為了加強 Active Directory 樹系的安全性,執行 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站預設會在所有新的、連出、外部信任上啟用安全性識別碼 (SID) 篩選。當 SID 篩選套用到連出外部信任時,在受信任的網域中具有網域系統管理員等級存取權的惡意使用者,更有可能無法將信任網域的提高使用者權限授與自己或其網域中的其他使用者帳戶。
了解威脅
當傳出外部信任上沒有啟用 SID 篩選時,具有受信任網域中系統管理認證的惡意使用者可能會窺探來自信任網域的網路驗證要求,以取得使用者 (例如,對信任網域中資源擁有完整存取權的網域系統管理員) 的 SID 資訊。
從信任網域取得網域系統管理員的 SID 之後,具有系統管理認證的惡意使用者可以將該 SID 新增至受信任網域中使用者帳戶的 SIDHistory 屬性,並嘗試取得信任網域和該網域中資源的完整存取權。在這個案例中,具有受信任網域中網域系統管理員認證的惡意使用者是對整個信任樹系的威脅。
SID 篩選使用 SIDHistory 屬性來取得提高的權限,以協助消弭受信任網域中惡意使用者的威脅。
SID 篩選如何運作
在網域中建立安全性主體時,網域 SID 會包含在安全性主體的 SID 中,以識別建立安全性主體的網域。網域 SID 是安全性主體的重要特性,因為 Windows 安全性子系統用它來確認安全性主體的真實性。
以類似的方式,從信任網域建立的連出外部信任會使用 SID 篩選,來確認源自受信任網域中安全性主體的連入驗證僅包含受信任網域中的安全性主體 SID。這可以透過比較連入安全性主體之 SID 與受信任網域的網域 SID 來完成。如果任何一個安全性主體 SID 包括的網域 SID 不是來自受信任網域的 SID,信任就會移除違規的 SID。
SID 篩選可協助確保受信任樹系中安全性主體 (包括 inetOrgPerson) 上的 SIDHistory 屬性之任何誤用不會對信任樹系的完整性造成威脅。
當網域系統管理員要將來自一個網域的使用者帳戶和群組帳戶移轉到另一個網域時,SIDHistory 屬性很有用。網域系統管理員可以從舊的使用者帳戶或群組帳戶新增 SID 至新的、移轉的帳戶之 SIDHistory 屬性。這麼做的好處是,網域系統管理員可授與新帳戶和舊帳戶相同的資源存取權等級。
如果網域系統管理員無法以這種方式使用 SIDHistory 屬性,就必須追蹤並將新帳戶的權限重新套用到舊帳戶具有存取權的每個網路資源。
SID 篩選的影響
外部信任上的 SID 篩選會在以下兩個區域影響您現有的 Active Directory 基礎結構:
-
包含來自受信任網域以外任何網域的 SID 之 SID 歷程記錄資料,會從受信任的網域所做的驗證要求中移除。這會導致擁有使用者舊 SID 的資源存取會被拒絕。
-
樹系之間的萬用群組存取控制策略將需要變更。
當您啟用 SID 篩選時,使用 SID 歷程記錄資料來驗證信任網域中資源的使用者將無法再存取那些資源。
如果您通常指派來自受信任樹系的萬用群組,至信任網域中共用資源上的存取控制清單 (ACL),則 SID 篩選主要會對您的存取控制策略造成影響。因為萬用群組必須與其他安全性主體物件遵守相同的 SID 篩選指導方針 (就是說,萬用群組物件 SID 也必須包含網域 SID),請確認任何指派給信任網域中共用資源的萬用群組都是在受信任的網域中所建立。如果受信任樹系中的萬用群組不是在受信任的網域中所建立,即使它包含來自受信任網域中的使用者做為成員,還是會篩選並捨棄來自該萬用群組成員的驗證要求。因此,在您指定信任網域中資源的存取權給受信任網域中的使用者之前,請確認包含受信任網域使用者的萬用群組是在受信任的網域中所建立。
其他考量
-
根據預設,從執行 Windows 2000 Service Pack 3 (SP3) 或較早版本的網域控制站所建立的外部信任不會強制 SID 篩選。若要進一步保護您的樹系,請考慮在執行 Windows 2000 SP3 或較早版本的網域控制站所建立的所有現有外部信任上啟用 SID 篩選。若要這麼做,您可以使用 Netdom.exe 在現有的外部信任上啟用 SID 篩選,或者從執行 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站重新建立這些外部信任。
-
您無法關閉對新建立的外部信任啟用 SID 篩選的預設行為。
-
如需設定 SID 篩選設定 (停用或重新套用) 的相關資訊,請參閱<在外部信任上設定 SID 篩選隔離>(
https://go.microsoft.com/fwlink/?LinkId=92778 (可能為英文網頁) )。