Pro vyšší zabezpečení doménových struktur služby Active Directory umožňují ve výchozím nastavení řadiče domény se systémem Windows Server 2008 nebo Windows Server 2008 R2 u všech nových odchozích externích vztahů důvěryhodnosti filtrovat identifikátory zabezpečení (SID). Pokud je u odchozích externích vztahů důvěryhodnosti použito filtrování identifikátorů SID, může být uživatelům se zlými úmysly, kteří mají v důvěryhodné doméně přístup na úrovni správce domény, znemožněno udělení zvýšených uživatelských práv k důvěřující doméně, ať už přímo jim nebo jiným uživatelských účtům v jejich doméně.
Princip ohrožení
Pokud u odchozích externích vztahů důvěryhodnosti není povoleno filtrování identifikátorů SID, může uživatel se zlými úmysly, který má pověření ke správě v důvěryhodné doméně, zachytit požadavky na ověření sítě od důvěřující domény a získat informace identifikátoru SID uživatele, například správce domény, který má úplný přístup k prostředkům v důvěřující doméně.
Po získání identifikátoru SID správce domény od důvěřující domény může uživatel se zlými úmysly, který má pověření ke správě, přidat tento identifikátor SID do atributu SIDHistory uživatelského účtu v důvěryhodné doméně a pokusit se získat úplný přístup k důvěřující doméně a prostředkům v této doméně. Uživatel se zlými úmysly, který má pověření správce domény v důvěryhodné doméně, představuje v této situaci hrozbu pro celou důvěřující doménovou strukturu.
Filtrování identifikátorů SID umožňuje neutralizovat hrozbu uživatelů se zlými úmysly v důvěryhodné doméně, kteří se pomocí atributu SIDHistory snaží získat zvýšená oprávnění.
Funkce filtrování identifikátorů SID
Jakmile jsou v doméně vytvořeny objekty zabezpečení, je do identifikátoru SID objektu zabezpečení začleněn doménový identifikátor SID označující doménu, ve které byl tento objekt zabezpečení vytvořen. Doménový identifikátor SID je důležitou charakteristikou objektu zabezpečení, protože podsystém zabezpečení systému Windows ho používá k ověření pravosti objektu zabezpečení.
Odchozí externí vztahy důvěryhodnosti, které jsou vytvořeny z důvěřující domény, podobně pomocí filtrování identifikátorů SID ověřují, zda příchozí požadavky na ověření od objektů zabezpečení v důvěryhodné doméně obsahují pouze identifikátory SID objektů zabezpečení v této důvěryhodné doméně. Toho je dosaženo porovnáním identifikátoru SID příchozího objektu zabezpečení s doménovým identifikátorem SID důvěryhodné domény. Pokud některý identifikátor SID objektu zabezpečení obsahuje jiný doménový identifikátor SID, než který pochází od důvěryhodné domény, vztah důvěryhodnosti tento narušující identifikátor SID odebere.
Filtrování identifikátorů SID zajišťuje, aby jakékoli zneužití atributu SIDHistory u objektů zabezpečení (včetně objektu inetOrgPerson) v důvěryhodné doménové struktuře nemohlo ohrozit integritu důvěřující doménové struktury.
Atribut SIDHistory může být užitečný pro správce domén, kteří migrují uživatelské účty a skupinové účty z jedné domény do jiné. Správci domény mohou přidat identifikátory SID ze starého uživatelského nebo skupinového účtu do atributu SIDHistory nového migrovaného účtu. Nový účet tak získá stejnou úroveň přístupu k prostředkům jako starý účet.
Pokud správci domény nemohou atribut SIDHistory tímto způsobem použít, musí zjistit a znovu nastavit oprávnění pro nový účet u každého síťového prostředku, ke kterému měl starý účet přístup.
Dopad filtrování identifikátorů SID
Filtrování identifikátorů SID u externích vztahů důvěryhodnosti může ovlivnit stávající infrastrukturu služby Active Directory v těchto dvou oblastech:
-
Historická data identifikátorů SID, která obsahují identifikátory SID z jiné než důvěryhodné domény, jsou odebrána z požadavků na ověření, které pocházejí od důvěryhodné domény. Prostředkům, které obsahují starý identifikátor SID uživatele, proto bude odepřen přístup.
-
Strategie pro řízení přístupu univerzálních skupin mezi doménovými strukturami bude vyžadovat změny.
Pokud povolíte filtrování identifikátorů SID, uživatelé, kteří používají historická data identifikátorů SID k ověřování prostředků v důvěřující doméně, nebudou mít k těmto prostředkům nadále přístup.
Pokud univerzální skupiny z důvěryhodné doménové struktury přiřadíte k seznamům řízení přístupu (ACL) u sdílených prostředků v důvěřující doméně, bude mít filtrování identifikátorů SID významný vliv na strategii řízení přístupu. Protože univerzální skupiny musí dodržovat stejná pravidla filtrování identifikátorů SID jako jiné objekty zabezpečení (to znamená, že identifikátor SID objektu univerzální skupiny musí rovněž obsahovat doménový identifikátor SID), ověřte, zda všechny univerzální skupiny přiřazené ke sdíleným prostředkům v důvěřující doméně byly vytvořeny v důvěryhodné doméně. Pokud univerzální skupina v důvěryhodné doménové struktuře nebyla vytvořena v důvěryhodné doméně (přestože může jako členy obsahovat uživatele z důvěryhodné domény), budou požadavky na ověření od členů této univerzální skupiny odfiltrovány a zahozeny. Dříve, než uživatelům v důvěryhodné doméně přiřadíte přístup k prostředkům v důvěřující doméně proto ověřte, zda byla univerzální skupina obsahující uživatele důvěryhodné domény vytvořena v důvěryhodné doméně.
Další požadavky
-
U externích vztahů důvěryhodnosti, které jsou vytvořeny z řadičů domény se systémem Windows 2000 Service Pack 3 (SP3) nebo starším, není ve výchozím nastavení vynuceno filtrování identifikátorů SID. Chcete-li posílit zabezpečení doménové struktury, zvažte filtrování identifikátorů SID u všech existujících externích vztahů důvěryhodnosti, které byly vytvořeny řadiči domény se systémem Windows 2000 SP3 nebo starším. Toho můžete dosáhnout příkazem Netdom.exe, který umožní filtrování identifikátorů SID u existujících externích vztahů důvěryhodnosti, nebo opětovným vytvořením těchto externích vztahů důvěryhodnosti z řadiče domény se systémem Windows Server 2008 nebo Windows Server 2008 R2.
-
Výchozí chování, které povoluje filtrování identifikátorů SID u nově vytvořených externích vztahů důvěryhodnosti, nelze vypnout.
-
Další informace o konfiguraci filtrování identifikátorů SID (o jejich zakázání nebo opětovném použití) naleznete v článku Konfigurace umístění filtrování identifikátorů SID do karantény u externích vztahů důvěryhodnosti (
https://go.microsoft.com/fwlink/?LinkId=92778 (stránka může být v angličtině) ).