Para mejorar la seguridad de los bosques de Active Directory, los controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2008 R2 habilitan de manera predeterminada el filtrado de identificadores de seguridad (SID) en todas las confianzas nuevas, de salida y externas. Cuando se aplica el filtrado de SID a confianzas externas de salida, es más probable evitar que los usuarios malintencionados que tienen acceso como administradores de dominio al dominio de confianza puedan conceder derechos de usuario elevados (ya sea a ellos mismos o a otras cuentas de usuario del dominio) en el dominio que confía.
Descripción de la amenaza
Cuando no se habilita el filtrado de SID en confianzas externas de salida, es posible que un usuario malintencionado con credenciales administrativas en el dominio de confianza pueda "examinar" solicitudes de autenticación de red desde el dominio que confía para obtener información de SID de un usuario, como un administrador de dominio, que tiene acceso total a los recursos de un dominio que confía.
Una vez conseguido el SID del administrador del dominio desde el dominio que confía, un usuario malintencionado con credenciales administrativas puede agregar ese SID a un atributo SIDHistory de una cuenta de usuario del dominio de confianza e intentar lograr acceso total al dominio que confía y a los recursos de ese dominio. En este escenario, un usuario malintencionado con credenciales de administrador de dominio en el dominio de confianza es una amenaza para todo el bosque que confía.
El filtrado de SID ayuda a neutralizar la amenaza de usuarios malintencionados en el dominio de confianza que usan el atributo SIDHistory para obtener privilegios elevados.
Funcionamiento del filtrado de SID
Cuando se crean entidades de seguridad en un dominio, el SID del dominio se incluye en el SID de la entidad de seguridad para identificar el dominio en el que se creó la entidad de seguridad. El SID del dominio es una característica importante de una entidad de seguridad porque el subsistema de seguridad de Windows lo usa para comprobar la autenticidad de la entidad de seguridad.
De un modo similar, las confianzas externas de salida creadas desde el dominio que confía usan el filtrado de SID para comprobar que las solicitudes de autenticación de entrada desde entidades de seguridad del dominio de confianza contienen solamente los SID de las entidades de seguridad del dominio de confianza. Esto se logra mediante una comparación de los SID de la entidad de seguridad de entrada con el SID del dominio de confianza. Si alguno de los SID de entidad de seguridad incluye un SID de dominio diferente al del dominio de confianza, la confianza eliminará este SID diferente.
El filtrado de SID le ayuda a asegurar que ningún uso inapropiado del atributo SIDHistory en entidades de seguridad (incluida inetOrgPerson) del bosque de confianza puede suponer una amenaza a la integridad del bosque que confía.
El atributo SIDHistory puede ser útil a los administradores de dominio a la hora de migrar cuentas de usuarios y de grupos desde un dominio a otro. Los administradores de dominio pueden agregar SID desde una cuenta de usuario o de grupo anterior al atributo SIDHistory de la nueva cuenta migrada. Al hacerlo, los administradores de dominio están otorgando a la nueva cuenta el mismo nivel de acceso a los recursos que tenía la cuenta anterior.
Si los administradores de dominio no pueden usar el atributo SIDHistory de este modo, deberán buscar y volver a aplicar permisos a la nueva cuenta en cada recurso de red al que tuviera acceso la cuenta anterior.
Impacto del filtrado de SID
El filtrado de SID en confianzas externas puede afectar a la infraestructura existente de Active Directory en las dos áreas siguientes:
-
Los datos del historial de SID que contienen SID de cualquier dominio que no sea el dominio de confianza se eliminan de las solicitudes de autenticación realizadas desde el dominio de confianza. Esto hace que se deniegue el acceso a los recursos que tienen el SID anterior del usuario.
-
Será necesario realizar cambios en la estrategia para el control de acceso de grupo universal entre bosques.
Cuando habilita el filtrado de SID, los usuarios que usan datos del historial de SID para la autorización en recursos del dominio que confía ya no tienen acceso a esos recursos.
Si suele asignar grupos universales desde un bosque de confianza a listas de control de acceso (ACL) en recursos compartidos del dominio que confía, el filtrado de SID tendrá un impacto mayor en su estrategia de control de acceso. Dado que los grupos universales deben cumplir las mismas directrices de filtrado de SID que otros objetos de entidad de seguridad (es decir, el SID del objeto de grupo universal debe contener también el SID del dominio), compruebe que todos los grupos universales asignados a recursos compartidos del dominio que confía se crearon en el dominio de confianza. Si el grupo universal del bosque de confianza no se creó en el dominio de confianza (aunque pueda contener usuarios del dominio de confianza como miembros), las solicitudes de autenticación de los miembros de ese grupo universal serán filtradas y descartadas. Por lo tanto, antes de asignar el acceso a recursos en el dominio que confía a los usuarios del dominio de confianza, confirme que el grupo universal que contiene los usuarios del dominio de confianza se creó en el dominio de confianza.
Consideraciones adicionales
-
Las confianzas externas creadas desde controladores de dominio que ejecutan Windows 2000 Service Pack 3 (SP3) o una versión anterior no usan el filtrado de SID de manera predeterminada. Para lograr una mayor seguridad en el bosque, considere la posibilidad de habilitar el filtrado de SID en todas las confianzas externas existentes creadas por controladores de dominio que ejecutan Windows 2000 Service Pack 3 o una versión anterior. Puede hacer esto si usa Netdom.exe para habilitar el filtrado de SID en confianzas externas existentes o si vuelve a crear estas confianzas externas desde un controlador de dominio que ejecute Windows Server 2008 o Windows Server 2008 R2.
-
No puede desactivar el comportamiento predeterminado que habilita el filtrado de SID en confianzas externas recién creadas.
-
Para obtener más información acerca de la configuración de opciones de filtrado de SID (deshabilitarlas o volverlas a aplicar), vea el tema sobre configuración de la cuarentena del filtrado de SID en confianzas externas (puede estar en inglés) (
https://go.microsoft.com/fwlink/?LinkId=92778 ).