Active Directory フォレストのセキュリティを向上するため、Windows Server 2008 または Windows Server 2008 R2 を実行するドメイン コントローラーでは、新しい出力方向の外部の信頼すべてに対して、セキュリティ識別子 (SID) のフィルター処理が既定で有効になっています。出力方向の外部の信頼に SID フィルター処理を適用すれば、信頼される側のドメインでドメイン管理者レベルのアクセス権を取得した悪意のあるユーザーが、自分自身またはドメイン内の他のユーザー アカウントに、信頼する側のドメインに対するシステム特権を付与することを高い確率で防止できます。
脅威について
出力方向の外部の信頼に対して SID フィルター処理が有効になっていない場合、信頼される側のドメインで管理者資格情報を入手している悪意のあるユーザーは、信頼する側のドメインから送信されるネットワーク認証要求を "傍受" して、ドメイン管理者など、信頼する側のドメインのリソースに対して完全なアクセス権を持つユーザーの SID 情報を入手することができます。
ドメイン管理者の SID を入手した悪意のあるユーザーは、信頼される側のドメインでユーザー アカウントの SIDHistory 属性にその SID を追加し、信頼する側のドメインおよびそのドメイン内のリソースに対する完全なアクセス権を得ようとします。このシナリオでは、信頼される側のドメインに存在するドメイン管理者の資格情報を持つ悪意のあるユーザーは、信頼する側のフォレスト全体に対する脅威となります。
SID のフィルター処理を使用すると、信頼される側のドメインにいる悪意のあるユーザーが SIDHistory 属性を使用してシステム特権を得ようとする脅威を無効にすることができます。
SID フィルター処理のしくみ
ドメイン内にセキュリティ プリンシパルが作成されると、そのセキュリティ プリンシパルが作成されたドメインを特定するドメイン SID が、セキュリティ プリンシパルの SID に追加されます。Windows セキュリティ サブシステムはこのドメイン SID を使用してセキュリティ プリンシパルの信頼性を検証するため、ドメイン SID はセキュリティ プリンシパルの重要な要素といえます。
同様に、信頼する側のドメインで作成される出力方向の外部の信頼は、信頼される側のドメインのセキュリティ プリンシパルから認証要求を受け取ると、SID フィルター処理を使用して、その要求に含まれているのが信頼される側のドメインのセキュリティ プリンシパルの SID のみであることを検証します。検証は、アクセスしているセキュリティ プリンシパルの SID と、信頼される側のドメインの SID とを比較することによって実行されます。セキュリティ プリンシパルのいずれかの SID に、信頼される側のドメイン以外のドメイン SID が含まれていれば、その問題のある SID は削除されます。
SID のフィルター処理により、信頼される側のフォレストで inetOrgPerson などのセキュリティ プリンシパルの SIDHistory 属性が誤用されても、信頼する側のフォレストの整合性に脅威が及ばないようにすることができます。
SIDHistory 属性は、ドメイン管理者がドメイン間でユーザー アカウントやグループ アカウントを移行する際に便利です。ドメイン管理者は、古いユーザー アカウントやグループ アカウントの SID を、移行された新しいアカウントの SIDHistory 属性に追加することができます。これにより、ドメイン管理者は、古いアカウントに付与されていたリソースに対するアクセス権と同じレベルのアクセス権を新しいアカウントに与えることができます。
このように SIDHistory 属性を使用できない場合、ドメイン管理者は古いアカウントがアクセス権を持っていた各ネットワーク リソースのアクセス許可を調査して、新しいアカウントに再適用しなければなりません。
SID フィルター処理の影響
外部の信頼に対する SID のフィルター処理は、次の 2 つの領域で既存の Active Directory インフラストラクチャに影響を与える可能性があります。
-
信頼される側のドメイン以外のドメイン SID が SID 履歴データに含まれている場合は、信頼される側のドメインが送信した認証要求からその履歴データが削除されます。この結果、ユーザーの古い SID が設定されているリソースへのアクセスは拒否されることになります。
-
ユニバーサル グループに関するフォレスト間のアクセス制御方針を変更する必要があります。
SID のフィルター処理を有効にすると、SID 履歴データを使用して信頼する側のドメインのリソースに対する承認を行っていたユーザーは、そのリソースにアクセスできなくなります。
信頼される側のフォレストのユニバーサル グループを、信頼する側のドメインの共有リソースに対するアクセス制御リスト (ACL) に割り当てている場合、そのアクセス制御方針は SID フィルター処理によって大きな影響を受けます。SID のフィルター処理に関して、ユニバーサル グループは他のセキュリティ プリンシパル オブジェクトと同じガイドラインに従う必要があります。つまり、ユニバーサル グループ オブジェクトの SID にもドメイン SID が含まれている必要があります。そのため、信頼する側のドメインの共有リソースにユニバーサル グループを割り当てるときには、そのユニバーサル グループが信頼される側のドメインで作成されたものであることを確認しなければなりません。信頼される側のフォレストのユニバーサル グループが信頼される側のドメインで作成されていない場合は、信頼される側のドメインのユーザーがメンバーに含まれていても、ユニバーサル グループのメンバーからの認証要求はフィルター処理され、破棄されます。したがって、信頼する側のドメインのリソースに対するアクセス権を信頼される側のドメインのユーザーに割り当てる際には、まず、信頼される側のドメインのユーザーを含むユニバーサル グループが信頼される側のドメインで作成されていることを確認しなければなりません。
その他の考慮事項
-
Windows 2000 Service Pack 3 (SP3) 以前を実行するドメイン コントローラーで作成された外部の信頼では、既定で SID フィルター処理の適用が無効になっています。フォレストのセキュリティを強化するには、Windows 2000 SP3 以前を実行するドメイン コントローラーで作成された既存の外部の信頼すべてに対しても SID フィルター処理を有効にすることを検討してください。フィルターを有効にするには、Netdom.exe を使用して既存の外部の信頼に対する SID フィルター処理を有効にするか、Windows Server 2008 または Windows Server 2008 R2 を実行するドメイン コントローラーでそれらの外部の信頼を作成し直すことができます。
-
新たに作成された外部の信頼に対して SID のフィルター処理を有効にするという既定の動作をオフにすることはできません。
-
SID フィルター処理設定の構成 (無効または再適用) に関する詳細については、SID フィルター設定の構成に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=92778 ) を参照してください。