W celu zwiększenia bezpieczeństwa lasów usługi Active Directory kontrolery domeny z systemem Windows Server 2008 lub Windows Server 2008 R2 domyślnie mają włączone filtrowanie identyfikatorów zabezpieczeń (SID) dla wszystkich nowych wychodzących zaufań zewnętrznych. Zastosowanie filtrowania identyfikatorów SID do wychodzących zaufań zewnętrznych zmniejsza ryzyko, że złośliwy użytkownik, który ma dostęp do zaufanej domeny na poziomie administratora domeny, udzieli sobie samemu lub innym kontom użytkowników w swojej domenie podwyższonych praw użytkownika względem domeny ufającej.

Opis zagrożeń

Jeśli filtrowanie identyfikatorów SID dla wychodzących zaufań zewnętrznych nie jest włączone, złośliwy użytkownik z poświadczeniami administracyjnymi w zaufanej domenie może przechwycić żądania uwierzytelnień pochodzące z domeny ufającej i w ten sposób uzyskać informacje o identyfikatorze SID użytkownika, na przykład administratora domeny, który ma pełny dostęp do zasobów w domenie ufającej.

Po uzyskaniu identyfikatora SID administratora domeny z domeny ufającej złośliwy użytkownik z poświadczeniami administracyjnymi może dodać ten identyfikator SID do atrybutu SIDHistory konta użytkownika w domenie zaufanej, a następnie podjąć próbę uzyskania pełnego dostępu do domeny ufającej i jej zasobów. W tym scenariuszu złośliwy użytkownik z poświadczeniami administratora w domenie zaufanej stanowi zagrożenie dla całego lasu ufającego.

Filtrowanie identyfikatorów SID pomaga zneutralizować zagrożenia związane ze złośliwymi użytkownikami w domenie zaufanej, którzy mogliby używać atrybutu SIDHistory w celu uzyskania podwyższonych uprawnień.

Opis działania filtrowania identyfikatorów SID

Podczas tworzenia podmiotów zabezpieczeń w domenie identyfikator SID domeny jest dołączany do identyfikatora SID podmiotu zabezpieczeń w celu umożliwienia identyfikacji domeny, w której ten podmiot zabezpieczeń został utworzony. Identyfikator SID domeny jest ważną cechą podmiotu zabezpieczeń, ponieważ jest używany w podsystemie zabezpieczeń systemu Windows do weryfikowania autentyczności podmiotu zabezpieczeń.

Podobnie wychodzące zaufania zewnętrzne tworzone z poziomu domeny ufającej używają filtrowania identyfikatorów SID do sprawdzania, czy przychodzące żądania uwierzytelnień wysyłane przez podmioty zabezpieczeń w domenie zaufanej zawierają tylko identyfikatory SID podmiotów zabezpieczeń z domeny zaufanej. Jest to realizowane przez porównanie identyfikatora SID przychodzącego podmiotu zabezpieczeń z identyfikatorem SID domeny zaufanej. Jeśli któryś z identyfikatorów SID podmiotów zabezpieczeń zawiera identyfikator SID domeny innej niż domena zaufana, relacja zaufania usuwa nieprawidłowy identyfikator SID.

Filtrowanie identyfikatorów SID pomaga zapewnić, że niewłaściwe użycie atrybutu SIDHistory w odniesieniu do podmiotów zabezpieczeń (w tym obiektów inetOrgPerson) w lesie zaufanym nie będzie stanowić zagrożenia dla integralności lasu ufającego.

Atrybut SIDHistory jest przydatny administratorom domeny podczas migrowania kont grup i kont użytkowników z jednej domeny do innej. Administratorzy domeny mogą dodawać identyfikatory SID ze starych kont użytkowników lub kont grup do atrybutu SIDHistory nowego, zmigrowanego konta. W ten sposób administratorzy domeny udzielają nowym kontom dostępu do zasobów na takim samym poziomie jak w przypadku starych kont.

