He configurado Active Directory en una máquina con Windows 2012R2. He estado intentando desactivarEnlace anónimoal AD pero aún no he descubierto cómo hacerlo. Como resultado, puedo vincularme al AD usando solo la dirección IP y un programa como un navegador LDAP.
¿Cómo puedo desactivar el enlace anónimo?
Respuesta1
Active Directory (más allá de Windows 2000) no permite operaciones anónimas distintas de rootDSElas búsquedas, de forma predeterminada. Entonces, si puede conectarse de forma anónima a Active Directory, eso significa una de dos cosas. Cualquiera
- Te estás conectando a RootDSE, para lo cual se vincula anónimodeberíaestar permitido por diseño.
- Ya modificó Active Directory para permitir enlaces anónimos para operaciones que no sean rootDSE y ahora necesita revertir esa configuración.
Anónimo se une a RootDSEdebiera serpermitido, porque RootDSE es la forma en que la mayoría de las aplicaciones obtienen información sobre el directorio para completar enlaces adicionales, como nombres distinguidos de varias particiones, etc. No hay información confidencial dentro de RootDSE, y el enlace anónimo a RootDSE es la forma en que fue diseñado para funcionar. . Las cosas se romperán si las aplicaciones no pueden vincularse de forma anónima a RootDSE.
Por ejemplo, si una aplicación quisiera saber qué mecanismos de autenticación son compatibles para vincularse a su AD, podría obtener esa información del supportedSASLMechanismsatributo en RootDSE, pero, por supuesto, esto tendría que ocurrir antes de que se realice cualquier autenticación, ya que usted Aún no sé ni siquiera qué mecanismos de autenticación puede utilizar.
Leer:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
Ahora, en el segundo caso, suponiendo que haya habilitado enlaces anónimos a AD para operaciones que no sean RootDSE, puede deshabilitarlo cambiando el séptimo carácter del dsHeuristicsatributo en el siguiente objeto de directorio:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
Los valores válidos para el atributo dsHeuristics son 0 y 2. De forma predeterminada, el atributo dsHeuristics no existe, pero su valor predeterminado interno es 0. Si establece el séptimo carácter en 2, los clientes anónimos pueden realizar cualquier operación permitida por el control de acceso. lista (ACL). Si el atributo ya está configurado, no modifique ningún bit en la cadena dsHeuristics excepto el séptimo bit. Si el valor no está establecido, asegúrese de proporcionar los ceros iniciales hasta el séptimo bit. Puede utilizar Adsiedit.msc para realizar el cambio en el atributo dsHeuristics.
Sólo para aclarar más, actualmente hayde ninguna manerapara deshabilitar los enlaces anónimos a RootDSE. Esto no es algo específico de Active Directory. Esto es parte de la especificación LDAP v3.
Leer:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx