Artikel-ID: 289243 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 4.1

MS02-001: Erschleichung umfassenderer Berechtigungen durch gefälschte SID in Windows 2000

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D289243
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
289243  (http://support.microsoft.com/kb/289243/EN-US/ ) MS02-001: Forged SID could result in elevated privileges in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Problembeschreibung

Microsoft Windows NT und Windows 2000 schützen Systemressourcen durch so genannte Zugriffsteuerungslisten (Access Control Lists = ACLs). ACLs sind Listen mit Sicherheitskennungen (SIDs) und Zugriffsrechten, die einem bestimmten Sicherheitsprincipal gewährt wurden. SIDs beziehen sich immer auf eine bestimmte Domäne. Die SID eines Benutzers oder einer Gruppe basiert immer auf der SID der Domäne und identifiziert den Benutzer bzw. die Gruppe eindeutig. ACLs werden für eine Ressource angelegt, um zu definieren, welche Benutzer und Gruppen auf die Ressource zugreifen dürfen und welche Zugriffsstufe dabei für sie gilt. Wenn ein Benutzer versucht, auf die Ressource zuzugreifen, vergleicht Windows die Liste der SIDs in der ACL mit der Liste der SIDs, die den Benutzer und dessen Zugehörigkeit zu einer bestimmten Gruppe identifizieren, und gewährt oder verweigert dann den Zugriff auf der Basis dieses Vergleichs.

Wenn sich ein Benutzer bei einer Domäne anmeldet, werden die SIDs für Konto und Gruppenzugehörigkeit des Benutzers durch einen Domänencontroller in der Kontendomäne des Benutzers ermittelt. Die SID der vertrauenswürdigen Domäne, die relative ID (RID) für das Konto des Benutzers, die RID der primären Gruppe des Benutzers und die SIDs für alle sonstigen Gruppenzugehörigkeiten werden in einer einzigen Autorisierungsdatenstruktur zusammengefasst und an den anfordernden Computer übermittelt. Wenn auf dem authentifizierenden Domänencontroller Windows 2000 ausgeführt wird, prüft dieser außerdem, ob für den Benutzer in dessen Attribut SID-Verlauf SIDs angelegt sind und nimmt diese SIDs dann ebenfalls in die Autorisierungsdaten auf.

Falls sich der Computer, der die Benutzerauthentifizierung anfordert, in einer anderen Domäne befindet als das Konto des Benutzers, erfolgt die Authentifizierung unter Verwendung einer Vertrauensstellung. Eine solche Vertrauensstellung wird zwischen Windows NT- oder Windows 2000-Domänen erstellt, um die Authentifizierung für den Benutzer zu erleichtern (insbesondere durch die Ermöglichung einzelner Anmeldevorgänge). Wenn eine Domäne einer anderen vertraut, bedeutet dies, dass die vertrauende Domäne der vertrauenswürdigen Domäne erlaubt, die Benutzer (oder Computer) zu authentifizieren, deren Konten sie verwaltet. Während der Authentifizierung akzeptiert der Computer in der vertrauenden Domäne die Autorisierungsdaten, die ihm durch den vertrauenswürdigen Domänencontroller übermittelt werden. Für den Computer, der die Authentifizierung verlangt, gibt es keine Möglichkeit, die Gültigkeit der Autorisierungsinformationen zu überprüfen; er akzeptiert die Daten als zutreffend, weil es die erwähnte Vertrauensstellung zwischen den beiden Computern gibt.

Hier gibt es eine Sicherheitsanfälligkeit, weil die vertrauende Domäne nicht überprüft, ob die vertrauenswürdige Domäne tatsächlich alle SIDs in den Autorisierungsdaten autorisiert hat. Falls eine der SIDs in der Liste einen Benutzer oder eine Sicherheitsgruppe identifiziert, der/die nicht zu der vertrauenswürdigen Domäne gehört, akzeptiert die vertrauende Domäne diese Informationen trotzdem und verwendet sie bei späteren Entscheidungen über die Gewährung oder Verweigerung eines Zugriffs. Fügt ein böswilliger Angreifer nun in der vertrauenswürdigen Domäne SIDs in die Autorisierungsdaten ein, könnte er damit seine Berechtigungen so erweitern, dass sie denen entsprechen, die einem bestimmten Benutzer oder einer Gruppe zugewiesen wurden (so könnte er zum Beispiel die Berechtigungen erlangen, die für die Gruppe "Domänenadministratoren" der vertrauenswürdigen Domäne gelten). Dadurch könnte sich der Angreifer die vollen Zugriffsberechtigungen für Computer in der vertrauenden Domäne erschleichen, die normalerweise Domänenadministratoren vorbehalten sind.

Diese Sicherheitsanfälligkeit auszunutzen, wäre jedoch außerordentlich schwierig. Ein Angreifer benötigte hierzu mindestens administrative Berechtigungen für die vertrauenswürdige Domäne und das technische Know-how, um Betriebssystemfunktionen und Datenstrukturen der unteren Ebenen zu ändern. Windows 2000 bietet einen Mechanismus zum Einfügen zusätzlicher SIDs in die Autorisierungsdaten, der als "SIDHistory" (SID-Verlauf) bekannt ist. Es gibt jedoch keine Programmierschnittstelle, über die ein Angreifer - selbst wenn er über administrative Berechtigungen verfügt - eine SID in die SIDHistory-Informationen einfügen könnte; stattdessen müsste ein solcher Angreifer eine binäre Bearbeitung der Datenstrukturen vornehmen, in denen sich die SIDHistory-Informationen befinden. Als Gegenmaßnahme gegen derartige potenzielle Attacken hat Microsoft ein Feature namens "SID-Filterung" zu Windows NT 4.0 und Windows 2000 hinzugefügt. Mit der SID-Filterung kann ein Administrator die Domänencontroller in einer bestimmten Domäne anweisen, eine vertrauenswürdige Domäne unter "Quarantäne" zu stellen. In diesem Fall würden die Domänencontroller in der vertrauenden Domäne alle SIDs entfernen, die sich gemäß der empfangenen Autorisierungsdaten von der vertrauenswürdigen Domäne nicht auf diese Domäne beziehen. Die Verhängung der Quarantäne erfolgt von der vertrauenden Domäne aus und wird für jede Domäne einzeln vorgenommen.

Die SID-Filterung blockiert transitive Windows 2000-Vertrauensstellungen. Wird im Vertrauensstellungspfad zwischen zwei Domänen eine unter Quarantäne stehende Domäne gefunden, können Benutzer von der anderen Seite der unter Quarantäne stehenden Domäne nicht auf die Ressourcen der Domäne zugreifen, die die Quarantäne verhängt hat. Aus diesem Grund sollten unter Quarantäne stehende Domänen Endknotendomänen sein, ihnen untergeordnete Domänen sollten nur als Ressourcendomänen ohne Benutzerkonten dienen, oder die unter Quarantäne stehende Domäne sollte sich in einer separaten Gesamtstruktur befinden.

Ein Windows 2000-Administrator sollte die SID-Filterung nicht einsetzen, um eine Domäne mit beschränktem Zugriff innerhalb einer Gesamtstruktur einzurichten. Das empfohlene Quarantäneszenario sieht vor, nur Domänen in separaten Gesamtstrukturen unter Quarantäne zu stellen. Eine Vertrauensstellung sollte von der zu schützenden Domäne aus für die unter Quarantäne zu stellende Domäne erstellt werden. Dann ist die vertrauende Domäne darauf zu konfigurieren, die SIDs von der vertrauenswürdigen Domäne zu filtern.

