MS02-001: Windows 2000에서 상승된 권한이 위조된 SID 발생할 수 있습니다.

기술 자료 번역 기술 자료 번역
기술 자료: 289243 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

Microsoft Windows NT 및 Windows 2000 액세스 제어 목록 (ACL) 시스템 리소스를 보호합니다. ACL을 보안 식별자 (SID) 목록 및 액세스 권한이나 해당 보안 주체가 부여된 권한은 목록이 있습니다. SID는 도메인에 상대적인입니다. 사용자 또는 도메인 그룹의 SID가 항상 도메인의 SID를 기반으로 하며 사용자 또는 그룹을 고유하게 식별합니다. ACL을 사용자가 해당 리소스에 액세스할 수 있는 사용자 및 그룹 허용 및 액세스 수준을 나타내기 위해 리소스에 대한 배치되며 그룹을 사용할 수 있습니다. 사용자가 리소스에 액세스할 때 Windows 사용자 및 그룹 구성원이 자신의 식별하는 SID 목록 ACL에 SID 목록을 비교합니다 및 부여하거나 적절한 액세스를 거부합니다.

사용자가 도메인에 로그온하면 사용자 계정 SID 및 그룹 구성원 SID 사용자의 계정 도메인의 도메인 컨트롤러에 의해 결정됩니다. 사용자 계정, 사용자의 주 그룹은 RID 및 다른 모든 그룹 구성원 SID를 상대 ID (RID) 트러스트된 도메인의 SID 권한 부여 데이터 구조로 결합하여 요청 컴퓨터로 전달되는. 인증 도메인 컨트롤러를 Windows 2000을 실행 중인 경우, 또한 사용자가 자신의 SIDHistory 특성에 모든 SID를 가진 확인하고 해당 SID 권한 부여 데이터가 포함되어 확인합니다.

사용자 인증을 요청하는 컴퓨터에 사용자 계정이 다른 도메인에 있는 경우 트러스트를 사용하여 인증이 발생합니다. 특히 단일 로그온을 사용하면 사용자의 인증 환경을--단순화하기 위해 Windows NT 기반 또는 Windows 2000 기반 도메인 간에 트러스트가 만들어집니다. 한 도메인에서 다른 트러스트된 때 트러스팅 도메인의 트러스트된 도메인의 사용자 (또는 컴퓨터) 관리하는 계정을 인증할 수 있다는 의미입니다. 인증 과정에서 트러스팅 도메인의 컴퓨터에서 신뢰할 수 있는 도메인 컨트롤러에 의해 제공된 권한 부여 데이터를 받아들입니다. 신뢰 관계의 존재 여부를 기반으로 정확한 데이터를 받아들이는 있으므로 인증 정보의 유효성을 확인하려면 인증을 요청하는 컴퓨터에 방법은 없습니다.

트러스팅 도메인이 트러스트된 도메인의 권한 부여 데이터 모든 SID가 실제로 정식 있는지 확인하지 않기 때문에 취약점이 존재합니다. 트러스트된 도메인이 아닌 보안 그룹이나 사용자 목록에서 SID 중 하나를 식별하는 경우 트러스팅 도메인 정보를 받아 후속 액세스 제어 결정을 사용합니다. 공격자는 SID가 트러스트된 도메인의 권한 부여 데이터를 삽입할 경우 사용자가 자신의 권한을 사용자 또는 그룹은 트러스팅 도메인의 도메인 관리자 그룹의 포함하여, 연결되어 있는 높일 수 있습니다. 이 공격자는 트러스팅 도메인의 컴퓨터에 있는 모든 도메인 관리자 권한을 얻을 수 있습니다.

이 취약점을 악용하는 어려울 수 있습니다. 최소한 공격자는 신뢰할 수 있는 도메인 및 하위 수준 운영 체제 함수 및 데이터 구조를 수정하려면 기술 wherewithal 관리자 권한이 있어야 합니다. Windows 2000 SIDHistory 것으로 알려진 권한 부여 데이터를 추가로 SID 소개 메커니즘을 제공합니다. 그러나 SID SIDHistory 정보를 소개하는 경우에도 관리 권한으로--인해 공격자가 프로그래밍 인터페이스가 없습니다; 대신, 공격자는 SIDHistory 정보를 보유하는 데이터 구조의 이진 편집 수행해야 합니다. 이러한 잠재적인 공격에 대응하기 위해 Microsoft는 SID 필터링을 Windows NT 4.0 및 Windows 2000 기능을 추가했습니다. SID 필터링을 관리자가 "신뢰할 수 있는 도메인 격리" 하는 지정된 도메인에서 도메인 컨트롤러를 발생할 수 있습니다. 도메인 컨트롤러를 해당 도메인에서 받은 모든 권한 부여 데이터 신뢰할 수 있는 도메인에서 비례하여 없는 모든 SID 제거하려면 트러스팅 도메인의 중단됩니다. 격리는 트러스팅 도메인에서 수행되며 도메인 단위 기준으로 수행됩니다.

