MS02-001 : identificateur de sécurité falsifié peut entraîner les privilèges dans Windows 2000 élevés

Traductions disponibles Traductions disponibles
Numéro d'article: 289243 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Microsoft Windows NT et Windows 2000 protègent les ressources système avec des listes de contrôle d'accès (ACL) Les ACL sont des listes d'identificateurs de sécurité et de droits d'accès ou autorisations accordés à ce principe de sécurité Les identificateurs de sécurité sont liés à un domaine L'identificateur de sécurité d'un utilisateur ou d'un groupe d'un domaine s'appuie toujours sur l'identificateur de sécurité du domaine et n'identifie que l'utilisateur ou le groupe Les ACL sont placées sur une ressource pour indiquer les utilisateurs et les groupes autorisés à accéder à cette ressource ainsi que le niveau d'accès qui leur est accordé Lorsqu'un utilisateur essaie d'accéder à la ressource Windows compare la liste des identificateurs de sécurité de l'ACL à la liste des identificateurs de sécurité à laquelle appartient l'utilisateur et son groupe et accorde ou refuse l'accès selon le cas

Lorsqu'un utilisateur se connecte à un domaine l'identificateur de sécurité du compte de l'utilisateur et celui du groupe auquel il appartient sont déterminés par un contrôleur de domaine dans le domaine du compte de l'utilisateur L'identificateur de sécurité du domaine approuvé l'identificateur du compte de l'utilisateur et celui du groupe primaire de l'utilisateur ainsi que les identificateurs de sécurité de tous les autres groupes sont combinés en une structure de données d'autorisation et passés vers l'ordinateur qui effectue la requête Si le contrôleur du domaine qui procède à l'authentification s'exécute sous Windows 2000 il vérifie également si l'utilisateur possède plusieurs identificateurs de sécurité dans son attribut <B>SIDHistory</B> et les inclut dans les données d'autorisation

Si l'ordinateur qui demande l'authentification d'utilisateurs est dans un domaine différent du compte de l'utilisateur, authentification se produit en utilisant une approbation. L'approbation est créée entre des domaines Windows NT ou Windows 2000 afin de simplifier l'authentification de l'utilisateur en particulier en permettant une connexion unique Lorsqu'un domaine en approuve un autre ceci signifie que le domaine autorisé à approuver permet au domaine approuvé d'authentifier les utilisateurs (ou les ordinateurs) dont il gère les comptes Pendant cette authentification l'ordinateur situé dans le domaine autorisé à approuver accepte les données d'autorisation fournies par le contrôleur du domaine approuvé Il n'existe aucun moyen pour l'ordinateur qui demande l'authentification afin de déterminer la validité des informations d'autorisation afin qu'elle accepte les données comme précises basées sur l'existence de la relation d'approbation.

Ce système est vulnérable car le domaine autorisé à approuver ne vérifie pas si le domaine approuvé fait autorité pour tous les identificateurs de sécurité dans les données d'autorisation Si l'un des identificateurs de sécurité de la liste identifie un utilisateur ou un groupe de sécurité qui n'est pas dans le domaine approuvé le domaine autorisé à approuver accepte les informations et les utilise pour les décisions de contrôle d'accès ultérieures Si un intrus devait insérer des identificateurs de sécurité dans les données d'autorisation sur le domaine approuvé il pourrait élever ses privilèges au niveau de ceux associés à tout utilisateur ou groupe y compris au groupe Administrateurs de domaine du groupe autorisé à approuvé Ceci permet à un intrus d'obtenir un accès complet en tant qu'administrateur de domaine à des ordinateurs du domaine autorisé à approuver

L'exploitation de cette vulnérabilité est difficile Un intrus doit disposer au minimum de privilèges d'administration sur le domaine approuvé et des ressources techniques nécessaires pour modifier les fonctions et structures de données de bas niveau du système d'exploitation Windows 2000 propose un mécanisme pour introduire des identificateurs de sécurité supplémentaires dans les données d'autorisation connu sous le nom de SIDHistory Cependant aucune interface de programmation n'autorise un intrus (même s'il dispose de droits d'administration) à introduire un identificateur de sécurité dans les informations relatives à SIDHistory ; au lieu de cela il devra effectuer une édition binaire des structures de données qui contiennent ces informations Pour contrer ces attaques potentielles Microsoft a ajouté à Windows NT 4.0 et Windows 2000 une fonctionnalité de filtrage de l'identificateur de sécurité Grâce à cette fonctionnalité un administrateur peut demander aux contrôleurs de domaine d'un domaine donné de mettre en quarantaine un domaine approuvé Les contrôleurs du domaine approuvés seront alors obligés de supprimer toute donnée d'autorisation reçue de ce domaine les identificateurs de sécurité n'étant pas liés au domaine approuvé Mettre en quarantaine est effectué du domaine d'approbation et est effectué sur une base domaine par domaine.

Le filtrage de l'identificateur de sécurité bloque l'approbation transitive de Windows 2000 Si un domaine mis en quarantaine se situe dans le chemin approuvé entre deux domaines les utilisateurs des domaines situés de l'autre côté du domaine en quarantaine ne peuvent accéder aux ressources contenues dans le domaine autorisé à mettre en quarantaine C'est pour cette raison que les domaines mis en quarantaine doivent être des domaines feuille leurs domaines enfant doivent uniquement être des domaines de ressources ne contenant aucun compte utilisateur ou le domaine mis en quarantaine doit se trouver dans une forêt séparée

Un administrateur Windows 2000 ne doit pas utiliser la fonctionnalité de filtrage de l'identificateur de sécurité pour créer un domaine d'accès restreint au sein d'une forêt Le scénario recommandé est de ne mettre en quarantaine que les domaines situés dans des forêts séparées Une approbation doit être établie depuis le domaine à protéger vers le domaine à mettre en quarantaine puis le domaine autorisé à approuver doit être configuré pour filtrer les identificateurs de sécurité depuis le domaine approuvé

Microsoft vous recommande que vous n'utilisiez pas ce SID filtrant entre des domaines de la même forêt étant donné qu'il perturbe le comportement par défaut d'approbation et authentification d'une forêt, incluant la réplication intra-forest et est susceptible à conduire à des problèmes avec les programmes à résoudre peut être difficile. Cet article contient une liste des programmes et fonctionnalités connus pour leur mauvais fonctionnement dans des environnement de filtrage d'identificateurs de sécurité N'utilisez pas les domaines d'accès restreint et suivez les recommandations précédemment énumérées si vous avez besoin de ces programmes ou de cette fonctionnalité Microsoft n'est pas en mesure de fournir des solutions à ces problèmes

Résolution

Pour résoudre ce problème, procurez-vous Windows 2000 SRP1 Security Rollup Package 1 (SRP1). Pour plus d'informations sur le SRP1 cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft
311401 Windows 2000 SRP1 (Security Rollup Package 1) janvier 200
La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
REMARQUE : en raison de dépendances de fichiers, ce correctif nécessite le Pack 2 Microsoft Windows 2000.

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Microsoft Windows 2000

Plus d'informations

Pour plus d'informations sur ce problème de sécurité reportez-vous au site Web de Microsoft à l'adresse suivante
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

Configuration du filtrage de l'identificateur de sécurit

Vous pouvez configurer le filtrage de l'identificateur de sécurité avec la version mise à jour Windows 2000 Service Pack 2 (SP2) de l'utilitaire Netdom.exe sur les domaines Windows 2000 Pour que le filtrage de l'identificateur de sécurité fonctionne correctement SP2 doit être installé sur chaque contrôleur de domaine dans le domaine autorisé à approuver (le domaine qui met un autre domaine en quarantaine) La version mise à jour de Netdom.exe figure dans le dossier Support Tools du CD-ROM SP2 mais vous pouvez aussi le télécharger depuis le site Web Microsoft Un commutateur <B>/filtersids</B> a été ajouté à cette version de Netdom.exe pour configurer le filtrage de l'identificateur de sécurité

Pour mettre en quarantaine un domaine Windows 2000 utilisez la commande suivante une fois sur le contrôleur du domaine (dans cet exemple le domaine RESDOM filtre le domaine ACCDOM)
netdom approuver /UD:ACCDOM\Administrator D:ACCDOM /UO:RESDOM\Administrator /PO /filtersids:yes adminpwd PD:adminpwd RESDOM
La commande permettant de désactiver le filtrage de l'identificateur de sécurité est
netdom approuver /UD:ACCDOM\Administrator D:ACCDOM /UO:RESDOM\Administrator /filtersids:no PO:adminpwd PD:adminpwd RESDOM
Pour vérifier les paramètres de filtrage de l'identificateur de sécurité sur un domaine utilisez cette commande
netdom approuver /UD:ACCDOM\Administrator D:ACCDOM /PD /UO:RESDOM\Administrator /filtersids PO:adminpwd adminpwd RESDOM
La réplication Active Directory type propage ce paramètre vers tous les contrôleurs du domaine

Changements d'authentification et d'audi

Consultez l'aide en ligne de Windows 2000 pour plus d'informations sur la configuration de l'audit sous Windows 2000