Microsoft empfiehlt, die SID-Filterung nicht zwischen Domänen innerhalb derselben Gesamtstruktur einzusetzen, weil dies das standardmäßige Verhalten einer Gesamtstruktur in Bezug auf Vertrauensstellungen und Authentifizierung stören würde (einschließlich der Replikation innerhalb der Gesamtstruktur) und wahrscheinlich zu Problemen mit Programmen führen würde, für die die Problembehandlung erheblich erschwert würde. Dieser Artikel enthält eine Liste der Programme und Funktionalitäten, von denen bekannt ist, dass es bei ihnen im Zusammenhang mit der SID-Filterung zu Problemen kommen kann. Arbeiten Sie nicht mit Domänen mit beschränktem Zugriff und befolgen Sie die vorstehenden Empfehlungen, wenn Sie diese Programme oder Funktionalitäten benötigen. Microsoft kann für derartige Probleme keine Abhilfemaßnahmen anbieten.
Zum Anfang

Lösung

Beziehen Sie das Windows 2000 Security Rollup Package 1 (SRP1), um das beschriebene Problem zu beheben. Weitere Informationen zum SRP1 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
311401  (http://support.microsoft.com/kb/311401/DE/ ) Windows 2000 Security Rollup Package 1 (SRP1), Januar 2002
Die englische Version dieses Updates sollte die folgenden Dateiattribute (oder höher) aufweisen: 
   Datum        Zeit   Version        Größe    Dateiname
   -----------------------------------------------------------------
   08.10.2001   19:13  5.0.2195.4472  123.664  Adsldp.dll
   08.10.2001   19:13  5.0.2195.4308  130.832  Adsldpc.dll
   08.10.2001   19:13  5.0.2195.4016   62.736  Adsmsext.dll
   08.10.2001   19:13  5.0.2195.4384  364.816  Advapi32.dll
   08.10.2001   19:13  5.0.2195.4141  133.904  Dnsapi.dll
   08.10.2001   19:13  5.0.2195.4379   91.408  Dnsrslvr.dll
   08.10.2001   19:19  5.0.2195.4411  529.168  Instlsa5.dll
   08.10.2001   19:13  5.0.2195.4437  145.680  Kdcsvc.dll
   04.10.2001   21:00  5.0.2195.4471  199.440  Kerberos.dll
   04.09.2001   09:32  5.0.2195.4276   71.024  Ksecdd.sys
   27.09.2001   15:58  5.0.2195.4411  511.248  Lsasrv.dll    128-Bit
   06.09.2001   18:31  5.0.2195.4301  507.152  Lsasrv.dll     56-Bit
   06.09.2001   18:31  5.0.2195.4301   33.552  Lsass.exe
   27.09.2001   15:59  5.0.2195.4285  114.448  Msv1_0.dll
   08.10.2001   19:14  5.0.2195.4153  312.080  Netapi32.dll
   08.10.2001   19:13  5.0.2195.4357  370.448  Netlogon.dll
   08.10.2001   19:13  5.0.2195.4464  912.656  Ntdsa.dll
   08.10.2001   19:13  5.0.2195.4433  387.856  Samsrv.dll
   08.10.2001   19:13  5.0.2195.4117  111.376  Scecli.dll
   08.10.2001   19:13  5.0.2195.4476  299.792  Scesrv.dll
   29.05.2001   07:41  5.0.2195.3649    5.632  Sp2res.dll
   08.10.2001   19:13  5.0.2195.4025   50.960  W32time.dll
   01.08.2001   21:44  5.0.2195.4025   56.592  W32tm.exe
   08.10.2001   19:13  5.0.2195.4433  125.712  Wldap32.dll
Hinweis: Aufgrund von Dateiabhängigkeiten erfordert dieses Update Microsoft Windows 2000 Service Pack 2.
Zum Anfang

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang zu einer Sicherheitsanfälligkeit in Microsoft Windows 2000 führen kann.
Zum Anfang

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx (http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx)
Zum Anfang

Konfigurieren der SID-Filterung

Mit der aktualisierten Version des Dienstprogramms "Netdom.exe" aus dem Windows 2000 Service Pack 2 (SP2) können Sie die SID-Filterung in Windows 2000-Domänen konfigurieren. Damit die SID-Filterung ordnungsgemäß funktioniert, muss SP2 auf allen Domänencontrollern in der vertrauenden Domäne (der Domäne, die eine andere Domäne unter Quarantäne stellt) installiert sein. Die aktualisierte Version des Dienstprogramms "Netdom.exe" befindet sich im Ordner "Supporttools" auf der SP2-CD-ROM. Sie können diese Version aber auch von der Microsoft-Website herunterladen. Dieser Version von "Netdom.exe" wurde die Befehlszeilenoption /filtersids hinzugefügt, mit deren Hilfe Sie die SID-Filterung konfigurieren können.