Jeśli administrator domeny nie może używać atrybutu SIDHistory w opisany sposób, musi wyszukać uprawnienia i ponownie zastosować je do nowego konta dla każdego zasobu sieciowego, do którego stare konto miało dostęp.

Wpływ filtrowania identyfikatorów SID

Filtrowanie identyfikatorów SID dla zewnętrznych relacji zaufania może wpłynąć na istniejącą infrastrukturę usługi Active Directory w następujących dwóch obszarach:

  • Dane historii SID, które zawierają identyfikatory SID z domen innych niż domena zaufana, są usuwane z żądań uwierzytelnień wysyłanych z domeny zaufanej. Powoduje to odmowę dostępu do zasobów używających starego identyfikatora SID użytkownika.

  • Stosowana strategia dotycząca kontroli dostępu grup uniwersalnych między lasami będzie wymagała zmian.

Po włączeniu filtrowania identyfikatorów SID użytkownicy, którzy używają historii SID do autoryzacji w celu uzyskania dostępu do zasobów w domenie ufającej, nie będą już mieli dostępu do tych zasobów.

Jeśli jest stosowane przypisywanie grup uniwersalnych z lasu zaufanego do list kontroli dostępu (ACL) na zasobach udostępnionych w domenie ufającej, filtrowanie identyfikatorów SID będzie miało duży wpływ na strategię kontroli dostępu. Ponieważ do grup uniwersalnych muszą być stosowane te same wskazówki dotyczące filtrowania identyfikatorów SID co w przypadku innych obiektów podmiotów zabezpieczeń (identyfikator SID obiektu grupy uniwersalnej musi zawierać identyfikator SID domeny), należy się upewnić, że wszystkie grupy uniwersalne przypisane do zasobów udostępnionych w domenie ufającej zostały utworzone w domenie zaufanej. Jeśli grupa uniwersalna w lesie zaufanym nie została utworzona w domenie zaufanej (nawet jeśli należą do niej użytkownicy domeny zaufanej), żądania uwierzytelnienia wysyłane przez członków tej grupy uniwersalnej będą filtrowane i odrzucane. Dlatego przed przypisaniem użytkownikom z domeny zaufanej dostępu do zasobów w domenie ufającej należy upewnić się, że w domenie zaufanej została utworzona grupa uniwersalna zawierająca użytkowników z domeny zaufanej.

Uwagi dodatkowe

  • W przypadku zewnętrznych relacji zaufania utworzonych z poziomu kontrolerów domeny z systemami Windows 2000 z dodatkiem Service Pack 3 (SP3) lub wcześniejszych wersji filtrowanie identyfikatorów SID nie jest domyślnie wymuszane. Aby zwiększyć zabezpieczenia lasu, należy rozważyć włączenie filtrowania identyfikatorów SID dla wszystkich istniejących zewnętrznych relacji zaufania, które zostały utworzone z użyciem kontrolerów domeny z systemami Windows 2000 z dodatkiem SP3 lub wcześniejszymi. Można to zrobić, używając narzędzia Netdom.exe w celu włączenia filtrowania identyfikatorów SID dla istniejących zaufań zewnętrznych lub ponownie tworząc te zaufania zewnętrzne przy użyciu kontrolera domeny z systemem Windows Server 2008 lub Windows Server 2008 R2.

  • Nie można wyłączyć domyślnego zachowania, zgodnie z którym dla nowo tworzonych zewnętrznych relacji zaufania jest włączane filtrowanie identyfikatorów SID.

  • Aby uzyskać więcej informacji o konfigurowaniu ustawień filtrowania identyfikatorów SID (wyłączaniu i ponownym ich stosowaniu), zobacz temat dotyczący konfigurowania kwarantanny filtrów identyfikatorów SID dla zaufań zewnętrznych (https://go.microsoft.com/fwlink/?LinkId=92778 (strona może zostać wyświetlona w języku angielskim)).

Dodatkowe informacje


Spis treści