MS02-001: SID falsificado poderá resultar na privilégios elevados no Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 289243 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Microsoft Windows NT e Windows 2000 protegem recursos de sistema com listas de controlo de acesso (ACL, Access Control List). ACL, Access Control List é listas de identificadores de segurança (SID, Security Identifier) e listas de permissões que são concedidas a esse principal de segurança ou direitos de acesso. SID está relativamente a um domínio. O SID de um utilizador ou grupo a partir de um domínio baseia-se sempre no SID do domínio e identifica o utilizador ou grupo. ACL, Access Control List é colocada num recurso para indicar os utilizadores e grupos que têm permissão para aceder ao recurso e o nível de acesso os utilizadores e grupos são permitidos. Quando um utilizador tenta aceder ao recurso, o Windows compara a lista de SID na ACL à lista de SID que identificam o utilizador e respectiva membros do grupo, e concede ou nega acesso conforme apropriado.

Quando um utilizador inicia sessão num domínio, SID da conta e membros do grupo de SID do utilizador são determinadas por um controlador de domínio no domínio de conta do utilizador. O SID do domínio fidedigno, o ID relativo (RID) da conta do utilizador, o RID do grupo primário do utilizador e os SID de todos os outros membros do grupo são combinadas numa estrutura de dados de autorização e transmitido para o computador solicitador. Se o controlador de domínio de autenticação com o Windows 2000, verifica também para determinar se o utilizador tem quaisquer SID no respectivo atributo SIDHistory e inclui os SID dos dados de autorização.

Se o computador que está a pedir a autenticação de utilizador é um domínio diferente da conta do utilizador, autenticação ocorre utilizando uma fidedignidade. Fidedignidade é criada entre domínios baseados no Windows NT ou baseado no Windows 2000 para simplificar a experiência do utilizador autenticação--especialmente activando single sign-on. Quando um domínio confia no outro, significa que o domínio confiante permite que o domínio fidedigno autenticar os utilizadores (ou computadores) cujas contas gere. Durante a autenticação, o computador no domínio confiante aceita os dados de autorização que são fornecidos pelo controlador de domínio fidedigno. Não é possível para o computador está a pedir autenticação para determinar a validade das informações de autorização, para aceitar os dados que precisa baseia a existência da relação de fidedignidade.

Existe uma vulnerabilidade porque o domínio fidedigno não verifica que o domínio fidedigno é realmente autoritário para todos os SID dos dados de autorização. Se um SID na lista identifica um utilizador ou grupo de segurança que não está no domínio fidedigno, o domínio confiante aceita as informações e utiliza-o para as decisões de controlo de acesso subsequentes. Se um intruso inserir SID os dados de autorização no domínio fidedigno, pode elevar respectivo privilégios aos que estão associados a qualquer utilizador ou grupo, incluindo o grupo de administradores de domínio para o domínio confiante. Isto permitiria ao atacante obter acesso total de administrador do domínio em computadores no domínio confiante.

Exploração desta vulnerabilidade poderia ser um desafio. No mínimo, um intruso teria de privilégios administrativos no domínio fidedigno e wherewithal técnica para modificar funções baixo nível do sistema operativo e estruturas de dados. Windows 2000 fornece um mecanismo para introduzir os SID adicionais nos dados de autorização, conhecidos como SIDHistory. No entanto, existe sem interface de programação que permitiria que um intruso--mesmo com direitos administrativos--para apresentar um SID para as informações de SIDHistory; em vez disso, um intruso teria de efectuar uma edição binária das estruturas de dados que contêm as informações de SIDHistory. Para contar estas potenciais ataques, a Microsoft adicionou uma funcionalidade denominada para Windows NT 4.0 e Windows 2000 a filtragem SID. Com a filtragem de SID, um administrador pode causar os controladores de domínio num determinado domínio para um domínio fidedigno "quarentena". Isto poderia causar os controladores de domínio no domínio confiante removam todos os SID que não estão relacionados com o domínio fidedigno a partir de quaisquer dados de autorização que são recebidos a partir desse domínio. Quarantining efectuada do domínio confiante e é efectuada num regime por domínio.

Filtragem de SID bloqueia confiança transitiva do Windows 2000. Se um domínio em quarentena estiver localizado no caminho de fidedignidade entre dois domínios, os utilizadores de domínios no outro lado do domínio em quarentena não é possível aceder a recursos no domínio quarantining. Por este motivo, domínios em quarentena devem ser folha domínios, os domínios subordinado devem ser apenas domínios de recursos que não contenham nenhuma conta de utilizador ou o domínio em quarentena deverá ser numa floresta separada.

Um administrador do Windows 2000 não deve utilizar a funcionalidade de filtragem de SID para criar um domínio "restringido acesso" numa floresta. O cenário de quarentena recomendado é apenas os domínios numa florestas separadas de quarentena. Deve ser estabelecida uma fidedignidade do domínio que está a ser protegido para o domínio que está a ser colocados em quarentena e, em seguida, o domínio confiante deve ser configurado para filtrar os SID do domínio fidedigno.

A Microsoft recomenda que não utilize filtragem entre domínios na mesma floresta porque interrompe o comportamento de fidedignos e de autenticação predefinido de uma floresta, incluindo a replicação dentro da floresta e é provável que conduzir a problemas com programas que podem ser difíceis de resolução de problemas relacionados com este SID. Este artigo contém uma lista de programas e funcionalidades que são conhecidos por uma avaria em ambientes de filtragem SID. Não utilize acesso restrito domínios e siga as recomendações listadas acima se necessitar destes programas ou funcionalidade. Microsoft não pode fornecer soluções para estes problemas.

