Pour renforcer la sécurité des forêts Active Directory, les contrôleurs de domaine exécutant Windows Server 2008 ou Windows Server 2008 R2 activent par défaut le filtrage des identificateurs de sécurité (SID) sur toutes les nouvelles approbations externes sortantes. En appliquant le filtrage des SID aux approbations externes sortantes, vous empêchez les utilisateurs malveillants qui disposent d’un accès de niveau administrateur dans le domaine approuvé d’accorder, à eux-mêmes ou aux autres comptes d’utilisateurs de leur domaine, des droits d’utilisateur élevés sur le domaine d’approbation.
Présentation de la menace
Si le filtrage des SID n’est pas activé sur les approbations externes sortantes, un utilisateur malveillant, possédant des informations d’authentification d’administration et résidant dans le domaine approuvé, peut rechercher les demandes d’authentification sur le réseau dans le domaine d’approbation afin d’obtenir les informations sur le SID d’un utilisateur disposant d’un accès total aux ressources de ce domaine, tel qu’un administrateur de domaine.
Une fois qu’il a obtenu le SID de l’administrateur du domaine d’approbation, un utilisateur malveillant possédant des informations d’authentification d’administration peut ajouter ce SID à l’attribut SIDHistory d’un compte d’utilisateur dans le domaine approuvé et tenter de disposer d’un accès total au domaine d’approbation ainsi qu’aux ressources qu’il contient. Dans ce scénario, un utilisateur malveillant possédant des informations d’authentification d’administrateur de domaine dans le domaine approuvé représente une menace pour l’ensemble de la forêt d’approbation.
Le filtrage des SID neutralise le risque que des utilisateurs malveillants dans le domaine approuvé puissent utiliser l’attribut SIDHistory pour obtenir des privilèges élevés.
Fonctionnement du filtrage des SID
Lorsque des entités de sécurité sont créées dans un domaine, le SID de ce domaine est compris dans le SID de l’identité de sécurité pour identifier le domaine dans lequel il a été créé. Le SID du domaine est une caractéristique importante d’une entité de sécurité, car le sous-système de sécurité Windows l’utilise pour vérifier son authenticité.
De la même manière, les approbations externes sortantes créées à partir du domaine d’approbation utilisent le filtrage des SID pour vérifier que les demandes d’authentification entrantes effectuées par des entités de sécurité dans le domaine approuvé ne contiennent que des SID d’entités de sécurité contenus dans ce dernier. Cette opération s’effectue en comparant les SID de l’entité de sécurité entrante avec le SID du domaine approuvé. Si l’un des SID de l’entité de sécurité comprend un SID de domaine autre que celui du domaine approuvé, l’approbation supprime le SID en question.
Le filtrage des SID garantit qu’aucune utilisation abusive de l’attribut SIDHistory sur les entités de sécurité (notamment inetOrgPerson) dans la forêt approuvée ne menace l’intégrité de la forêt d’approbation.
L’attribut SIDHistory peut s’avérer utile lorsque des administrateurs de domaine migrent des comptes d’utilisateurs et de groupes d’un domaine vers un autre. Les administrateurs de domaine peuvent ajouter des SID provenant d’un ancien compte d’utilisateur ou de groupe à l’attribut SIDHistory du nouveau compte migré. De cette manière, les administrateurs de domaine accordent au nouveau compte le même niveau d’accès aux ressources que l’ancien compte.
Si les administrateurs de domaine ne peuvent pas utiliser l’attribut SIDHistory de cette manière, ils doivent effectuer le suivi des autorisations et les réappliquer au nouveau compte sur chaque ressource réseau à laquelle l’ancien compte devait avoir accès.
Impact du filtrage des SID
Le filtrage des SID sur des approbations externes peut affecter votre infrastructure Active Directory existante dans les deux domaines suivants :
-
Les données d’historique SID contenant les SID des domaines autres que le domaine approuvé sont supprimées des demandes d’authentification effectuées par le domaine approuvé. L’accès est ainsi refusé aux ressources disposant de l’ancien SID de l’utilisateur.
-
La stratégie de contrôle d’accès du groupe universel entre les forêts requiert des modifications.
Lorsque le filtrage des SID est activé, les utilisateurs qui font appel à des données d’historique SID pour obtenir l’accès à des ressources du domaine d’approbation n’ont plus accès à ces dernières.
Si vous attribuez généralement des groupes universels d’une forêt approuvée aux listes de contrôle d’accès (ACL) sur des ressources partagées du domaine d’approbation, le filtrage des SID aura un impact majeur sur votre stratégie de contrôle d’accès. Comme les groupes universels doivent adhérer aux mêmes règles de filtrage des SID que les autres objets d’entité de sécurité (c’est-à-dire que le SID de l’objet groupe universel doit également contenir le SID du domaine), vous devez vérifier que tout groupe universel attribué aux ressources partagées dans le domaine d’approbation a été créé dans le domaine approuvé. Si le groupe universel de la forêt approuvée n’a pas été créé dans le domaine approuvé, même s’il contient éventuellement des utilisateurs du domaine approuvé comme membres, les demandes d’authentification effectuées par les membres de ce groupe universel sont filtrées et ignorées. Par conséquent, avant d’accorder l’accès aux ressources du domaine d’approbation aux utilisateurs du domaine approuvé, vous devez vérifier que le groupe universel contenant les utilisateurs du domaine approuvé a été créé dans ce même domaine approuvé.
Considérations supplémentaires
-
Les approbations externes créées à partir de contrôleurs de domaine exécutant Windows 2000 Service Pack 3 (SP3) ou une version antérieure n’appliquent pas le filtrage des SID par défaut. Pour renforcer la sécurité de votre forêt, vous devez envisager d’activer le filtrage des SID sur toutes les approbations externes existantes créées par des contrôleurs de domaine exécutant Windows 2000 SP3 ou une version antérieure. Pour cela, utilisez Netdom.exe pour activer le filtrage des SID sur les approbations externes existantes ou recréez ces approbations externes à partir d’un contrôleur de domaine exécutant Windows Server 2008 ou Windows Server 2008 R2.
-
Vous ne pouvez pas désactiver le comportement par défaut qui active le filtrage des SID pour les approbations externes nouvellement créées.
-
Pour plus d’informations sur la configuration des paramètres de filtrage des SID (désactivation ou réapplication des paramètres), voir l’article sur la configuration de la mise en quarantaine des filtres des SID sur les approbations externes à l’adresse
https://go.microsoft.com/fwlink/?LinkId=92778 (éventuellement en anglais).