window2003 ldap 禁止匿名登录用户rootDSE查询

0x01基础知识

在window2003 AD域服务器，默认允许匿名用户登录（null base connection）并且无法禁用，但是不允许匿名用户进行rootDSE搜索操作。若管理员配置不当导致允许匿名用户进行rootDSE搜索操作，存在未经身份验证的用户可以从域命名容器获取可能会泄露敏感信息（例如密码策略）的其他信息。可以通过以下途径禁止匿名用户进行rootDSE搜索操作。

0x02安装域控制管理器Adsiedit.msc

将adsiedit.dll和adsiedit.msc两个文件拷贝到C: /windows/system32/并在cmd中进行注册regsvr32 C: /windows/system32/adsiedit.dll运行adsiedit.msc。

0x03禁用匿名LDAP操作

新建链接

选择configurationContainer

找到 CN=Windows NT,CN=Diretory Service，并右键点击属性

将DsHeuristics 属性值设置为0

0x04验证

通过ldap连接工具（ldapbrower）匿名连接389端口，无法进行查询操作。

0x04安全建议

若389端口不对外提供服务，建议通过IPSEC策略或防火墙限制远程连接。

0x05参考

https://support.microsoft.com/zh-cn/help/837964/security-issues-with-ldap-null-base-connections

https://support.microsoft.com/en-us/help/326690/anonymous-ldap-operations-to-active-directory-are-disabled-on-windows