问题
2022年7月21日星期四 上午8:10
你好,这边遇到了一个问题。最近对生产环境的域控做了安全扫描。然后安全厂商发现有一漏洞:LDAP未授权访问。有并且给了相关的解决方法:1、修改ldap的acl,禁止匿名访问;
2、根据业务设置ldap访问白名单或黑名单。
我知道域控是使用ldap协议,安全厂商那边所提供的加固方法是否适合域控?微软这边有更好的解决方案
全部回复 (6)
2022年7月27日星期三 上午2:00 ✅已答复
尊敬的客户,您好!
感谢您的回复!
根据以下链接里的说明,默认情况下,dSHeuristics 属性不存在,除非另有说明,否则 dSHeuristics 字符串中每个字符的默认;为“0”。
我认为在adsi里面修改dsHeuristics键;成0.不是拒绝匿名访问的功能,建议您不要修改。
6.1.1.2.4.1.2 dSHeuristics
/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2022年7月22日星期五 上午5:15
尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
为了更好地帮助您,请问:
1.根据您的描述,请问您使用的什么工具安全扫描的呢(方便的话,可以说一下,不方便的话就不用说)?
2.请问是否可以提供有关“LDAP未授权访问”的更多信息?
3.请问您是否在您的AD域环境中使用了其他的三方的LDAP工具或者LDAP协议?
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2022年7月22日星期五 上午8:10
你好;
1、我这边报告并没有显示扫描工具的名称或者是厂商,所以并不清楚是哪家的
2、漏洞的更多信息(附截图)
33、我们在域环境中并没有使用第三方的ldap工具和协议
2022年7月25日星期一 上午3:30
尊敬的客户,您好!
感谢您的回复。
您的这个扫描结果(所谓的漏洞)应该是正常的。
LDAP 用于读取和写入 Active Directory。 默认情况下,LDAP 流量是不安全地传输的。
LDAP的默认端口是 389 和 636(LDAPS)。 全局目录(ActiveDirectory 中的 LDAP)默认在端口 3268 和 3269(LDAPS)。
389和3268这两个端口使用LDAP。但是389是AD 纯文本,3268是GC 纯文本。
636和3269这两个端口也使用LDAP。但是636是基于SSL的AD,默认情况下是加密的。3269 是基于SSL的GC,默认是加密。
您可以阅读下面两个文档获取有关更详细的信息以及改进方法(给域控安装域控制器证书,使用Windows CA或者三方CA给域控制器颁发域控制器证书)。
但是您也可以就保持这样,不做任何操作,这个扫描出来的结果就是正常的。
参考文档:
LDAP over SSL (LDAPS) Certificate
https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx
Enable LDAP over SSL with a third-party certification authority
/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority
AD有关的端口说明。
Service overview and network port requirements for Windows
/en-us/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements
希望上述的回复对您有帮助。
此致,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2022年7月25日星期一 上午4:53
如果我在adsi里面修改dsHeuristics键;可以吗?修改成0.是否就会拒绝匿名访问?
2022年7月27日星期三 上午3:24
好的。这个我和安全的同事反馈下。