В целях повышения безопасности лесов Active Directory контроллеры домена, работающие под управлением Windows Server 2008 или Windows Server 2008 R2, по умолчанию включают фильтрацию идентификаторов безопасности (SID) на всех новых, исходящих, внешних отношениях доверия. Когда фильтрация SID применяется к исходящим внешним отношениям доверия, повышается возможность предотвратить присвоение или предоставление повышенных прав пользователя для доверяющего домена злоумышленниками, обладающими доступом к доверенному домену с полномочиями уровня администратора.
Об угрозе
Когда для исходящих внешних отношений доверия не включена фильтрация SID, злоумышленник с учетными данными администратора в доверенном домене может «прослушивать» запросы сетевой проверки подлинности от доверяющего домена, чтобы получить сведения SID пользователя, например администратора домена, обладающего полным доступом к ресурсам в доверяющем домене.
После получения SID администратора домена из доверяющего домена злоумышленник с учетными данными администратора может добавить этот SID к атрибуту SIDHistory учетной записи пользователя в доверенном домене и попытаться получить полный доступ к доверяющему домену и всем его ресурсам. При таком варианте злоумышленник, который имеет учетные данные администратора домена, является угрозой для всего доверяющего леса.
Фильтрация SID помогает устранить угрозу со стороны злоумышленников в доверенном домене, которые используют атрибут SIDHistory для получения более высокого уровня привилегий.
Принцип работы фильтрации SID
Когда в домене создаются субъекты безопасности, SID домена включается в SID субъекта безопасности, чтобы идентифицировать домен, в котором был создан этот участник безопасности. SID домена - важная характеристика субъекта безопасности, так как подсистема безопасности Windows использует ее для проверки подлинности субъекта безопасности.
Сходным образом фильтрацию SID используют исходящие внешние отношения доверия, которые создаются из доверяющего домена; проверяется, содержат ли входящие запросы проверки подлинности от субъектов безопасности в доверенном домене только SID субъектов безопасности в доверенном домене. Проверка выполняется посредством сравнения SID входящего субъекта безопасности с SID домена доверенного домена. Если какой-либо из SID субъектов безопасности включает SID домена, отличный от SID доверенного домена, доверие удаляет нарушающий правило SID.
Фильтрация SID помогает устранить угрозу целостности доверяющего леса в доверенном лесу из-за злоупотребления атрибутом SIDHistory субъектов безопасности (включая inetOrgPerson).
Атрибут SIDHistory может быть полезен администраторам домена, когда они выполняют миграцию учетных записей пользователей и учетных записей групп из одного домена в другой. Администраторы домена могут добавить SID из старой учетной записи пользователя или учетной записи группы к атрибуту SIDHistory новой, перемещенной учетной записи. Выполняя это действие, администраторы домена назначают новой учетной записи тот же уровень доступа к ресурсам, что и у старой учетной записи.
Если администраторы домена не могут использовать атрибут SIDHistory таким образом, они должны отследить и заново применить разрешения для новой учетной записи на каждом сетевом ресурсе, к которому был доступ у старой учетной записи.
Влияние фильтрации SID
Фильтрация SID на внешних отношениях доверия может повлиять на существующую инфраструктуру Active Directory в следующих двух областях:
-
данные журнала SID, которые содержат SID из любого домена, отличного от доверенного домена, удаляются из запросов проверки подлинности, выполняемых из доверенного домена. Это приводит к отказу в доступе к ресурсам, на которых установлен старый SID пользователя;
-
потребуется изменить стратегию управления доступом между лесами для универсальных групп.
Когда фильтрация SID включена, пользователи, которые используют данные журнала SID для проверки подлинности при доступе к ресурсам доверяющего домена, будут лишены доступа к этим ресурсам.
Если обычно универсальные группы назначаются из доверенного леса в списки управления доступом (ACL) на ресурсах общего доступа в доверяющем домене, фильтрация SID окажет значительное влияние на стратегию управления доступом. Универсальные группы должны подчиняться тем же принципам фильтрации SID, что и другие объекты субъектов безопасности (т. е. SID объекта универсальной группы должен также содержать и SID домена); убедитесь, что универсальные группы, которые назначены ресурсам общего доступа в доверяющем домене, были созданы в доверенном домене. Если универсальная группа в доверенном лесу не была создана в доверенном домене (даже если среди ее членов имеются пользователи из доверенного домена), запросы авторизации от членов этой универсальной группы будут отфильтровываться и отменяться. Таким образом, перед назначением пользователям в доверенном домене доступа к ресурсам в доверяющем домене убедитесь, что универсальная группа, которая содержит пользователей доверенного домена, была создана в доверенном домене.
Дополнительная информация
-
внешние отношения доверия, которые созданы из контроллеров домена, работающих под управлением Windows 2000 с пакетом обновления 3 (SP3) или более ранних операционных систем, по умолчанию не применяют фильтрацию SID. Чтобы обеспечить безопасность леса, включите фильтрацию SID на всех существующих внешних отношениях доверия, которые были созданы контроллерами домена, работающими под управлением Windows 2000 с пакетом обновления 3 или более ранних версий. Можно воспользоваться средством Netdom.exe, которое включит фильтрацию SID на существующих внешних отношениях доверия, либо заново создать эти внешние доверия из контроллера домена, работающего под управлением Windows Server 2008 или Windows Server 2008 R2;
-
действие по умолчанию, которое включает фильтрацию SID для новых создаваемых внешних доверий, отключить нельзя;
-
дополнительные сведения о настройке параметров фильтрации SID (их отключении или повторном применении) см. в статье «Настройка параметров фильтрации SID на внешних отношениях доверия» (страница может быть на английском языке) (
https://go.microsoft.com/fwlink/?LinkId=92778 ).