Som ett steg att förbättra säkerheten för Active Directory-skogar aktiveras filtrering av säkerhets-ID:n (SID) som standard för alla nya, utgående och externa förtroenden på domänkontrollanter med Windows Server 2008 eller Windows Server 2008 R2. När SID-filtrering används på utgående externa förtroenden är det mer troligt att sabotörer som har åtkomst till den betrodda domänen på domänadministratörsnivå hindras från att ge sig själva eller andra användarkonton i deras domän högre användarrättigheter till domänen med förtroende.
Förstå säkerhetshotet
När SID-filtrering inte är aktiverat för utgående externa förtroenden kan en sabotör med administratörsautentiseringsuppgifter i den betrodda domänen "bevaka" begäranden om nätverksautentisering från domänen med förtroende och erhålla SID-informationen för en användare, till exempel en domänadministratör, som har fullständig åtkomst till resurser i domänen med förtroende.
När sabotören med administratörsautentiseringsuppgifter har fått tag på domänadministratörens SID från domänen med förtroende kan han eller hon lägga till det SID:t i attributet SIDHistory för ett användarkonto i den betrodda domänen och försöka att få fullständig åtkomst till domänen med förtroende och resurserna i den domänen. I den här situationen är en sabotör med autentiseringsuppgifter för domänadministratörer i den betrodda domänen ett hot mot hela skogen med förtroende.
SID-filtrering bidrar till att minska hotet från saboterande användare i den betrodda domänen som använder attributet SIDHistory för att få högre behörighet.
Så här fungerar SID-filtrering
När säkerhetsprinciper skapas i en domän inkluderas domän-SID:t i säkerhetsprincipens SID i syfte att identifiera domänen som säkerhetsprincipen skapades i. Domän-SID:t är ett viktigt kännetecken för en säkerhetsprincip eftersom det används i säkerhetssystemet i Windows för att kontrollera säkerhetsprincipens äkthet.
På ett liknande sätt används SID-filtrering för utgående externa förtroenden som skapas från domänen med förtroende för att kontrollera att inkommande autentiseringsbegäranden från säkerhetsprinciper i den betrodda domänen endast innehåller SID:n för säkerhetsprinciper i den betrodda domänen. Detta uppnås genom att SID:n i den inkommande säkerhetsprincipen jämförs med domän-SID:t för den betrodda domänen. Om något av säkerhetsprincip-SID:na innehåller ett domän-SID som skiljer sig från SID:t för den betrodda domänen tas det felaktiga SID:t bort av förtroendet.
SID-filtrering bidrar till att säkerställa att attributet SIDHistory inte missbrukas i säkerhetsprinciper (till exempel inetOrgPerson) i den betrodda skogen och utgöra ett hot mot integriteten för skogen med förtroende.
Attributet SIDHistory kan vara användbart för domänadministratörer när de migrerar sina användarkonton och gruppkonton från en domän till en annan. Domänadministratörer kan lägga till SID:N från ett gammalt användarkonto eller gruppkonto i attributet SIDHistory för det nya migrerade kontot. Genom att göra detta kan domänadministratörer ge det nya kontot samma åtkomstnivå till resurser som det gamla kontot.
Om domänadministratörer inte kan använda attributet SIDHistory på det här sättet måste de identifiera och ange behörigheter igen för det nya kontot för varje nätverksresurs som det gamla kontot hade åtkomst till.
Effekt av SID-filtrering
SID-filtrering på externa förtroenden kan påverka den befintliga Active Directory-infrastrukturen inom de följande två områdena:
-
SID-historikdata som innehåller SID:n från en annan domän än den betrodda domänen tas bort från autentiseringsbegäranden som görs från den betrodda domänen. Detta leder till att åtkomst nekas till resurser som har användarens gamla SID.
-
Strategin för åtkomstkontroll för universella grupper mellan skogarna måste ändras.
När du aktiverar SID-filtrering har användare som använder SID-historikdata för auktorisering för resurser i domänen med förtroende inte längre åtkomst till de resurserna.
Om du vanligtvis tilldelar universella grupper från en betrodd skog för åtkomstkontrollistor (ACL) på delade resurser i domänen med förtroenden påverkar SID-filtrering en stor effekt på strategin för åtkomstkontroll. Eftersom universella grupper måste följa samma riktlinjer för SID-filtrering som andra säkerhetsprincipobjekt (dvs. objekt-SID:t för den universella gruppen måste också innehålla domän-SID:t) kontrollerar du att universella grupper som är tilldelade delade resurser i domänen med förtroende skapades i den betrodda domänen. Om den universella gruppen i den betrodda skogen inte skapades i den betrodda domänen, även om den kan innehålla användare från den betrodda domänen som medlemmar, filtreras och ignoreras autentiseringsbegäranden från medlemmar i den universella gruppen. Innan du ger åtkomst till resurser i domänen med förtroenden till användare i den betrodda domänen ska du därför bekräfta att den universella gruppen som innehåller användarna från den betrodda domänen skapades i den betrodda domänen.
Ytterligare hänsyn
-
Externa förtroenden som skapas från domänkontrollanter med Windows 2000 Service Pack 3 (SP3) eller tidigare tillämpar inte SID-filtrering som standard. Om du vill säkra skogen ytterligare bör du överväga att aktivera SID-filtrering för alla befintliga externa förtroenden som skapades med domänkontrollanter med Windows 2000 SP3 eller tidigare. Du kan göra detta genom att använda Netdom.exe för att aktivera SID-filtrering på befintliga externa förtroenden eller genom att återskapa de här externa förtroendena från en domänkontrollant med Windows Server 2008 eller Windows Server 2008 R2.
-
Du kan inte inaktivera standardbeteendet som aktiverar SID-filtrering för externa förtroenden som skapats nyligen.
-
Mer information om hur du konfigurerar inställningar för SID-filtrering (inaktiverar eller tillämpar dem igen) finns i avsnittet om konfiguration av SID-filterkarantäner för externa förtroenden (
https://go.microsoft.com/fwlink/?LinkId=92778 - sidan kan vara på engelska).