Windows 2000 전이 트러스트는 SID 필터링을 차단합니다. 격리된 도메인 두 도메인 사이의 트러스트 경로에 있는 경우에는 격리된 도메인의 다른 쪽의 도메인의 사용자가 차단 도메인의 리소스에 액세스할 수 없습니다. 이러한 이유로 격리된 도메인을 리프 도메인에 있어야 합니다, 자식 도메인에 없는 사용자 계정을 포함하는 리소스 도메인만 합니다 또는 격리된 도메인 별도의 포리스트에 있어야 합니다.

Windows 2000 관리자는 제한된-액세스 "도메인 포리스트 내에서 만들려면 SID 필터링 기능을 사용해서는 안 됩니다. 권장되는 격리 시나리오를 별도의 포리스트에 있는 도메인 격리 것입니다. 격리되지 것입니다 도메인으로 보호할 수 있는 도메인에 트러스트를 설정해야 합니다 및 다음 트러스팅 도메인이 트러스트된 도메인의 SID 필터링 구성해야 합니다.

이 SID 포리스트 내 복제를 포함하여 포리스트 기본 신뢰 및 인증 동작을 방해합니다 어려운 문제를 해결하는 데 프로그램에 문제가 발생할 가능성이 있기 때문에 같은 포리스트에 있는 도메인 간에 필터링을 사용하지 않는 것이 좋습니다. 이 문서에서는 목록이 들어 있는 SID 필터링을 환경에서 제대로 작동하지 것으로 알려진 프로그램 및 기능을. 수행할 않는 제한된 액세스 도메인 사용하고 이러한 프로그램이나 기능에 필요한 경우 위에 나열된 권장 사항을 따르십시오. Microsoft는 이러한 문제에 대한 해결 방법을 제공할 수 없습니다.

해결 방법

이 문제를 해결하려면 Windows 2000 보안 롤업 패키지 1 (SRP1) 구하십시오. SRP1에 대한 자세한 내용은 아래 문서 번호를 눌러 Microsoft 기술 자료에 있는 문서를 클릭하십시오.
311401Windows 2000 보안 롤업 패키지 1 (SRP1), 2002년 1월
이 수정의 영어 버전은 다음 파일 특성을 가집니다 또는 나중에:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
참고: Microsoft Windows 2000 서비스 팩 2 파일 종속성으로 인해 이 핫픽스가 필요합니다.

현재 상태

Microsoft는 이 보안 취약점을 정도를 Microsoft Windows 2000에서 문제가 발생한 것으로 확인했습니다.

추가 정보

이 취약점에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

SID 필터링 구성

SID 업데이트된 Windows 2000 서비스 팩 2 (SP2) 버전의 Windows 2000 기반 도메인의 Netdom.exe 유틸리티를 필터링을 구성할 수 있습니다. 제대로 작동하려면 필터링 SID SP2 트러스팅 도메인의 다른 도메인 격리는 도메인의 모든 도메인 컨트롤러에 설치되어 있어야 합니다. 업데이트된 버전의 Netdom.exe SP2 ROM에 지원 도구 폴더가 포함된 또는 Microsoft 웹 사이트에서 다운로드할 수 있습니다. A /filtersids Netdom.exe SID 필터링을 구성하려면 이 버전의 스위치를 추가했습니다.

Windows 2000 기반 도메인에 대한 도메인 격리 다음 명령을 한 번만 도메인의 한 도메인 컨트롤러에서 사용합니다 (이 예제에서는 RESDOM 도메인 ACCDOM 도메인 필터링 수):
RESDOM/D:ACCDOM/UD:ACCDOM\Administrator/PD:adminpwd/UO:RESDOM\Administrator/PO netdom 신뢰: adminpwd/filtersids:yes
SID 필터링을 사용하지 않으려면 관련된 명령은 다음과 같습니다.
netdom 신뢰 RESDOM/D:ACCDOM/UD:ACCDOM\Administrator/PD:adminpwd/UO:RESDOM\Administrator/PO:adminpwd/filtersids:no
도메인에 대한 SID 필터링 설정을 확인하려면 이 명령을 사용하십시오.
RESDOM/D:ACCDOM/UD:ACCDOM\Administrator/PD netdom 신뢰: adminpwd/UO:RESDOM\Administrator/PO:adminpwd/filtersids
도메인의 모든 도메인 컨트롤러에 전파될 설정은 일반적인 Active Directory 복제가 발생합니다.

