimas ao RootDSE. Isso não é uma coisa específica do Active Directory. Isso faz parte da especificação do LDAP v3.

Leia: link

Leia: link

    
por 20.05.2015 / 16:12

Tags

Virtualização: Fixação de vCPU com CPU Host Hyperthreading? Libvirt: ERRO Nenhum domínio disponível para o tipo virt 'hvm', arco 'x86_64', tipo de domínio 'kvm'