Per migliorare la sicurezza delle foreste di Active Directory, per impostazione predefinita nei controller di dominio che eseguono Windows Server 2008 o Windows Server 2008 R2 è abilitato il filtro degli identificatori di sicurezza (SID) per tutti i trust nuovi, in uscita ed esterni. Quando il filtro SID è applicato ai trust esterni in uscita, è meno probabile che a utenti malintenzionati con livello di accesso di amministratore del dominio nel dominio trusted siano in grado di concedere, a se stessi o ad altri account utente nel dominio, diritti utente elevati sul dominio trusting.

Informazioni sulla minaccia

Quando il filtro SID non è abilitato sui trust esterni in uscita, un utente malintenzionato con credenziali amministrative nel dominio trusted potrebbe essere in grado di analizzare richieste di autenticazione di rete dal dominio trusting per ottenere le informazioni SID di un utente, ad esempio un amministratore di dominio, che abbia accesso completo alle risorse nel dominio trusting.

Dopo aver ottenuto il SID dell'amministratore di dominio dal dominio trusting, un utente malintenzionato con credenziali amministrative potrà aggiungere tale SID all'attributo SIDHistory di un account utente nel dominio trusted e tentare di ottenere accesso completo al dominio trusting e alle sue risorse. In questo scenario, un utente malintenzionato con credenziali di amministratore di dominio nel dominio trusted rappresenta una minaccia per l'intera foresta trusting.

Il filtro SID neutralizza questa minaccia nel dominio trusted utilizzando l'attributo SIDHistory per ottenere privilegi elevati.

Funzionamento del filtro SID

Quando entità di sicurezza vengono create in un dominio, il SID di dominio è incluso nel SID dell'entità di sicurezza per identificare il dominio in cui l'entità è stata creata. Il SID di dominio è un'importante caratteristica di un'entità di sicurezza, in quanto viene utilizzato dal sottosistema di sicurezza di Windows per verificare l'autenticazione dell'entità di sicurezza.

In modo analogo, i trust esterni in uscita creati dal dominio trusting utilizzano il filtro SID per verificare che le richieste di autenticazione in entrata da entità di sicurezza nel dominio trusted includano solo i SID delle entità di sicurezza nel dominio trusted. Questo viene ottenuto mediante un confronto tra i SID dell'entità di sicurezza in ingresso e il SID di dominio del dominio trusted. Se uno o più SID dell'entità di sicurezza includono un SID di dominio diverso da quello del dominio trusted, il trust rimuove il SID non valido.

Il filtro SID assicura che qualsiasi abuso dell'attributo SIDHistory sulle entità di sicurezza (inclusa inetOrgPerson) nella foresta trusted non possa rappresentare una minaccia per l'integrità della foresta trusting.

L'attributo SIDHistory può essere utile per gli amministratori di dominio quando eseguono la migrazione degli account utente e degli account di gruppo tra domini. Gli amministratori di dominio possono aggiungere SID da un account utente o account di gruppo precedente all'attributo SIDHistory del nuovo account risultante dalla migrazione. In questo modo, gli amministratori di dominio attribuiscono al nuovo account lo stesso livello di accesso alle risorse dell'account precedente.

Se non è possibile utilizzare l'attributo SIDHistory in questo modo, è necessario che gli amministratori di dominio rilevino e riapplichino le autorizzazioni per il nuovo account a ogni risorsa di rete cui l'account precedente aveva accesso.

Effetto del filtro SID

Il filtro SID su trust esterni può influenzare l'infrastruttura di Active Directory esistente nelle due aree seguenti:

  • I dati della cronologia SID che contengono SID da qualsiasi dominio diverso dal dominio trusted vengono rimossi dalle richieste di autenticazione provenienti dal dominio trusted. Questo determina l'impossibilità di accedere alle risorse con il SID precedente dell'utente.

  • Sarà necessario apportare alcune modifiche alla strategia per il controllo di accesso ai gruppi universali.

Quando si abilita il filtro SID, gli utenti che utilizzano i dati di cronologia SID per l'autorizzazione alle risorse nel dominio trusting non avranno più accesso a tali risorse.

Se in genere si assegnano gruppi universali da una foresta trusted agli elenchi di controllo di accesso (ACL) sulle risorse condivise nel dominio trusting, il filtro SID avrà un effetto notevole sulla strategia di controllo di accesso. Dato che i gruppi universali devono rispettare le stesse linee guida degli altri oggetti entità di sicurezza, dal punto di vista del filtro SID (ovvero, il SID dell'oggetto gruppo universale deve includere anche il SID di dominio), verificare che tutti i gruppi universali assegnati a risorse condivise nel dominio trusting siano stati creati nel dominio trusted. Se il gruppo universale nella foresta trusted non era stato creato nel dominio trusted, anche se può contenere utenti dal dominio trusted come membri, le richieste di autenticazione dai membri di tale gruppo universale saranno filtrate e scartate. Per tale motivo, prima di assegnare l'accesso alle risorse nel dominio trusting a utenti nel dominio trusted, confermare che il gruppo universale che include gli utenti del dominio trusted sia stato creato nel dominio trusted.

Ulteriori considerazioni

  • I trust esterni creati da controller di dominio sui quali è in esecuzione Windows 2000 Service Pack 3 (SP3) o versioni precedenti non impongono il filtro SID per impostazione predefinita. Per proteggere ulteriormente la foresta, si consideri la possibilità di abilitare il filtro SID su tutti i trust esterni esistenti creati da controller di dominio sui quali sia in esecuzione Windows 2000 SP o versioni precedenti. È possibile eseguire questa operazione utilizzando Netdom.exe per attivare il filtro SID sui trust esterni esistenti o ricreando questi trust esterni da un controller di dominio che esegue Windows Server 2008 o Windows Server 2008 R2.

  • Non è possibile disattivare il comportamento predefinito che abilita il filtro SID per i trust esterni di nuova creazione.

  • Per ulteriori informazioni sulla configurazione (disattivazione o riapplicazione) delle impostazioni del filtro SID, vedere la pagina relativa alla configurazione della quarantena del filtro SID nei trust esterni (https://go.microsoft.com/fwlink/?LinkId=92778).

Ulteriori riferimenti


Argomenti della Guida