Para melhorar a segurança das florestas do Active Directory, os controladores de domínio executando o Windows Server 2008 ou o Windows Server 2008 R2 ativam a filtragem SID (identificador de segurança) em todas as novas relações de confiança externas de saída. Quando a filtragem SID é aplicada às relações de confiança externas de saída, usuários malintencionados que possuem acesso em nível de administrador de domínio no domínio confiável têm mais chances de serem impedidos de conceder, a si próprios ou a outras contas de usuário no domínio, direitos de usuário elevados para o domínio confiante.
Noções básicas sobre a ameaça
Quando a filtragem SID não está habilitada para relações de confiança externas de saída, um usuário malintencionado com credenciais administrativas no domínio confiável pode conseguir detectar as solicitações de autenticação de rede a partir do domínio confiante para obter informações do SID de um usuário, como um administrador de domínio, que possua total acesso aos recursos do domínio confiante.
Depois de obter o SID do administrador de domínio a partir do domínio confiante, um usuário malintencionado com credenciais administrativas pode adicionar esse SID ao atributo SIDHistory de uma conta de usuário no domínio confiável e tentar obter acesso total ao domínio confiante e aos seus recursos. Nesse cenário, um usuário malintencionado com credenciais de administrador de domínio no domínio confiável é uma ameaça para toda a floresta confiante.
A filtragem SID ajuda a neutralizar a ameaça dos usuários malintencionados no domínio confiável que usam o atributo SIDHistory para obter privilégios elevados.
Como a filtragem SID funciona
Quando uma entidade de segurança é criada em um domínio, o SID de domínio é incluído no SID da entidade para identificar o domínio no qual ela foi criada. O SID de domínio é uma característica importante de uma entidade de segurança porque o subsistema de segurança do Windows o usa para verificar a autenticidade da entidade.
Da mesma forma, as relações de confiança externas de saída que são criadas a partir do domínio confiante usam a filtragem SID para verificar se as solicitações de autenticação de entrada das entidades de segurança no domínio confiável contêm apenas os SIDs das entidades de segurança nesse domínio. Isso é realizado por meio de uma comparação dos SIDs da entidade de segurança de entrada com o SID de domínio do domínio confiável. Se algum SID de entidade de segurança incluir um SID de domínio diferente do SID do domínio confiável, a relação de confiança remove o SID incorreto.
A filtragem SID ajuda a impedir que o uso indevido do atributo SIDHistory em entidades de segurança (incluindo inetOrgPerson) na floresta confiável possa ameaçar a integridade dessa floresta.
O atributo SIDHistory pode ser útil aos administradores de domínio na migração de contas de usuário e contas de grupo de um domínio para outro. Os administradores de domínio podem adicionar SIDs de uma conta de usuário ou de grupo antiga para o atributo SIDHistory da nova conta migrada. Assim, eles atribuem à nova conta o mesmo nível de acesso aos recursos da conta antiga.
Se os administradores de domínio não puderem usar o atributo SIDHistory dessa forma, terão de localizar e reaplicar permissões para a nova conta em cada recurso de rede ao qual conta antiga possuía acesso.
Impacto da filtragem SID
A filtragem SID em relações de confiança externas podem afetar a infraestrutura existente do Active Directory nas duas áreas a seguir:
-
Os dados de histórico SID contendo SIDs de qualquer domínio diferente do domínio confiável são removidos das solicitações de autenticação feitas a partir do domínio confiável. Consequentemente, o acesso é negado aos recursos que possuem o antigo SID do usuário.
-
Será necessário alterar sua estratégia para o controle de acesso de grupo universal entre florestas.
Quando a filtragem SID é habilitada, os usuários que utilizam os dados de histórico SID para obter autorização de acesso aos recursos do domínio confiante perdem esse acesso.
Se, normalmente, você atribui grupos universais a partir de uma floresta confiável para acessar ACLs (listas de controle de acesso) em recursos compartilhados no domínio confiante, a filtragem SID causará um grande impacto na estratégia de controle de acesso. Como os grupos universais devem aderir às mesmas diretrizes de filtragem SID que outros objetos de entidades de segurança (quer dizer, o SID do objeto de grupo universal também deve conter o SID do domínio), verifique se algum grupo universal criado no domínio confiável foi atribuído aos recursos compartilhados no domínio confiante. Se o grupo universal na floresta confiável não foi criado no domínio confiável, embora possa ter usuários do domínio confiável como membros, as solicitações de autenticação dos membros desse grupo serão filtradas e descartadas. Portanto, antes de atribuir acesso aos recursos do domínio confiante para os usuários do domínio confiável, confirme se o grupo universal contendo os usuários do domínio confiável foi criado neste domínio.
Considerações adicionais
-
As relações de confiança externas em controladores de domínio executando o Windows 200 Service Pack 3 (SP3) ou anterior não impõem a filtragem SID por padrão. Para proteger ainda mais a floresta, considere habilitar a filtragem SID em todas as relações de confiança externas existentes criadas pelos controladores de domínio executando o Windows 2000 SP3 ou anterior. É possível fazer isso usando o Netdom.exe para habilitar a filtragem SID em relações de confiança externas existentes ou recriando essas relações de confiança externas de um controlador de domínio executando o Windows Server 2008 ou o Windows Server 2008 R2.
-
Não é possível desativas o comportamento padrão que habilita a filtragem SID para as relações de confiança externas recém-criadas.
-
Para obter mais informações sobre a definição das configurações de filtragem SID (como desativá-las ou reaplicá-las), consulte (em inglês) Configuring SID Filter Quarantining on External Trusts (
https://go.microsoft.com/fwlink/?LinkId=92778 ).