SID-Filter (Dialogfeld) – Externe Vertrauensstellung sichern

Wenn der SID-Filter für ausgehende externe Vertrauensstellungen nicht aktiviert ist, kann ein böswilliger Benutzer mit administrativen Anmeldeinformationen in der vertrauenswürdigen Domäne möglicherweise Netzwerkauthentifizierungsanforderungen von der vertrauenden Domäne "abfangen", um die SID-Informationen eines Benutzers abzurufen, beispielsweise eines Domänenadministrators, der über Vollzugriff auf Ressourcen in der vertrauenden Domäne verfügt.

Nachdem die SID des Domänenadministrators von der vertrauenden Domäne abgerufen wurde, kann ein böswilliger Benutzer mit administrativen Anmeldeinformationen dem SIDHistory-Attribut eines Benutzerkontos in der vertrauenswürdigen Domäne diese SID hinzufügen und versuchen, Vollzugriff auf die vertrauende Domäne und die Ressourcen in dieser Domäne zu erhalten. In diesem Szenario ist ein böswilliger Benutzer mit Domänenadministrator-Anmeldeinformationen eine Bedrohung für die gesamte vertrauende Gesamtstruktur.

Mit dem SID-Filter kann die von böswilligen Benutzern in der vertrauenswürdigen Domäne ausgehende Bedrohung neutralisiert werden, dass diese das SIDHistory-Attribut verwenden, um erhöhte Rechte zu erhalten.

Wenn in einer Domäne Sicherheitsprinzipale erstellt werden, ist die Domänen-SID in der SID des Sicherheitsprinzipals enthalten, sodass die Domäne identifiziert werden kann, in der das Sicherheitsprinzipal erstellt wurde. Die Domänen-SID stellt ein wichtiges Merkmal eines Sicherheitsprinzipals dar, da sie im Windows-Sicherheitssubsystem zur Überprüfung der Authentizität des Sicherheitsprinzipals verwendet wird.

In ähnlicher Weise verwenden von der vertrauenden Domäne erstellte, ausgehende externe Vertrauensstellungen den SID-Filter, um sicherzustellen, dass die eingehenden Authentifizierungsanforderungen von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne nur die SIDs der Sicherheitsprinzipale in der vertrauenswürdigen Domäne enthalten. Dies wird durch einen Vergleich der SIDs des eingehenden Sicherheitsprinzipals mit der Domänen-SID der vertrauenswürdigen Domäne ermöglicht. Wenn in einer der SIDs des Sicherheitsprinzipals eine andere Domänen-SID als die SID der vertrauenswürdigen Domäne enthalten ist, wird die entsprechende SID durch die Vertrauensstellung entfernt.

Mit dem SID-Filter kann sichergestellt werden, dass jeglicher Missbrauch des SIDHistory-Attributs für Sicherheitsprinzipale (einschließlich inetOrgPerson) in der vertrauenswürdigen Gesamtstruktur keine Bedrohung für die Integrität der vertrauenden Gesamtstruktur darstellt.

Das SIDHistory-Attribut kann für Domänenadministratoren hilfreich sein, wenn Benutzerkonten und Gruppenkonten von einer Domäne zu einer anderen migriert werden. Domänenadministratoren können dem SIDHistory-Attribut des neuen, migrierten Kontos SIDs von einem alten Benutzerkonto oder Gruppenkonto hinzufügen. Dadurch geben die Domänenadministratoren dem neuen Konto dieselbe Zugriffsebene für Ressourcen wie dem alten Konto.

Wenn das SIDHistory-Attribut nicht auf diese Weise von Domänenadministratoren verwendet werden kann, müssen Sie die Berechtigungen für das neue Konto für jede Netzwerkressource ausfindig machen, auf die das alte Konto Zugriff hatte und die Berechtigungen erneut anwenden.

Die Verwendung des SID-Filters für externe Vertrauensstellungen kann sich auf die vorhandene Active Directory-Infrastruktur der folgenden zwei Bereiche auswirken:

• SID-Verlaufsdaten, die die SIDs von einer anderen Domäne als der vertrauenswürdigen Domäne enthalten, werden aus den von der vertrauenswürdigen Domäne gestellten Authentifizierungsanforderungen entfernt. Dies führt dazu, dass der Zugriff auf Ressourcen verweigert wird, die über die alte SID des Benutzers verfügen.
  
  
• Für die Strategie einer universellen Gruppenzugriffssteuerung zwischen Gesamtstrukturen sind Änderungen erforderlich.
  
  

Wenn Sie den SID-Filter aktivieren, haben Benutzer, die SID-Verlaufsdaten für die Autorisierung für Ressourcen in der vertrauenden Domäne verwenden, keinen Zugriff mehr auf diese Ressourcen.

Wenn Sie in der Regel Zugriffssteuerungslisten (Access Control Lists, ACLs) auf freigegebenen Ressourcen in der vertrauenden Domäne universelle Gruppen von einer vertrauenswürdigen Gesamtstruktur zuweisen, hat der SID-Filter größere Auswirkungen auf die Zugriffssteuerungsstrategie. Da für universelle Gruppen dieselben SID-Filter-Richtlinien gelten wie für andere Sicherheitsprinzipalobjekte (d. h., die SID des universellen Gruppenobjekts muss auch die Domänen-SID enthalten), stellen Sie sicher, dass alle universellen Gruppen, die freigegebenen Ressourcen in der vertrauenden Domäne zugewiesen sind, in der vertrauenswürdigen Domäne erstellt wurden. Wenn die universelle Gruppe in der vertrauenswürdigen Gesamtstruktur nicht in der vertrauenswürdigen Domäne erstellt wurde - obwohl darin Benutzer der vertrauenswürdigen Domäne als Mitglieder enthalten sein können - werden Authentifizierungsanforderungen von Mitgliedern dieser universellen Gruppe gefiltert und verworfen. Bevor Sie Benutzern in der vertrauenswürdigen Domäne den Zugriff auf Ressourcen in der vertrauenden Domäne zuweisen, bestätigen Sie, dass die universelle Gruppe mit den vertrauenswürdigen Domänenbenutzern in der vertrauenswürdigen Domäne erstellt wurde.

• Benutzeroberfläche: Active Directory-Domänen und -Vertrauensstellungen