Um mit einer Windows 2000-Domäne eine andere Domäne unter Quarantäne zu stellen, führen Sie den folgenden Befehl einmal für jeden Domänencontroller in der Domäne aus (in diesem Beispiel filtert die Domäne RESDOM die Domäne ACCDOM):
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Der entsprechende Befehl zum Deaktivieren der SID-Filterung lautet:
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Verwenden Sie folgenden Befehl, um die SID-Filterungseinstellungen für eine Domäne zu überprüfen:
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Bei einer typischen Active Directory-Replikation wird die Einstellung auf alle Domänencontroller innerhalb der Domäne übertragen.
Zum Anfang

Änderungen bei Authentifizierung und Überwachung

Wie Sie die Überwachung in Windows 2000 konfigurieren können, entnehmen Sie der Onlinehilfe von Windows 2000.

Wenn eine Vertrauensstellung eingerichtet wird, erstellt und speichert die vertrauende Domäne eine Datenstruktur, die als "Vertrauenswürdiges Domänenobjekt" (Trusted Domain Object = TDO) bezeichnet wird und neben der SID der vertrauenswürdigen Domäne weitere Informationen zu der jeweiligen Vertrauensstellung enthält. Wenn man die SID-Filterung für eine vertrauenswürdige Domäne aktiviert, sind Authentifizierungen für diese Domäne nicht erfolgreich, wenn die Autorisierungsdaten eine Domänen-SID enthalten, die nicht der SID im TDO der vertrauenden Domäne für die unter Quarantäne stehende Domäne entspricht. Diese Situation kann nur dann eintreten, wenn die Autorisierungsdaten geändert wurden. Schlägt die Authentifizierung auf diese Weise fehl und ist die Anmeldung/Abmeldung der Überwachung aktiviert, wird im Ereignisprotokoll des Domänencontrollers, der in der vertrauenden Domäne die Authentifizierungsanfrage verarbeitet, ein Ereignis generiert.

SP2 beinhaltet ein neues Sicherheitsüberwachungsereignis mit der Ereigniskennung 548 für die NTLM-Authentifizierung. Außerdem wird im Rahmen der Kerberos-Authentifizierung der Ereigniskennung 677 ein neuer Fehlercode (0xC000019B) hinzugefügt. Es handelt sich hierbei um Ereignisse für Anmelde-/Abmeldefehler, die generiert werden, wenn die Domänen-SID manipuliert wurde. Die folgenden Beispieleinträge demonstrieren diese Ereignisse:

Während der NTLM-Authentifizierung 
   Ereignistyp:       Fehlversuchüberwachung
   Ereignisquelle:    Sicherheit
   Ereigniskategorie: Anmelden/Abmelden
   Ereigniskennung:   548
   Datum:             Ereignisdatum
   Uhrzeit:           Ereignisuhrzeit
   Benutzer:          NT AUTHORITY\SYSTEM
   Computer:          Name des Computers, auf dem das Ereignis protokolliert wird
   Beschreibung:
     Anmeldung fehlgeschlagen
     Grund:                   Inkonsistente Domänen-SID
     Benutzername:            Name des zu authentifizierenden Benutzers
     Domäne:                  Name der Domäne unter Quarantäne Anmeldetyp: 3
     Anmeldeprozess:          NtLmSsp
     Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Arbeitsstationsname:     Name des Clientcomputers
Während der Kerberos-Authentifizierung 
   Ereignistyp:       Fehlversuchüberwachung
   Ereignisquelle:    Sicherheit
   Ereigniskategorie: Kontoanmeldung
   Ereigniskennung:   677
   Datum:             Ereignisdatum
   Uhrzeit:           Ereignisuhrzeit
   Benutzer:          NT AUTHORITY\SYSTEM
   Computer:          Name des Computers, auf dem das Ereignis protokolliert wird
   Beschreibung:
     Fehlgeschlagene Anfrage für Dienstticket:
     Benutzername:            Name des zu authentifizierenden Benutzers
     Benutzerdomäne:          Name der Domäne des Benutzers
     Dienstname:              Vollqualifizierter Name der Domäne unter Quarantäne
     Ticketoptionen:          0x0
     Fehlercode:              0xC000019B
     Clientadresse:           127.0.0.1

