Active Directory ormanlarının güvenliğini artırmak için, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerinde tüm yeni, giden ve dış güvenlerde güvenlik kimliği (SID) filtreleme varsayılan olarak etkindir. Giden dış güvenlere SID filtreleme uygulanırsa, güvenilen etki alanında etki alanı yöneticisi düzeyinde erişimi olan kötü amaçlı kullanıcıların, kendilerine veya etki alanlarındaki başka kullanıcı hesaplarına güvenen etki alanında yükseltilmiş kullanıcı hakları vermelerini engelleme olasılığı yükselir.
Tehdidi anlama
Giden güven ilişkilerinde SID filtreleme etkin olmazsa, güvenilen etki alanında yönetici haklarına sahip olan kötü niyetli bir kullanıcı, güvenen etki alanındaki tüm kaynaklara tam erişimi olan etki alanı yöneticisi gibi bir kullanıcının, SID bilgilerini elde etmek için güvenen etki alanından gelen ağ kimlik doğrulama isteklerini "algılama" olanağına sahip olabilir.
Yönetici haklarına sahip kötü niyetli kullanıcı güvenen etki alanından etki alanı denetleyicisinin SID'sini elde ettikten sonra, bu SID'yi güvenilen etki alanındaki kullanıcı hesabının SIDHistory özniteliğine ekleyebilir ve güvenen etki alanına ve bu etki alanındaki kaynaklara tam erişim kazanmaya çalışabilir. Bu senaryoda, güvenilen bilgisayarda etki alanı yönetici hakları olan kötü niyetli bir kullanıcı tüm güvenen ormanı için bir tehdittir.
SID filtreleme özelliği, güvenilen etki alanında yükseltilmiş haklar elde etmek için SIDHistory özniteliğini kullanan kötü niyetli kullanıcı tehdidini kaldırmaya yardımcı olur.
SID filtreleme nasıl çalışır?
Bir etki alanında güvenlik sorumluları oluşturulursa, güvenlik sorumlusunun oluşturulduğu etki alanını tanımlamak için, etki alanı SID'si güvenlik sorumlusunun SID'sine eklenir. Windows güvenlik alt sistemi güvenlik sorumlusunun kimliğini doğrulamak için kullandığından, etki alanı SID'si güvenlik sorumlusunun önemli bir özelliğidir.
Benzer bir yöntemde, güvenen etki alanından oluşturulan giden dış güvenler, güvenilen etki alanındaki güvenlik sorumlularından gelen kimlik doğrulama isteklerinin yalnızca güvenilen etki alanındaki güvenlik sorumlularının SID'lerini içerdiğini doğrulamak için SID filtrelemeyi kullanır. Bu işlem, gelen güvenlik sorumlusu SID'si güvenilen etki alanının SID'siyle karşılaştırılarak yapılır. Güvenlik sorumlusu SID'lerinin herhangi biri, güvenilen alanından farklı bir etki alanı SID'si içeriyorsa, güven işlevi, sorun oluşturan SID'yi kaldırır.
SID filtreleme, güvenilen ormandaki güvenlik sorumlularında (inetOrgPerson dahil) SIDHistory özniteliğinin herhangi bir yanlış kullanımının güvenen ormanın bütünlüğü için bir tehdit olmayacağından emin olunmasında yardımcı olur.
SIDHistory özniteliği, etki alanı yöneticileri kullanıcı ve grup hesaplarını bir etki alanından diğerine geçirirken yararlı olabilir. Etki alanı denetleyicileri eski bir kullanıcı veya grup hesabındaki SID'leri yeni ve geçişi yapılmış hesabın SIDHistory özniteliğine ekleyebilir. Bunu yaparak kaynaklar için yeni hesaba eski hesapla aynı erişim düzeyini verirler.
Etki alanı yöneticileri SIDHistory özniteliğini bu şekilde kullanamıyorlarsa, eski hesabın erişimi olduğu her ağ kaynağına olan izinleri inceleyip yeniden uygulamaları gerekir.
SID filtreleme etkisi
Dış güvenlerde SID filtreleme varolan Active Directory altyapınızı aşağıdaki iki alanda etkileyebilir:
-
Güvenilen etki alanı dışında herhangi bir etki alanından SID'ler içeren SID geçmiş verileri, güvenilen etki alanından yapılan kimlik doğrulama isteklerinden kaldırılır. Bu, kullanıcının eski SID'sine sahip kaynaklara erişimin engellenmesine neden olur.
-
Ormanlar arasındaki evrensel grup erişimi denetimi stratejiniz değişiklik gerektirecektir.
SID filtrelemeyi etkinleştirirseniz, güvenen etki alanındaki kaynaklar için yetkilendirme amaçlı SID geçmişi kullanan kullanıcıların artık bu kaynaklara erişimi olmayacaktır.
Güvenilen ormandaki evrensel grupları güvenen etki alanındaki paylaşılan kaynakların erişim denetim listelerine (ACL) atarsanız, SID filtrelemenin erişim denetim stratejinizde büyük bir etkisi olur. Evrensel grupların, diğer güvenlik sorumlusu nesneleriyle aynı SID filtreleme kurallarına uyma zorunluluğu olduğu için (yani evrensel grup nesne SID'si etki alanı SID'sini de içermelidir), güvenen etki alanındaki paylaşılan kaynaklara atanan tüm evrensel grupların güvenilen etki alanında oluşturulduğunu doğrulayın. Güvenilen ormandaki evrensel grup güvenilen etki alanında oluşturulmadıysa (güvenen etki alanından üye olarak kullanıcıları içeriyor olsa bile), bu evrensel grubun üyelerinden gelen kimlik doğrulama istekleri filtrelenecek ve atılacaktır. Bu yüzden, güvenilen etki alanındaki kullanıcılar için güvenen etki alanındaki kaynaklara erişim atamadan önce, güvenilen etki alanı kullanıcılarını içeren evrensel grubun güvenilen etki alanından oluşturulduğunu onaylayın.
Dikkat edilecek diğer noktalar
-
Windows 2000 Service Pack 3 (SP3) veya daha önceki sürümleri çalıştıran etki alanı denetleyicilerinden oluşturulmuş dış güvenler varsayılan olarak SID filtrelemeyi zorlamaz. Ormanınıza daha fazla güvenlik sağlamak için, Windows 2000 SP3 veya daha önceki sürümleri çalıştıran etki alanı denetleyiciler tarafından oluşturulmuş varolan tüm dış güvenlerde SID filtrelemeyi etkinleştirmeyi düşünün. Varolan dış güvenlerde SID filtrelemeyi etkinleştirmek için Netdom.exe'yi kullanarak veya bu dış güvenleri Windows Server 2008 ya da Windows Server 2008 R2 çalıştıran bir etki alanı denetleyicisinden yeniden oluşturarak bunu yapabilirsiniz.
-
Yeni oluşturulan dış güvenlerde SID filtrelemeyi etkinleştiren varsayılan davranışı devre dışı bırakamazsınız.
-
SID filtreleme ayarlarını yapılandırma (devre dışı bırakma veya yeniden uygulama) hakkında daha fazla bilgi için, bkz. Dış Güvenlerde SID Filtresi Karantinaya Alma (
https://go.microsoft.com/fwlink/?LinkId=92778 (Bu sayfa İngilizce içeriğe sahip olabilir) ).