Para melhorar a segurança das florestas do Active Directory, os controladores de domínio com o Windows Server 2008 ou oWindows Server 2008 R2 activam, por predefinição, a filtragem por identificador de segurança (SID) em todas as novas fidedignidades de saída externas. Quando a filtragem por SID é aplicada a fidedignidades externas de saída, existe uma maior probabilidade de os utilizadores maliciosos com acesso ao nível do administrador do domínio no domínio fidedigno serem impedidos de conceder (a si próprios e a outras contas de utilizador no domínio) direitos de utilizador elevados ao domínio confiante.
Noções sobre a ameaça
Quando a filtragem por SID não está activada nas fidedignidades externas de saída, um utilizador malicioso com credenciais administrativas no domínio fidedigno poderá detectar pedidos de autenticação de rede de domínios confiantes para obter as informações de SID de um utilizador, tal como um administrador de domínio com acesso total a recursos no domínio confiante.
Depois de obter o SID do administrador do domínio confiante, um utilizador malicioso com credenciais administrativas pode adicionar esse SID a um atributo SIDHistory da conta de utilizador no domínio fidedigno e tentar obter acesso total ao domínio confiante e aos recursos nesse domínio. Neste cenário, um utilizador malicioso com credenciais de administrador de domínio no domínio fidedigno é uma ameaça para toda a floresta confiante.
A filtragem por SID ajuda a neutralizar a ameaça de utilizadores maliciosos no domínio fidedigno utilizarem o atributo SIDHistory para obter privilégios elevados.
Como funciona a filtragem por SID
Quando os principais de segurança são criados num domínio, o SID de domínio é incluído no SID do principal de segurança para identificar o domínio em que o principal de segurança foi criado. O SID do domínio é uma característica importante de um principal de segurança porque o subsistema de segurança do Windows utiliza-o para verificar a autenticidade do principal de segurança.
De modo semelhante, as fidedignidades externas de saída criadas a partir do domínio confiante utilizam a filtragem por SID para verificar se os pedidos de autenticação de entrada dos principais de segurança do domínio fidedigno contêm apenas os SIDs dos principais de segurança do domínio fidedigno. Isto é efectuado através da comparação dos SIDs do principal de segurança de entrada com o SID do domínio fidedigno. Se um dos SIDs do principal de segurança incluir um SID do domínio fidedigno, a fidedignidade remove o SID infractor.
A filtragem por SID ajuda a assegurar que qualquer utilização indevida do atributo SIDHistory em principais de segurança (incluindo o inetOrgPerson) na floresta fidedigna não constitua uma ameaça à integridade da floresta confiante.
O atributo SIDHistory pode ser útil a administradores de domínio, quando estes migram contas de utilizador e contas de grupo de um domínio para outro. Os administradores de domínio podem adicionar SIDs de uma conta utilizador antiga ao atributo SIDHistory da nova conta migrada. Ao fazê-lo, os administradores de domínio atribuem à nova conta o mesmo nível de acesso a recursos que a conta antiga.
Se os administradores de domínios não puderem utilizar o atributo SIDHistory deste modo, têm de identificar e voltar a aplicar as permissões para a nova conta em todos os recursos de rede a que a conta antiga tinha acesso.
Impacto da filtragem por SID
A filtragem por SID em fidedignidades externas pode afectar a infra-estrutura do Active Directory existente nas seguintes duas áreas:
-
Os dados do histórico do SID, que contém os SIDs de qualquer domínio diferente do domínio fidedigno, são removidos dos pedidos de autenticação efectuados pelo domínio fidedigno. Isto faz com que o acesso seja negado a recursos com o SID antigo do utilizador.
-
A estratégia para o controlo do acesso de grupo universal entre florestas necessitará de alterações.
Quando activa a filtragem por SID, os utilizadores que usam dados do histórico do SID para autorização para recursos no domínio confiante deixam de ter acesso a esse recursos.
Se normalmente atribuir utilizadores de uma floresta fidedigna a listas de controlo de acesso em recursos partilhados no domínio fidedigno, a filtragem por SID tem um impacto significativo na estratégia de controlo do acesso. Uma vez que os grupos universais têm de aderir às mesmas orientações de filtragem por SID que outros objectos principais de segurança (o SID do objecto de grupo universal também tem de conter o SID de domínio), verifique se quaisquer grupos universais atribuídos aos recursos partilhados no domínio confiante foram criado no domínio fidedigno. Se o grupo universal na floresta fidedigna não tiver sido criado no domínio fidedigno, ainda que contenha utilizadores do domínio fidedigno como membros, os pedidos de autenticação dos membros do grupo universal serão filtrados e rejeitados. Por conseguinte, antes de atribuir acesso a recursos no domínio confiante para utilizadores no domínio fidedigno, confirme se o grupo universal, que contém os utilizadores do domínio fidedigno, foi criado no domínio fidedigno.
Considerações adicionais
-
As fidedignidades externas criadas a partir de controladores de domínio com o Windows 2000 Service Pack 3 (SP3) ou com uma versão anterior não aplicam a filtragem por SID por predefinição. Para proteger ainda melhor a floresta, considere a activação da filtragem por SID em todas as fidedignidades externas existentes, criadas por controladores de domínio com o Windows 2000 SP3 ou com uma versão anterior. Pode fazê-lo utilizando Netdom.exe para activar a filtragem por SID em fidedignidades externas existentes ou voltando a criar estas fidedignidades externas a partir de um controlador de domínio com o Windows Server 2008 ou o Windows Server 2008 R2.
-
Não pode desactivar o comportamento predefinido que activa a filtragem por SID para fidedignidades externas recém-criadas.
-
Para mais informações sobre a configuração das definições de filtragem por SID (desactivando-as ou voltando a aplicá-las), consulte a secção sobre a configuração da quarentena de filtros por SID em fidedignidades externas (
https://go.microsoft.com/fwlink/?LinkId=92778 (pode estar em inglês) ).