为了提高 Active Directory 林的安全性,默认情况下,运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器将对所有新的传出外部信任启用安全标识符 (SID) 筛选功能。将 SID 筛选功能应用到传出外部信任时,对于在受信域中具有域管理员级别访问权限的恶意用户,会更容易阻止他们向其自身或其域中的其他用户帐户授予对信任域的提升的用户权限。
了解威胁
当未对传出外部信任启用 SID 筛选功能时,具有受信域中管理凭据的恶意用户可能可以“探查”来自信任域的网络身份验证请求,以获取用户(例如,对信任域中的资源具有完全访问权限的域管理员)的 SID 信息。
从信任域获取域管理员的 SID 之后,具有管理凭据的恶意用户可以将 SID 添加到受信域中用户帐户的 SIDHistory 属性中,并试图获取对此域中的信任域和资源的完全访问权限。在这种情况下,具有受信域中的域管理员凭据的恶意用户对于整个信任林是一种威胁。
SID 筛选功能使用 SIDHistory 属性帮助消除受信域中恶意用户的威胁以获取提升的权限。
SID 筛选功能的工作方式
在域中创建安全主体后,域 SID 将包含在安全主体的 SID 中,以识别在其中创建安全主体的域。域 SID 是安全主体的重要特征,因为 Windows 安全子系统使用它验证安全主体的身份。
同样,从信任域创建的传出外部信任会将 SID 筛选功能用于验证来自受信域中安全主体的传入身份验证请求是否只包含受信域中安全主体的 SID。通过将传入安全主体的 SID 与受信域的域 SID 进行比较来实现此操作。如果有包含域 SID(除来自受信域的 SID 外)的任何安全主体 SID,则该信任会删除这种有问题的 SID。
SID 筛选功能有助于确保在受信任林中安全主体(包括 inetOrgPerson)上对 SIDHistory 属性的任何误用都不会威胁到信任林的完整性。
当域管理员将用户帐户和组帐户从一个域迁移到另一个域时,SIDHistory 属性对于他们可能非常有用。域管理员可以将 SID 从旧用户帐户或组帐户添加到新迁移帐户的 SIDHistory 属性。通过执行此操作,域管理员将向新帐户授予与旧帐户对资源的同等访问权限。
如果域管理员无法通过此方式使用 SIDHistory 属性,则他们必须为旧帐户访问过的每个网络资源上的新帐户跟踪并重新应用权限。
SID 筛选功能的影响
对外部信任的 SID 筛选功能会影响以下两个区域中的现有 Active Directory 基础结构:
-
将会从受信域发出的身份验证请求中删除 SID 历史数据,这些 SID 历史数据包含除该受信域外的所有域中的 SID。这会导致拒绝访问具有用户旧 SID 的资源。
-
林间通用组访问控制的策略将需要更改。
启用 SID 筛选功能之后,使用 SID 历史数据对信任域中资源进行授权的用户将不再拥有对这些资源的访问权限。
通常指定受信任林中的通用组来访问信任域中共享资源的控制列表 (ACL) 时,SID 筛选功能对于访问控制策略具有重大影响。由于通用组必须符合与其他安全主体对象相同的 SID 筛选指导原则(即通用组对象 SID 必须还包含域 SID),因此请验证是否在受信域中创建了分配到信任域中共享资源的任何通用组。如果受信任林中的通用组不是在受信域中创建(即使它的成员可能包含受信域中的用户),则会筛选出并放弃来自该通用组成员的身份验证请求。因此,为受信域中的用户分配对信任域中资源的访问权限之前,请先确认已在受信域中创建了包含受信域用户的通用组。
其他注意事项
-
默认情况下,从运行 Windows 2000 Service Pack 3 (SP3) 或更早版本的域控制器上创建的外部信任不会加强 SID 筛选功能。若要进一步保护林的安全,请考虑对运行 Windows 2000 SP3 或更早版本的域控制器所创建的所有现有外部信任启用 SID 筛选。可以通过使用 Netdom.exe 对现有外部信任启用 SID 筛选,或通过从运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上重新创建这些外部信任,来实现此目的。
-
无法关闭为新建的外部信任启用 SID 筛选的默认行为。
-
有关配置 SID 筛选设置(禁用或重新应用这些设置)的详细信息,请参阅“配置外部信任的 SID 筛选隔离”(
https://go.microsoft.com/fwlink/?LinkId=92778 )(可能为英文网页)。