Az Active Directory erdők biztonságának növelése érdekében a Windows Server 2008 vagy Windows Server 2008 R2 rendszert futtató tartományvezérlők alapértelmezés szerint engedélyezik a biztonsági azonosító (SID) szűrését valamennyi új, kimenő és külső megbízhatósági kapcsolaton. Ha SID-szűrést alkalmaz a kimenő külső megbízhatósági kapcsolatokon, akkor azok a rossz szándékú felhasználók, akik tartományi rendszergazda szintű hozzáféréssel rendelkeznek a megbízható tartományban, sokkal nehezebben adhatnak emelt szintű felhasználói jogosultságokat önmaguknak vagy a tartományhoz tartozó más felhasználói fiókoknak a megbízó tartományhoz.

A veszély ismertetése

Ha a SID-szűrés nem aktív a kimenő külső megbízhatósági kapcsolatokon, a megbízható tartományban rendszergazdai hitelesítő adatokkal rendelkező rossz szándékú felhasználó "lehallgathatja" a hálózati hitelesítési kérelmeket a megbízó tartományból, így megszerezheti egy olyan felhasználó (például a tartományi rendszergazda) SID-adatait, aki teljes hozzáféréssel rendelkezik a megbízó tartomány erőforrásaihoz.

Ha megszerezte a tartományi rendszergazda biztonsági azonosítóját a megbízó tartományból, a rendszergazdai hitelesítő adatokkal rendelkező rossz szándékú felhasználó hozzáadhatja ezt a biztonsági azonosítót az egyik felhasználói fiók SIDHistory attribútumához a megbízható tartományban, és teljes hozzáférést próbálhat szerezni a megbízó tartományhoz és annak erőforrásaihoz. Ebben az esetben az olyan rossz szándékú felhasználó, aki rendszergazdai hitelesítő adatokkal rendelkezik a megbízható tartományban, veszélyt jelent a teljes erdőszintre.

A SID-szűrés segítségével semlegesíthető annak veszélye, hogy a rossz szándékú felhasználók a SIDHistory attribútum használatával emelt szintű jogosultságokat szereznek a megbízható tartományban.

A SID-szűrés működési mechanizmusa

Amikor rendszerbiztonsági tagokat hoz létre egy tartományban, a tartomány biztonsági azonosítója bekerül a rendszerbiztonsági tag biztonsági azonosítójába, így azonosítva azt a tartományt, amelyben rendszerbiztonsági tag létrejött. A tartomány biztonsági azonosítója a rendszerbiztonsági tag fontos jellemzője, mivel a Windows biztonsági alrendszere ennek segítségével ellenőrzi a rendszerbiztonsági tag hitelességét.

A megbízó tartományból létrehozott kimenő külső megbízhatósági kapcsolatok szintén SID-szűréssel ellenőrzik, hogy a megbízható tartomány rendszerbiztonsági tagjaitól bejövő hitelesítési kérelmek csak a megbízható tartomány rendszerbiztonsági tagjainak biztonsági azonosítóit tartalmazzák-e. Ez úgy történik, hogy a rendszer összehasonlítja a bejövő rendszerbiztonsági tag biztonsági azonosítóit a megbízható tartomány biztonsági azonosítójával. Ha a rendszerbiztonsági tag biztonsági azonosítóinak bármelyike a megbízható tartományétól eltérő tartományi biztonsági azonosítót tartalmaz, akkor a megbízhatósági kapcsolat eltávolítja a szabályellenes biztonsági azonosítót.

A SID-szűrés segítségével biztosítható, hogy a SIDHistory attribútum rossz szándékú használata a megbízható erdő rendszerbiztonsági tagjain (az inetOrgPerson tagot is beleértve) ne jelentsen fenyegetést a megbízható erdőben.

A SIDHistory attribútum akkor lehet hasznos a tartományi rendszergazdák számára, amikor felhasználói fiókokat és csoportfiókokat telepítenek át egyik tartományból a másikba. A tartományi rendszergazdák egy korábbi felhasználói vagy csoportfiókból is hozzáadhatnak biztonsági azonosítókat az új, áttelepített fiók SIDHistory attribútumához. Így ugyanolyan szintű hozzáférést adhatnak az erőforrásokhoz az új fióknak, mint amellyel a korábbi fiók rendelkezett.

