MS02-001: Falešný identifikátor SID může mít za následek zvýšenými oprávněními v systému Windows 2000

Překlady článku Překlady článku
ID článku: 289243 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Microsoft Windows NT a Windows 2000 chránit systémové prostředky se seznamy řízení přístupu (ACL). Seznamy ACL se seznamy identifikátorů zabezpečení (SID) a seznamy přístupová práva nebo oprávnění udělená této zaregistrovaný objekt zabezpečení. Identifikátory jsou relativní vzhledem k doméně. Identifikátor SID uživatele nebo skupiny z domény je vždy založena na identifikátor SID domény a jednoznačně identifikuje uživatele nebo skupinu. Seznamy ACL jsou umístěny na prostředek označíte, kteří uživatelé a skupiny jsou oprávněni přístup k prostředku a jakou úroveň přístupu uživatelů a skupin nejsou povoleny. Při pokusu uživatele o přístup k prostředku, Windows porovná seznam SID v seznamu řízení přístupu do seznamu identifikátorů SID, které identifikují uživatele a jeho členství ve skupinách, a uděluje nebo odepírá přístup podle potřeby.

Při přihlášení uživatele k doméně, číslo SID účtu a členství ve skupině čísla SID uživatele jsou určeny řadič domény v doméně účet uživatele. Číslo SID důvěryhodné domény, relativní ID (RID) uživatelského účtu, RID primární skupina uživatele a ID zabezpečení všech ostatních členství ve skupinách jsou zkombinovány do struktury dat autorizace a předán dožadující počítače. Pokud ověřovací řadič domény je spuštěn systém Windows 2000, kontroluje také zjistit, zda uživatel má všechny identifikátory SID v jeho atribut SIDHistory a zahrnuje tyto identifikátory SID v data autorizace.

Pokud je počítač, který žádá o ověření uživatele v jiné doméně z uživatelského účtu, ověření je prováděno pomocí vztahu důvěryhodnosti. Je vytvořen vztah důvěryhodnosti mezi doménami systému Windows 2000 nebo se systémem Windows NT zjednodušit uživatelům usnadnit práci ověřování--zejména povolením jednotného přihlášení. Když jedna doména důvěřuje jiného, znamená to, že umožňuje důvěřující domény důvěryhodné domény k ověření uživatele (nebo počítače) jejichž účty, které spravuje. Během ověřování přijímá počítače v důvěřující doméně data ověření poskytované řadiči důvěryhodné domény. Neexistuje žádný způsob počítače, který žádá o ověření k určení platnost povolení informací, takže přijímá data co nejpřesnější založené na existenci vztahu důvěryhodnosti.

Existuje chyba zabezpečení, protože důvěřující domény neověřuje důvěryhodné domény jako skutečně autoritativní pro všechny identifikátory SID v datech povolení. Pokud jeden z čísla SID v seznamu identifikuje uživatele nebo skupiny zabezpečení, která není v důvěryhodné doméně, důvěřující domény přijímá informace a používá ho pro následné přístup ovládacího prvku rozhodnutí. Pokud by útočník SID vložte do data autorizace v důvěryhodné doméně, mu může zvýšit jeho oprávnění těm, které jsou přidruženy k libovolnému uživateli nebo skupině, včetně skupiny Domain Administrators v důvěřující doméně. To umožní útočníkovi získat úplný přístup správce domény do počítačů v důvěřující doméně.

Zneužití této chyby zabezpečení by být složité. Minimálně by útočník třeba oprávnění správce v důvěryhodné doméně a technické wherewithal změnit funkce operačního systému nižší úrovně a datových struktur. Systém Windows 2000 poskytuje mechanismus pro zavedení dalších SID do data autorizace, známé jako historie čísel SID. Nicméně není žádné programovací rozhraní, která by útočníkovi--i s právy správce--zavést SID do historie čísel SID informace; místo toho útočník musel provést binární úpravy datových struktur, které uchování informací historie čísel SID. Do těchto možného napadení čítač, společnost Microsoft přidala funkci filtrování identifikátorů SID u systému Windows NT 4.0 a Windows 2000. Pomocí filtrování identifikátorů SID správce může způsobit řadiče domény v dané doméně do důvěryhodné domény "karantény". To by způsobilo řadičů domény v důvěřující doméně, chcete-li odebrat všechny identifikátory SID, která nejsou vzhledem k důvěryhodné doméně z veškerých dat autorizace, přijímané z dané domény. Umístění do karantény se provádí z důvěřující domény a je proveden na základě jednotlivých doménách.