Lorsqu'une approbation est établie un domaine autorisé à approuver crée et enregistre une structure de données nommée objet Domaine approuvé qui contient les identificateurs de sécurité du domaine approuvé ainsi que les autres informations relatives à l'approbation Lorsque le filtrage de l'identificateur de sécurité est activé pour un domaine approuvé les authentifications vers ce domaine échouent si les données d'autorisation présentent un identificateur de sécurité de domaine qui ne correspond pas à celles de l'objet Domaine approuvé du domaine autorisé à approuver pour le domaine mis en quarantaine Ceci peut survenir uniquement si les données d'autorisation ont été corrompues Si l'authentification échoue de cette manière et si un audit de d'ouverture ou de fermeture de session est autorisé un événement est généré dans le journal des événements du contrôleur de domaine qui traite la demande d'autorisation dans le domaine autorisé à approuver

SP2 inclut un nouvel événement d'audit de sécurité avec un identificateur d'événement 548 pour l'authentification NTLM et ajoute un nouveau code d'erreur (0xC000019B) à l'identificateur d'événement 677 pendant l'authentification Kerberos Ce sont des événements d'erreur d'ouverture ou de fermeture de session qui sont générés lorsque l'identificateur de sécurité est usurp Les entrées de l'exemple suivant font la preuve de ces événements

Pendant authentification NTLM :
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
Pendant l'authentification Kerberos
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

Limitations du filtrage de l'identificateur de sécurit

Il y a trois inconvénients potentiels associé avec FILTRAGE DES IDENTIFICATEURS SID qui peut potentiellement empêcher certains utilisateurs d'accéder aux ressources pour lesquelles ils sont autorisés :
  • Le filtrage de l'identificateur de sécurité et SIDHistory sont des mécanismes exclusifs Si filtrage des identificateurs SID est sur un domaine en vigueur, il filtre toute information SIDHistory dans des données d'autorisation entrantes de domaines en quarantaine.
  • Filtrage des identificateurs SID peut bloquer les avantages de connexion seuls d'approbation transitive dans Windows 2000. Par exemple supposez le domaine dont un domaine B d'approbations et un domaine de domaine C. Typically dans Windows 2000, un utilisateur de domaine C d'approbations B peuvent accéder à des ressources de domaine A parce que domaine A approuve transitivement le domaine C. Cependant si domaine A possède SID appliquer en vigueur un filtre pour le domaine B, il n'autorisera plus de domaine B à garant pour un utilisateur de domaine C parce que domaine B ne fait pas d'autorité pour SID dans domaine C.
  • Le filtrage de l'identificateur de sécurité filtre les identificateurs de sécurité associés à l'appartenance d'un utilisateur à des groupes universels si les groupes ne sont pas maintenus dans le domaine du compte de l'utilisateur

Programmes et fonctionnalités incompatible

Les programmes et fonctionnalités Windows 2000 suivants sont connus pour être incompatibles avec le filtrage de l'identificateur de sécurité
  • Appartenance à un groupe universel pour tous les groupes universels ne se trouvant pas dans le domaine du compte de l'utilisateu
  • Fonctionnalités Microsoft Exchange 2000 qui reposent sur des groupes universels
  • SIDHistory pour comptes migrés
  • L'approbation transitive ne fonctionne pas correctemen
  • Réplication Active Directory pour cela raison en particulier que filtrage des identificateurs SID n'a pas dû être utilisé entre domaines de la même forêt. Le filtrage de l'identificateur de sécurité ne devrait être utilisé que pour filtrer les approbations externes
Pour plus d'informations sur la façon d'obtenir un correctif pour Windows 2000 Datacenter Server cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft
265173 Le produit programme Datacenter et Windows 2000 Datacenter Server
Pour plus d'informations comment sur installer plusieurs correctif avec l'un de redémarrage, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
296861 Comment installer plusieurs mises à jour Windows ou correctif avec l'un de redémarrage

Propriétés

Numéro d'article: 289243 - Dernière mise à jour: vendredi 27 octobre 2006 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbwin2000sp3fix kbsecurity kbsecbulletin kbsechack KB289243 KbMtfr kbmt
Traduction automatique
TRADUCTION AUTOMATIQUE : Cet article technique a été traduit par un système automatique, c'est-à-dire sans aucune intervention humaine. Microsoft propose ce type d?articles en complément de ceux traduits par des traducteurs professionnels. Ces articles sont destinés principalement aux utilisateurs ne comprenant pas l'anglais en leur proposant, en complément, une version française de l?information technique fournie dans la version américaine et originale de l?article. Pour plus de détails, veuillez consulter la page http://support.microsoft.com/gp/mtdetails. Attention : Il est possible que certaines parties de l?article ne soient pas traduites par le système automatique et qu?elles soient restées rédigées en anglais. Microsoft ne garantit pas la qualité linguistique des traductions et ne peut être tenu responsable d?aucun problème, direct ou indirect, dû à une quelconque erreur de traduction du contenu ou de son utilisation par les utilisateurs.
La version anglaise de cet article est la suivante: 289243
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com