Ha a tartományi rendszergazdák nem tudják így használni a SIDHistory attribútumot, akkor ki kell deríteniük és újra alkalmazniuk kell az új fiókra a régi fiók engedélyeit az egyes hálózati erőforrásokhoz.

A SID-szűrés hatása

A külső megbízhatósági kapcsolatok SID-szűrése a következő két területen lehet hatással a meglévő Active Directory infrastruktúrára:

  • A megbízható tartományétól eltérő biztonsági azonosítókat tartalmazó SID-előzményadatok törlődnek a megbízható tartományból érkező hitelesítési kérelmekből. Ennek eredményeképpen nem engedélyezett a hozzáférés a felhasználó régi biztonsági azonosítójával rendelkező erőforrásokhoz.

  • Az erdők közötti univerzális csoportok hozzáférés-vezérlésének stratégiája módosításokat igényel.

Ha engedélyezi a SID-szűrést, akkor azok a felhasználók, akik a SID-előzményadatokkal hitelesítik magukat a megbízó tartomány erőforrásainál, már nem férhetnek hozzá ezekhez az erőforrásokhoz.

Ha a szokásos módon rendel hozzá univerzális csoportokat egy megbízható erdőből a megbízó tartomány megosztott erőforrásainak hozzáférés-vezérlési listáihoz (ACL), a SID-szűrés jelentősen befolyásolja a hozzáférés-vezérlési stratégiát. Mivel az univerzális csoportokra ugyanazok a SID-szűrési irányelvek vonatkoznak, mint a többi rendszerbiztonsági tagobjektumnak (vagyis az univerzális csoportobjektum biztonsági azonosítójának is tartalmaznia kell a tartomány biztonsági azonosítóját), ellenőrizni kell, hogy a megbízó tartomány megosztott erőforrásaihoz hozzárendelt univerzális csoportok létre vannak-e hozva a megbízható tartományban. Ha a megbízható erdőben lévő univerzális csoport nincs létrehozva a megbízható tartományban - noha rendelkezhet olyan tagokkal, akik a megbízható tartomány felhasználói -, az adott univerzális csoport tagjaitól érkező hitelesítési kérelmeket a rendszer kiszűri és elveti. Ezért mielőtt hozzáférést biztosít a megbízó tartomány erőforrásaihoz a megbízható tartomány felhasználói számára, győződjön meg róla, hogy a megbízható tartomány felhasználóit tartalmazó univerzális csoport létre van hozva a megbízható tartományban.

További szempontok

  • A Windows 2000 Service Pack 3 (SP3) szervizcsomaggal kiegészített verzióját és az ennél korábbi verziókat futtató tartományvezérlőkből létrehozott külső megbízhatósági kapcsolatok alapértelmezés szerint nem követelik meg a SID-szűrést. Az erdő nagyobb biztonsága érdekében fontolja meg a SID-szűrés engedélyezését az összes olyan meglévő külső megbízhatósági kapcsolaton, amely a Windows 2000 SP3 szervizcsomaggal kiegészített vagy ennél korábbi verziójával jött létre. Ehhez a Netdom.exe programmal engedélyezze a SID-szűrést az összes külső megbízhatósági kapcsolaton, vagy hozza létre újra ezeket a külső megbízhatósági kapcsolatokat egy Windows Server 2008 vagy Windows Server 2008 R2 rendszert futtató tartományvezérlőről.

  • A rendszer minden újonnan létrehozott külső megbízhatósági kapcsolathoz alapértelmezés szerint engedélyezi a SID-szűrést, és ez nem kapcsolható ki.

  • A SID-szűrés beállításainak megadásáról (letiltásáról és újbóli alkalmazásáról) A biztonsági azonosító szűrése karanténnal külső megbízhatósági kapcsolatokon című témakörben olvashat (https://go.microsoft.com/fwlink/?LinkId=92778 - előfordulhat, hogy a lap angol nyelven jelenik meg).

További hivatkozások


Tartalom