Filtrování identifikátorů SID blokuje přenositelný vztah důvěryhodnosti systému Windows 2000. Pokud je v karanténě domény umístěn v cesta důvěryhodnosti mezi dvěma doménami, uživatelé z domén na druhé straně v karanténě domény nemají přístup k prostředkům v doméně quarantining. Z tohoto důvodu v karanténě domén by měly být listu domén, jejich podřízené domény by měly být pouze domény prostředků, které obsahují žádné uživatelské účty nebo v karanténě doména by měla být v samostatné doménové struktuře.

Správce systému Windows 2000 neměli používat funkci filtrování identifikátorů SID k vytvoření domény "omezen přístup" v rámci doménové struktury. Doporučené karanténní scénář je pouze domény v doménových strukturách samostatné do karantény. Vztah důvěryhodnosti, musí být stanoveny z domény, který má být chráněny v doméně, která má být umístěn do karantény, a potom důvěřující domény by měl být nakonfigurován tak, aby mohl filtrovat čísla SID z důvěryhodné domény.

Společnost Microsoft doporučuje používat toto číslo SID filtrování mezi doménami ve stejné doménové struktuře, protože výchozí chování ověření a důvěryhodnost doménové struktury, včetně replikace v rámci jedné doménové struktury, narušuje a by mohly vést k potížím s aplikacemi, které může být obtížné Poradce při potížích s. Tento článek obsahuje seznam programů a funkce, kterých je známo, že selhání v prostředí filtrování identifikátorů SID. Není pomocí domén s omezeným přístupem a postupujte podle doporučení, které jsou uvedeny výše, potřebujete-li tyto programy nebo funkce. Společnost Microsoft nemůže poskytnout řešení těchto problémů.

Řešení

Tento problém vyřešíte instalací systému Windows 2000 Security Rollup Package 1 (SRP1). Další informace o balíčku SRP1 získáte v článku znalostní báze Microsoft Knowledge Base:
311401Systém Windows 2000 Security Rollup Package 1 (SRP1), leden 2002
Anglická verze této opravy má následující atributy souborů nebo novější:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
Poznámka: vzhledem závislostem souborů vyžaduje tato oprava hotfix systému Windows 2000 Service Pack 2.

Prohlášení

Společnost Microsoft potvrzuje, že tento problém může určitým způsobem ohrozit zabezpečení systému Microsoft Windows 2000.

Další informace

Další informace o této chybě zabezpečení v tématu následující web společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

Konfigurace filtrování identifikátorů SID

Můžete nakonfigurovat pomocí aktualizované verze systému Windows 2000 Service Pack 2 (SP2) nástroj Netdom.exe v doménách se systémem Windows 2000 filtrování identifikátorů SID. Pro filtrování identifikátorů SID u pracovat správně musí být nainstalována aktualizace SP2 na každý řadič domény v důvěřující domény (doména umístění do karantény jiné domény). Aktualizovanou verzi nástroje Netdom.exe je součástí složky Support Tools na disku CD-ROM s aktualizací SP2 nebo můžete ji stáhnout z webu společnosti Microsoft. A / filtersids byl přidán přepínač do této verze nástroje Netdom.exe konfigurace filtrování identifikátorů SID.

Pro domény se systémem Windows 2000, do karantény domény, použijte následující příkaz jednou na jeden řadič domény v doméně (v tomto příkladu RESDOM domény je filtrování ACCDOM domény):
netdom důvěřovat RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Související příkaz zakázat filtrování identifikátorů SID je:
Netdom důvěryhodnosti RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Chcete-li ověřit nastavení filtrování identifikátorů SID v doméně, pomocí následujícího příkazu:
RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /Pd netdom považovat za důvěryhodná: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Typické replikace služby Active Directory způsobí, že nastavení být rozšířena do všech řadičů domény v doméně.

Ověřování a auditování změn

Informace o tom, jak konfigurovat auditování v systému Windows 2000 naleznete v nápovědě online v systému Windows 2000.

Při navázání vztahu důvěryhodnosti důvěřující domény vytvoří a uloží struktuře dat s názvem objekt důvěryhodné domény (TDO), který obsahuje SID důvěryhodné domény a další informace o vztahu důvěryhodnosti. Je-li u důvěryhodné doméně povoleno filtrování identifikátorů SID ověřování do této domény nejsou úspěšné, jestliže data autorizace představuje doménu SID, která neodpovídá identifikátoru SID v důvěřující doméně důvěryhodné domény (TDO) pro doménu v karanténě. Této situaci může dojít v pouze v případě, že data autorizace byl změněn. Pokud ověření neproběhne úspěšně v tomto způsobem a přihlášení nebo odhlášení auditování povoleno, je vygenerována událost v protokolu událostí v řadiči domény, který zpracovává požadavek na ověření v důvěřující doméně.

SP2 obsahuje novou událost auditu zabezpečení s ID 548 událostí pro ověřování NTLM a přidá nové selhání kódu (0xC000019B) ID 677 události během ověřování pomocí protokolu Kerberos. Jedná se o přihlášení nebo odhlášení neúspěšné události, které jsou generovány při SID domény je "falešné." Následující ukázkové položky prokázat těchto událostí.

Během ověřování NTLM ověřování:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
ověřování protokolem Kerberos během:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

Omezení filtrování identifikátorů SID

Existují tři potenciální nedostatky přidružené SID filtrování, která by mohl potenciálně některé uživatelům zabránit v získání přístupu k prostředkům, pro které jsou povoleny:
  • Filtrování identifikátorů SID a historie čísel SID jsou vzájemně se vylučující mechanismy. Pokud filtrování identifikátorů SID je v platnosti v doméně, filtruje všechny informace SIDHistory příchozí data autorizace z domén v karanténě.
  • Filtrování identifikátorů SID mohou blokovat jediné přihlášení výhody přenositelný vztah důvěryhodnosti v systému Windows 2000. Předpokládejme například, že tato doména důvěřuje doméně B a doména B důvěřuje doméně C. obvykle v systému Windows 2000 uživatele z domény C mohl získat přístup k prostředkům v doméně A protože doména A přechodně důvěřuje doméně C. Však doména A má-li filtrování identifikátorů SID v platnosti pro doménou B, je by již povolit domény dokazujících pro uživatele z domény B, C, protože doména B není směrodatný pro ID zabezpečení v doméně C.
  • Filtrování identifikátorů SID filtruje SID přidružené členství uživatele v univerzálních skupinách Pokud skupiny nejsou zachovány v doméně účet uživatele.

Nekompatibilní programy a funkce

Následující programy a funkce systému Windows 2000 jsou označovány jako neslučitelné se filtrování identifikátorů SID:
  • Členství v univerzální skupině pro univerzální skupiny, které nejsou v doméně účtu uživatele
  • Funkce serveru Microsoft Exchange 2000, které spoléhají na univerzální skupiny
  • Historie čísel SID pro přenášené účty
  • Přenosná důvěryhodnost nefunguje správně
  • Active Directory, replikace – pro tento důvod zejména filtrování identifikátorů SID by neměly být použity mezi doménami ve stejné doménové struktuře. Filtrování identifikátorů SID je třeba používat pouze k filtrování externích vztahů důvěryhodnosti.
Další informace o získání opravy hotfix pro systém Windows 2000 Datacenter Server získáte následujícím článku báze Microsoft Knowledge Base:
265173Produkt Datacenter Program a systém Windows 2000 Datacenter Server
Další informace o instalaci více oprav hotfix s pouze jedním restartováním počítače získáte následujícím článku báze Microsoft Knowledge Base:
296861Jak nainstalovat více aktualizací nebo oprav hotfix pro systém Windows s pouze jedním restartováním počítače

Vlastnosti

ID článku: 289243 - Poslední aktualizace: 27. října 2006 - Revize: 4.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
Klíčová slova: 
kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:289243

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com