U kunt de beveiliging van Active Directory-forests op domeincontrollers met Windows Server 2008 of Windows Server 2008 R2 verbeteren door standaard SID-filtering (Security IDentifier) in te schakelen voor alle nieuwe, uitgaande, externe vertrouwensrelaties. Wanneer SID-filtering wordt toegepast op uitgaande externe vertrouwensrelaties, is de kans groter dat u kunt voorkomen dat kwaadwillige gebruikers met toegangsrechten op domeinadministratorsniveau in het vertrouwde domein aan zichzelf of andere gebruikersaccounts in hun domein verhoogde machtigingen toekennen voor het vertrouwende domein.
De aard van het gevaar
Wanneer SID-filtering niet is ingeschakeld voor uitgaande externe vertrouwensrelaties, is het mogelijk dat een kwaadwillige gebruiker met beheerdersreferenties in het vertrouwde domein netwerkverificatieaanvragen vanuit het vertrouwende domein kan onderzoeken ('sniffen') en op die manier SID-gegevens kan verkrijgen van een gebruiker, bijvoorbeeld een domeinadministrator, die volledige toegang heeft tot bronnen in het vertrouwende domein.
Wanneer een kwaadwillige gebruiker met beheerdersreferenties eenmaal beschikt over de SID van de domeinadministrator in het vertrouwende domein, kan deze de SID toevoegen aan het kenmerk SIDHistory van een gebruikersaccount in het vertrouwde domein en proberen volledige toegang te verkrijgen tot het vertrouwende domein en de bronnen in dat domein. In dit scenario vormt een kwaadwillige gebruiker met domeinadministratorsreferenties in het vertrouwde domein een gevaar voor het hele vertrouwende forest.
Met behulp van SID-filtering kan worden voorkomen dat kwaadwillige gebruikers in het vertrouwde domein het kenmerk SIDHistory misbruiken om verhoogde machtigingen te verwerven.
De werking van SID-filtering
Wanneer beveiligings-principals in een domein worden gemaakt, wordt de domein-SID toegevoegd aan de SID van de beveiligings-principal. Op die manier wordt het domein aangeduid waarin de beveiligings-principal is gemaakt. De domein-SID is een belangrijk kenmerk van een beveiligings-principal omdat het beveiligingssubsysteem van Windows aan de hand hiervan de echtheid van de beveiligings-principal kan controleren.
Daarnaast wordt SID-filtering ook gebruikt voor uitgaande, externe vertrouwensrelaties die worden gemaakt vanuit het vertrouwende domein om te controleren of binnenkomende verificatieaanvragen van beveiligings-principals in het vertrouwde domein alleen de SID's bevatten van beveiligings-principals in het vertrouwde domein. Hierbij worden de SID's van de binnenkomende beveiligings-principal vergeleken met de domein-SID van het vertrouwde domein. Als een van de SID's van de beveiligings-principal een andere domein-SID bevat dan de SID van het vertrouwde domein, wordt de afwijkende SID verwijderd uit de vertrouwensrelatie.
Met behulp van SID-filtering kunt u ervoor zorgen dat misbruik van het kenmerk SIDHistory op beveiligings-principals (met inbegrip van inetOrgPerson) in het vertrouwde forest geen bedreiging vormt voor de integriteit van het vertrouwende forest.
Voor domeinadministrators kan het kenmerk SIDHistory goede diensten bewijzen bij het migreren van gebruikersaccounts en groepsaccounts tussen domeinen. Domeinadministrators kunnen SID's vanuit een oud gebruikersaccount of groepsaccount toevoegen aan het kenmerk SIDHistory van het nieuwe, gemigreerde account. Op die manier kunnen domeinadministrators aan het nieuwe account hetzelfde toegangsniveau voor bronnen verlenen als het oude account had.
Als domeinadministrators het kenmerk SIDHistory niet op deze manier kunnen gebruiken, moeten ze voor het nieuwe account de machtigingen opsporen en opnieuw toepassen op elke netwerkbron waartoe het oude account toegang verschafte.
De invloed van SID-filtering
Toepassing van SID-filtering op externe vertrouwensrelaties kan de bestaande Active Directory-infrastructuur op twee gebieden beïnvloeden:
-
SID-historiegegevens met SID's uit een ander domein dan het vertrouwde domein wordt verwijderd uit verificatieaanvragen die afkomstig zijn uit het vertrouwde domein. Daarmee wordt de toegang geweigerd tot bronnen die de oude SID van de gebruiker hebben.
-
U moet uw strategie voor het toewijzen van universele groepstoegang tussen forests aanpassen.
Wanneer u SID-filtering inschakelt, hebben gebruikers die zich met behulp van SID-historiegegevens aanmelden bij bronnen in het vertrouwende domein geen toegang meer tot deze bronnen.
Als u universele groepen uit een vertrouwd forest normaal gezien toewijst aan toegangsbeheerlijsten (ACL) op gedeelde bronnen in het vertrouwende domein, heeft SID-filtering ingrijpende gevolgen voor uw strategie op het gebied van toegangsbeheer. Aangezien voor universele groepen dezelfde richtlijnen voor SID-filtering moeten worden gevolgd als voor andere beveiligings-principalobjecten (dat wil zeggen: de SID van het universele groepsobject moet ook de domein-SID bevatten), moet u controleren of universele groepen die aan gedeelde bronnen in het vertrouwende domein zijn toegewezen in het vertrouwde domein zijn gemaakt. Als de universele groep in het vertrouwde forest niet in het vertrouwde domein is gemaakt, worden verificatieaanvragen van leden van deze universele groep uitgefilterd en genegeerd, zelfs als deze groep gebruikers uit het vertrouwde domein bevat. Daarom moet u bij het toewijzen van toegang tot bronnen in het vertrouwende domein voor gebruikers in het vertrouwde domein, eerst nagaan of de universele groep met de vertrouwde domeingebruikers is gemaakt in het vertrouwde domein.
Aanvullende overwegingen
-
Voor externe vertrouwensrelaties die zijn gemaakt op domeincontrollers met Windows 2000 Service Pack 3 (SP3) of eerder wordt SID-filtering niet standaard afgedwongen. U kunt de beveiliging van het forest verder verbeteren door SID-filtering in te schakelen voor alle bestaande externe vertrouwensrelaties die zijn gemaakt door domeincontrollers waarop Windows 2000 SP3 of eerder wordt uitgevoerd. U kunt dit doen door SID-filtering met behulp van Netdom.exe in te schakelen voor bestaande externe vertrouwensrelaties of door deze externe vertrouwensrelaties opnieuw te maken op een domeincontroller waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd.
-
U kunt niet voorkomen dat SID-filtering standaard wordt ingeschakeld voor nieuwe externe vertrouwensrelaties die worden gemaakt.
-
Zie SID-filterquarantaine configureren voor externe vertrouwensrelaties (
https://go.microsoft.com/fwlink/?LinkId=92778 ) voor meer informatie over het inschakelen of opnieuw toepassen van instellingen voor SID-filtering (deze pagina is mogelijk in het Engels).