인증 및 변경 내용 감사

Windows 2000에서 감사를 구성하는 방법에 대한 자세한 내용은 Windows 2000 온라인 도움말을 참조하십시오.

트러스트가 설정되면 트러스팅 도메인의 만들어 신뢰할 수 있는 도메인 및 트러스트에 대한 기타 정보를 SID가 포함된 트러스트된 도메인 개체 (TDO) 이라는 데이터 구조에 저장합니다. 신뢰할 수 있는 도메인에 대한 SID 필터링을 사용하면 도메인 트러스팅 도메인의 TDO 격리된 도메인의 SID가 일치하지 않는 SID가 권한 부여 데이터를 나타내는 경우에는 해당 도메인의 인증 연속으로지 않습니다. 이 권한 부여 데이터가 변경된 경우 발생할 수 있습니다. 인증이 방식으로 및 로그온 성공 또는 로그오프 감사를 사용할 경우 트러스팅 도메인의 인증 요청을 처리하는 도메인 컨트롤러에서 이벤트 로그에 이벤트가 생성됩니다.

SP2 이벤트 ID 548 NTLM 인증을 사용하여 새 보안 감사 이벤트가 포함되어 있으며 새 실패 추가합니다 (0xC000019B) Kerberos 인증을 수행하는 동안 이벤트 ID 677은 코드. 이러한 도메인 SID가 스푸핑될 때"생성되는 로그온 또는 로그오프 실패 이벤트가 있습니다. 다음 샘플에서는 항목이 이러한 이벤트를 보여 줍니다.

NTLM 동안 인증:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
동안 Kerberos 인증:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

SID 필터링 제한

일부 사용자가 리소스에 대한 인증된 액세스를 얻지 못하도록 수 잠재적으로 SID 필터링이 관련된 세 가지 잠재적인 단점을 다음과 같습니다.
  • SID 필터링 및 SIDHistory 상호 배타적인 메커니즘입니다. 도메인에 SID 필터링이 적용된 경우 격리된 도메인의 들어오는 권한 부여 데이터 SIDHistory 정보를 모두 필터링합니다.
  • 단일 사인온 이점은 Windows 2000에서 전이 트러스트 SID 필터링을 차단할 수 있습니다. 예를 들어, 전이적으로 도메인 A는 도메인 C를 트러스트합니다 때문에 트러스트 도메인 B의 번호와 도메인 B가 도메인 C를 일반적으로 C 도메인의 사용자가 Windows 2000에서 도메인 리소스에 액세스할 수 있는 해당 도메인의 가정하십시오. 그러나 도메인 SID 유효한 도메인 B의 필터링을 있으면 더 이상 도메인 B는 도메인 사용자를 보증할 수 없습니다, C 도메인 B가 도메인 C SID에 대한 권한이 없기 때문에
  • SID 필터링을 그룹에 사용자 계정 도메인에서 관리됩니다 경우 유니버설 그룹의 사용자 구성원에 관련된 SID를 필터링합니다.

호환되지 않는 프로그램 및 기능

다음 프로그램 및 Windows 2000 기능을 SID 필터링이 호환되지 않는 것으로 알려져 있습니다.
  • 사용자 계정 도메인에 있는 모든 유니버설 그룹에 대해 유니버설 그룹 구성원
  • 유니버설 그룹은 Microsoft Exchange 2000 기능
  • 마이그레이션된 계정의 SIDHistory
  • 전이 트러스트 제대로 작동하지 않습니다.
  • 특히, Active Directory 복제가--이 같은 포리스트에 있는 도메인 간에 SID 필터링을 사용하지 않아야 이유. 외부 트러스트에 대해서만 필터링하려면 SID 필터링을 사용해야 합니다.
Windows 2000 Datacenter Server 핫픽스를 구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
265173Datacenter 프로그램 및 Windows 2000 Datacenter Server 제품
한 번만 다시 부팅하여 여러 핫픽스를 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
296861한 번만 다시 부팅하여 여러 Windows 업데이트 또는 핫픽스를 설치하는 방법

속성

기술 자료: 289243 - 마지막 검토: 2006년 10월 27일 금요일 - 수정: 4.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
키워드:?
kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com