0x01基础知识
在window2003 AD域服务器,默认允许匿名用户登录(null base connection)并且无法禁用,但是不允许匿名用户进行rootDSE搜索操作。若管理员配置不当导致允许匿名用户进行rootDSE搜索操作,存在未经身份验证的用户可以从域命名容器获取可能会泄露敏感信息(例如密码策略)的其他信息。可以通过以下途径禁止匿名用户进行rootDSE搜索操作。
0x02安装域控制管理器Adsiedit.msc
将adsiedit.dll和adsiedit.msc两个文件拷贝到C: /windows/system32/并在cmd中进行注册regsvr32 C: /windows/system32/adsiedit.dll运行adsiedit.msc。
0x03禁用匿名LDAP操作
新建链接
选择configurationContainer
找到 CN=Windows NT,CN=Diretory Service,并右键点击属性
将DsHeuristics 属性值设置为0
0x04验证
通过ldap连接工具(ldapbrower)匿名连接389端口,无法进行查询操作。
0x04安全建议
若389端口不对外提供服务,建议通过IPSEC策略或防火墙限制远程连接。
0x05参考
https://support.microsoft.com/zh-cn/help/837964/security-issues-with-ldap-null-base-connections
https://support.microsoft.com/en-us/help/326690/anonymous-ldap-operations-to-active-directory-are-disabled-on-windows
领取专属 10元无门槛券
私享最新 技术干货