Resolução

Para resolver este problema, obtenha o Windows 2000 Security Rollup Package 1 (SRP1). Para obter informações adicionais sobre o SRP1, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
311401Windows 2000 Security Rollup Package 1 (SRP1), Janeiro de 2002
A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
Nota : devido a dependências de ficheiros, esta correcção requer o Microsoft Windows 2000 Service Pack 2.

Ponto Da Situação

A Microsoft confirmou que este problema poderá provocar um grau de vulnerabilidade da segurança no Microsoft Windows 2000.

Mais Informação

Para mais informações sobre esta vulnerabilidade, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

Configurar a filtragem SID

Pode configurar com a versão actualizada do Windows 2000 Service Pack 2 (SP2) do utilitário Netdom.exe em domínios baseados no Windows 2000 a filtragem SID. SID filtragem funcione correctamente, SP2 tem de estar instalado em cada controlador de domínio no domínio confiante (o domínio é quarantining noutro domínio). A versão actualizada do Netdom.exe está incluída na pasta Ferramentas de suporte no CD-ROM do SP2 ou pode transferir a partir do Web site da Microsoft. A / filtersids parâmetro foi adicionado a esta versão do Netdom.exe para configurar a filtragem SID.

Para domínios baseados no Windows 2000, para colocar em quarentena um domínio, utilize o seguinte comando uma vez num controlador de domínio no domínio (neste exemplo, o domínio RESDOM é filtragem domínio ACCDOM):
netdom confiar RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
O comando relacionado para desactivar a filtragem SID é:
netdom fidedignidade RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Para verificar as definições de filtragem SID no domínio, utilize este comando:
netdom confiar RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Replicação do Active Directory normal faz com que a definição para ser propagadas a todos os controladores de domínio no domínio.

Autenticação e a auditoria de alterações

Consulte a ajuda online do Windows 2000 para obter informações sobre como configurar a auditoria no Windows 2000.

Quando é estabelecida uma fidedignidade, o domínio confiante cria e armazena uma estrutura de dados denominada um objecto de domínio fidedigno (TDO) que contém o SID do domínio fidedigno e outras informações sobre a fidedignidade. Quando a filtragem SID está activado para um domínio fidedigno, autenticações a esse domínio não têm êxito se os dados de autorização apresenta um SID que não corresponde ao SID no TDO do domínio confiante para o domínio em quarentena de domínio. Nestas circunstâncias podem ocorrer se os dados de autorização foi alterados. Se a autenticação não tiver êxito neste modo e o início de sessão ou terminar sessão de auditoria está activada, é gerado um evento no registo de eventos no controlador de domínio que está a processar o pedido de autenticação no domínio confiante.

SP2 inclui um evento de auditoria de segurança nova com 548 ID de evento para a autenticação NTLM e adiciona uma nova falha (0xC000019B) de código ao evento ID 677 durante a autenticação Kerberos. Estes são eventos de falha de início ou fim de sessão que são gerados quando o SID do domínio é "defraudado". As entradas exemplo seguintes demonstram estes eventos.

Durante a NTLM autenticação:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
durante a autenticação Kerberos:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

Limitações de filtragem SID

Existem três potenciais desvantagens associadas com filtragem de SID que potencialmente pode impedir alguns utilizadores obtenham acesso a recursos que estão autorizados:
  • Filtragem de SID e SIDHistory são mecanismos mutuamente exclusivos. Se a filtragem de SID em vigor num domínio, filtra quaisquer informações de SIDHistory na entrada dados de autorização de domínios em quarentena.
  • A filtragem SID pode bloquear as vantagens única sign-on de confiança transitiva no Windows 2000. Por exemplo, suponha que domínio que A confia no domínio B e o domínio B confia no domínio C. normalmente, no Windows 2000, um utilizador do domínio C poderiam aceder a recursos no domínio A porque o domínio A confia no domínio C. forma transitória No entanto, se domínio tem filtragem de SID em efeito para o domínio B, já não permitiria domínio B vouch para um utilizador do domínio C, uma vez que o domínio B não é autoritário para SID no domínio C.
  • Filtragem de SID filtra os SID estão associados associação um utilizador a grupos universais se os grupos não são mantidos no domínio de conta do utilizador.

Programas e funcionalidades incompatíveis

Os seguintes programas e funcionalidades do Windows 2000 são identificadas como incompatíveis com a filtragem de SID:
  • Membros do grupo universal para todos os grupos universais que não estão no domínio de conta do utilizador
  • Funcionalidades do Microsoft Exchange 2000 que dependem de grupos universais
  • SIDHistory para contas migradas
  • Confiança transitiva não funciona correctamente
  • Replicação do Active Directory--para este motivo em particular, a filtragem de SID não deve ser utilizado entre domínios na mesma floresta. Filtragem de SID deve ser utilizado apenas para filtrar em fidedignidades externas.
Para obter informações adicionais sobre como obter uma correcção para o Windows 2000 Datacenter Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
265173O Produto programa Datacenter e o Windows 2000 Datacenter Server
Para obter informações adicionais sobre como instalar várias correcções com apenas um reinício, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
296861Como instalar várias actualizações do Windows ou correcções com apenas um reinício

Propriedades

Artigo: 289243 - Última revisão: 27 de outubro de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
Palavras-chave: 
kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 289243

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com