Biztonsági azonosítók szűrése párbeszédpanel – Külső bizalmi kapcsolatok biztonsága

Ha a SID-szűrés nem aktív a kimenő külső megbízhatósági kapcsolatokon, a megbízható tartományban rendszergazdai hitelesítő adatokkal rendelkező rossz szándékú felhasználó "lehallgathatja" a hálózati hitelesítési kérelmeket a megbízó tartományból, így megszerezheti egy olyan felhasználó (például a tartományi rendszergazda) SID-adatait, aki teljes hozzáféréssel rendelkezik a megbízó tartomány erőforrásaihoz.

Ha megszerezte a tartományi rendszergazda biztonsági azonosítóját a megbízó tartományból, a rendszergazdai hitelesítő adatokkal rendelkező rossz szándékú felhasználó hozzáadhatja ezt a biztonsági azonosítót az egyik felhasználói fiók SIDHistory attribútumához a megbízható tartományban, és teljes hozzáférést próbálhat szerezni a megbízó tartományhoz és annak erőforrásaihoz. Ebben az esetben az olyan rossz szándékú felhasználó, aki rendszergazdai hitelesítő adatokkal rendelkezik a megbízható tartományban, veszélyt jelent a teljes erdőszintre.

A SID-szűrés segítségével semlegesíthető annak veszélye, hogy a rossz szándékú felhasználók a SIDHistory attribútum használatával emelt szintű jogosultságokat szereznek a megbízható tartományban.

Amikor rendszerbiztonsági tagokat hoz létre egy tartományban, a tartomány biztonsági azonosítója bekerül a rendszerbiztonsági tag biztonsági azonosítójába, így azonosítva azt a tartományt, amelyben rendszerbiztonsági tag létrejött. A tartomány biztonsági azonosítója a rendszerbiztonsági tag fontos jellemzője, mivel a Windows biztonsági alrendszere ennek segítségével ellenőrzi a rendszerbiztonsági tag hitelességét.

A megbízó tartományból létrehozott kimenő külső megbízhatósági kapcsolatok szintén SID-szűréssel ellenőrzik, hogy a megbízható tartomány rendszerbiztonsági tagjaitól bejövő hitelesítési kérelmek csak a megbízható tartomány rendszerbiztonsági tagjainak biztonsági azonosítóit tartalmazzák-e. Ez úgy történik, hogy a rendszer összehasonlítja a bejövő rendszerbiztonsági tag biztonsági azonosítóit a megbízható tartomány biztonsági azonosítójával. Ha a rendszerbiztonsági tag biztonsági azonosítóinak bármelyike a megbízható tartományétól eltérő tartományi biztonsági azonosítót tartalmaz, akkor a megbízhatósági kapcsolat eltávolítja a szabályellenes biztonsági azonosítót.

A SID-szűrés segítségével biztosítható, hogy a SIDHistory attribútum rossz szándékú használata a megbízható erdő rendszerbiztonsági tagjain (az inetOrgPerson tagot is beleértve) ne jelentsen fenyegetést a megbízható erdőben.

A SIDHistory attribútum akkor lehet hasznos a tartományi rendszergazdák számára, amikor felhasználói fiókokat és csoportfiókokat telepítenek át egyik tartományból a másikba. A tartományi rendszergazdák egy korábbi felhasználói vagy csoportfiókból is hozzáadhatnak biztonsági azonosítókat az új, áttelepített fiók SIDHistory attribútumához. Így ugyanolyan szintű hozzáférést adhatnak az erőforrásokhoz az új fióknak, mint amellyel a korábbi fiók rendelkezett.

Ha a tartományi rendszergazdák nem tudják így használni a SIDHistory attribútumot, akkor ki kell deríteniük és újra alkalmazniuk kell az új fiókra a régi fiók engedélyeit az egyes hálózati erőforrásokhoz.

A külső megbízhatósági kapcsolatok SID-szűrése a következő két területen lehet hatással a meglévő Active Directory infrastruktúrára:

• A megbízható tartományétól eltérő biztonsági azonosítókat tartalmazó SID-előzményadatok törlődnek a megbízható tartományból érkező hitelesítési kérelmekből. Ennek eredményeképpen nem engedélyezett a hozzáférés a felhasználó régi biztonsági azonosítójával rendelkező erőforrásokhoz.
  
  
• Az erdők közötti univerzális csoportok hozzáférés-vezérlésének stratégiája módosításokat igényel.
  
  

Ha engedélyezi a SID-szűrést, akkor azok a felhasználók, akik a SID-előzményadatokkal hitelesítik magukat a megbízó tartomány erőforrásainál, már nem férhetnek hozzá ezekhez az erőforrásokhoz.

Ha a szokásos módon rendel hozzá univerzális csoportokat egy megbízható erdőből a megbízó tartomány megosztott erőforrásainak hozzáférés-vezérlési listáihoz (ACL), a SID-szűrés jelentősen befolyásolja a hozzáférés-vezérlési stratégiát. Mivel az univerzális csoportokra ugyanazok a SID-szűrési irányelvek vonatkoznak, mint a többi rendszerbiztonsági tagobjektumnak (vagyis az univerzális csoportobjektum biztonsági azonosítójának is tartalmaznia kell a tartomány biztonsági azonosítóját), ellenőrizni kell, hogy a megbízó tartomány megosztott erőforrásaihoz hozzárendelt univerzális csoportok létre vannak-e hozva a megbízható tartományban. Ha a megbízható erdőben lévő univerzális csoport nincs létrehozva a megbízható tartományban - noha rendelkezhet olyan tagokkal, akik a megbízható tartomány felhasználói -, az adott univerzális csoport tagjaitól érkező hitelesítési kérelmeket a rendszer kiszűri és elveti. Ezért mielőtt hozzáférést biztosít a megbízó tartomány erőforrásaihoz a megbízható tartomány felhasználói számára, győződjön meg róla, hogy a megbízható tartomány felhasználóit tartalmazó univerzális csoport létre van hozva a megbízható tartományban.

• Az Active Directory - tartományok és megbízhatósági kapcsolatok felhasználói felülete