Boîte de dialogue Filtrage des SID - Sécurisation des approbations externes

Si le filtrage des SID n’est pas activé sur les approbations externes sortantes, un utilisateur malveillant, possédant des informations d’authentification d’administration et résidant dans le domaine approuvé, peut rechercher les demandes d’authentification sur le réseau dans le domaine d’approbation afin d’obtenir les informations sur le SID d’un utilisateur disposant d’un accès total aux ressources de ce domaine, tel qu’un administrateur de domaine.

Une fois qu’il a obtenu le SID de l’administrateur du domaine d’approbation, un utilisateur malveillant possédant des informations d’authentification d’administration peut ajouter ce SID à l’attribut SIDHistory d’un compte d’utilisateur dans le domaine approuvé et tenter de disposer d’un accès total au domaine d’approbation ainsi qu’aux ressources qu’il contient. Dans ce scénario, un utilisateur malveillant possédant des informations d’authentification d’administrateur de domaine dans le domaine approuvé représente une menace pour l’ensemble de la forêt d’approbation.

Le filtrage des SID neutralise le risque que des utilisateurs malveillants dans le domaine approuvé puissent utiliser l’attribut SIDHistory pour obtenir des privilèges élevés.

Lorsque des entités de sécurité sont créées dans un domaine, le SID de ce domaine est compris dans le SID de l’identité de sécurité pour identifier le domaine dans lequel il a été créé. Le SID du domaine est une caractéristique importante d’une entité de sécurité, car le sous-système de sécurité Windows l’utilise pour vérifier son authenticité.

De la même manière, les approbations externes sortantes créées à partir du domaine d’approbation utilisent le filtrage des SID pour vérifier que les demandes d’authentification entrantes effectuées par des entités de sécurité dans le domaine approuvé ne contiennent que des SID d’entités de sécurité contenus dans ce dernier. Cette opération s’effectue en comparant les SID de l’entité de sécurité entrante avec le SID du domaine approuvé. Si l’un des SID de l’entité de sécurité comprend un SID de domaine autre que celui du domaine approuvé, l’approbation supprime le SID en question.

Le filtrage des SID garantit qu’aucune utilisation abusive de l’attribut SIDHistory sur les entités de sécurité (notamment inetOrgPerson) dans la forêt approuvée ne menace l’intégrité de la forêt d’approbation.

L’attribut SIDHistory peut s’avérer utile lorsque des administrateurs de domaine migrent des comptes d’utilisateurs et de groupes d’un domaine vers un autre. Les administrateurs de domaine peuvent ajouter des SID provenant d’un ancien compte d’utilisateur ou de groupe à l’attribut SIDHistory du nouveau compte migré. De cette manière, les administrateurs de domaine accordent au nouveau compte le même niveau d’accès aux ressources que l’ancien compte.

Si les administrateurs de domaine ne peuvent pas utiliser l’attribut SIDHistory de cette manière, ils doivent effectuer le suivi des autorisations et les réappliquer au nouveau compte sur chaque ressource réseau à laquelle l’ancien compte devait avoir accès.

Le filtrage des SID sur des approbations externes peut affecter votre infrastructure Active Directory existante dans les deux domaines suivants :

• Les données d’historique SID contenant les SID des domaines autres que le domaine approuvé sont supprimées des demandes d’authentification effectuées par le domaine approuvé. L’accès est ainsi refusé aux ressources disposant de l’ancien SID de l’utilisateur.
  
  
• La stratégie de contrôle d’accès du groupe universel entre les forêts requiert des modifications.
  
  

Lorsque le filtrage des SID est activé, les utilisateurs qui font appel à des données d’historique SID pour obtenir l’accès à des ressources du domaine d’approbation n’ont plus accès à ces dernières.

Si vous attribuez généralement des groupes universels d’une forêt approuvée aux listes de contrôle d’accès (ACL) sur des ressources partagées du domaine d’approbation, le filtrage des SID aura un impact majeur sur votre stratégie de contrôle d’accès. Comme les groupes universels doivent adhérer aux mêmes règles de filtrage des SID que les autres objets d’entité de sécurité (c’est-à-dire que le SID de l’objet groupe universel doit également contenir le SID du domaine), vous devez vérifier que tout groupe universel attribué aux ressources partagées dans le domaine d’approbation a été créé dans le domaine approuvé. Si le groupe universel de la forêt approuvée n’a pas été créé dans le domaine approuvé, même s’il contient éventuellement des utilisateurs du domaine approuvé comme membres, les demandes d’authentification effectuées par les membres de ce groupe universel sont filtrées et ignorées. Par conséquent, avant d’accorder l’accès aux ressources du domaine d’approbation aux utilisateurs du domaine approuvé, vous devez vérifier que le groupe universel contenant les utilisateurs du domaine approuvé a été créé dans ce même domaine approuvé.

• Interface utilisateur : Domaines et approbations Active Directory