   Ereignistyp:       Fehlversuchüberwachung
   Ereignisquelle:    Sicherheit
   Ereigniskategorie: Anmelden/Abmelden
   Ereigniskennung:   537
   Datum:             Ereignisdatum
   Uhrzeit:           Ereignisuhrzeit
   Benutzer:          NT AUTHORITY\SYSTEM
   Computer:          Name des Clientcomputers
   Beschreibung:
     Anmeldung fehlgeschlagen:
     Grund:                   Unerwarteter Fehler bei der Anmeldung
     Benutzername:            Name des zu authentifizierenden Benutzers
     Domäne:                  Name der Domäne des Benutzers
     Anmeldetyp:              2
     Anmeldeprozess:          User32  
     Authentifizierungspaket: Verhandeln
     Arbeitsstationsname:     Name des Clientcomputers
Zum Anfang

Grenzen und Beschränkungen der SID-Filterung

Es gibt drei mögliche Nachteile der SID-Filterung, die potenziell zur Folge haben können, dass Benutzer nicht auf Ressourcen zugreifen können, für die sie eigentlich die erforderlichen Berechtigungen besitzen:
  • SID-Filterung und SID-Verlauf (SIDHistory) schließen sich gegenseitig aus. Ist die SID-Filterung auf einer Domäne aktiv, filtert sie etwaige SIDHistory-Informationen in eingehenden Autorisierungsdaten von unter Quarantäne stehenden Domänen.
  • Die SID-Filterung kann die Vorteile der Einzelanmeldung für transitive Vertrauensstellungen in Windows 2000 blockieren. Nehmen Sie zum Beispiel an, dass die Domäne A der Domäne B vertraut und die Domäne B der Domäne C. In der Regel könnte in Windows 2000 ein Benutzer aus Domäne C auf Ressourcen in Domäne A zugreifen, weil Domäne A der Domäne C transitiv vertraut. Ist auf Domäne A jedoch die SID-Filterung für Domäne B aktiv, würde sie der Domäne B nicht mehr gestatten, für einen Benutzer aus Domäne C zu bürgen, da die Domäne B für SIDs in Domäne C nicht autorisierend ist.
  • Die SID-Filterung filtert SIDs aus, die mit der Zugehörigkeit eines Benutzers zu universellen Gruppen verknüpft sind, wenn diese Gruppen nicht in der Kontodomäne dieses Benutzers angelegt sind.
Zum Anfang

Inkompatible Programme und Features

Die folgenden Programme und Windows 2000-Features sind bekanntermaßen nicht mit der SID-Filterung kompatibel:
  • Mitgliedschaft in universellen Gruppen, die nicht in der Kontodomäne des Benutzers angelegt sind
  • Microsoft Exchange 2000-Features, die von universellen Gruppen abhängig sind
  • SID-Verlauf für migrierte Konten
  • Transitive Vertrauensstellungen funktionieren nicht ordnungsgemäß
  • Active Directory-Replikation. Besonders aus diesem Grund sollte die SID-Filterung nicht zwischen Domänen innerhalb derselben Gesamtstruktur angewendet werden. Die SID-Filterung sollte nur zur Filterung für externe Vertrauensstellungen verwendet werden.
Weitere Informationen dazu, wie Sie Updates für Windows 2000 Datacenter Server erhalten, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
265173  (http://support.microsoft.com/kb/265173/DE/ ) Das Datacenter-Programm und das Windows 2000 Datacenter Server-Produkt
Weitere Informationen dazu, wie Sie mehrere Hotfixes mit nur einem Neustart installieren, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
296861  (http://support.microsoft.com/kb/296861/DE/ ) Installieren von mehreren Windows-Updates oder Hotfixes mit nur einem Neustart
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
Zum Anfang
Keywords: 
kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack KB289243
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN