MS02-001: Kované SID by mohlo mať za následok oprávneniami správcu v systéme Windows 2000

Preklady článku Preklady článku
ID článku: 289243
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

PRIZNAKY

Microsoft Windows NT a Windows 2000 chrániť systém zdrojov s zoznamy (prístupových práv). Zoznamy ACL sú zoznamy zabezpečenia identifikátory (SID) a zoznamy prístupových práv alebo povolenia, pridelené na zabezpečenie istiny. SID sú relatívne vzhľadom na doméne. SID používateľa alebo skupina z domény je vždy založené na SID domény a jedinečne identifikuje používateľa alebo skupinu. Zoznamy ACL sú umiestnené na prostriedok na označenie, ktoré používatelia a skupiny sú povolené na prístup k zdrojom, a akú úroveň prístupu používatelia a skupiny sú povolené. Keď sa používateľ pokúsi prístup k zdrojom, Windows porovnáva zoznam čísel SID v ACL do zoznamu SID, ktoré identifikujú používateľ a jeho / jej členstvo a granty skupiny alebo zamieta prístup ako vhodné.

Keď sa používateľ prihlási do domény, používateľské konto SID a členstvo v skupine SID určovaný radič domény v používateľa konto domény. SID dôveryhodnej doméne, relatívny Identifikátor (RID) používateľ na účte, RID primárna skupina používateľa a SID všetkých ďalších členstvo v skupine sú skombinované do povolenia dátové štruktúry a zložili žiadajúci počítača. Ak je spustený radičom domény Systém Windows 2000, je tiež kontrol určiť, ak má používateľ akékoľvek SID v jeho alebo jej SIDHistory atribút a zahŕňa tieto SID v povolení údaje.

Ak počítač, ktorý požaduje overenie používateľa je v inú doménu z používateľské konto overovania nastane pomocou dôveru. Dôvery vytvorený medzi doménami systému Windows 2000 so systémom Windows NT, alebo zjednodušiť užívateľské overovanie skúsenosti--najmä umožnením jednotného prihlásenie. Keď jednu doménu dôveruje druhej, to znamená, že adresároch dôverujúcej domény umožňuje dôveryhodnej domény na overenie používateľov (alebo počítače) ktorých účty, ktoré spravuje. Počas overovania, počítač v adresároch dôverujúcej domény prijíma povolenie údaje, ktoré poskytol dôveryhodnej doméne radič. Neexistuje spôsob, ako pre počítač požadujúci overovania na určenie platnosti povolenia informácií, takže prijíma údaje ako presné založené na existencii vzťah dôveryhodnosti.

A nedostatočné zabezpečenie existuje, pretože adresároch dôverujúcej domény nie skontrolujte dôveryhodnej domény je skutočne autoritatívnym serverom pre všetky identifikátory SID v povolení údaje. Ak jedno z čísel SID v zozname identifikujú používate?a alebo zabezpečenia skupiny, je nie v dôveryhodnej doméne, adresároch dôverujúcej domény prijíma informácie a využíva pre následný prístup kontroly rozhodnutia. Ak útočník vložiť SID do povolenia údaje v dôveryhodnej doméne, mohli povzniesť jeho alebo jej oprávnenia na tie, ktoré sú priradené používateľovi alebo skupine, vrátane skupine správcovia domény pre adresároch dôverujúcej domény. To by umožniť útočníkovi získať plný prístup správca domény v počítačoch v adresároch dôverujúcej domény.

Využívanie tejto zraniteľnosti by výzvou. Minimálne by útočníkovi potrebovať oprávnenia správcu na dôveryhodnej domény a technické nástroje upraviť low-level prevádzkové systém funkcie a dátové štruktúry. Systém Windows 2000 poskytuje mechanizmus na zavedenie dodatočných SID do povolenia údaje, známy ako SIDHistory. Neexistuje však žiadna programovacieho rozhrania, ktorý by umožniť útočníkovi--ešte so správcovskými právami--zaviesť identifikátor SID do SIDHistory informácií; namiesto toho by bolo potrebné útočníkovi vykonávať binárne upraviť dátových štruktúr že podržte SIDHistory informácie. Čeliť týmto potenciálnym útokom Microsoft pridal funkciu nazývanú SID filtrovanie na systém Windows NT 4.0 a Systém Windows 2000. S SID filtrovanie, správca môže spôsobiť domény radiče v danej domény "karantény „dôveryhodnej domény. To by spôsobiť radiče domény v adresároch dôverujúcej domény odstrániť všetky identifikátory SID, ktoré sú nie vzhľadom na dôveryhodnej domény z akékoľvek povolenie údajov, ktorý sa dostane z tejto domény. Karantény sa vykonáva z dôverujúcej domény a je urobiť na základe domény.

SID filtrovanie blokuje Windows 2000 prenosná dôveryhodnosť. Ak karanténe domény umiestnený na ceste dôvery medzi dve domény, používateľom domén na strane druhej v karanténe domény prostriedky v quarantining doméne sa nedajú sprístupniť. Z tohto dôvodu karanténe domén by byť listový domén, ich podradených domén by byť iba Zdroj domén, ktoré obsahujú žiadne používateľské kontá alebo karanténe domény by mali byť samostatné lesa.

Správcovi Windows 2000 by nesmú používať funkciu filtrovania SID vytvoriť „"obmedzený prístup" domény v rámci doménovom lese. Odporúčané karantény scenár je karantény iba domén v samostatné lesov. Trust by mali byť stanovené z domény, ktoré sa chránené na doméne, ktorá má byť karanténe a potom adresároch dôverujúcej domény by mal byť konfigurovaný na filtrovanie SID z dôveryhodnej domény.

Spoločnosť Microsoft odporúča, že nebudete používať tento ZABEZPEČOVACÍ filtrovanie medzi doménami v rovnaké lesné pretože narúša predvolené dôvery a autentifikácia správanie lesa, vrátane vnútri-lesnej replikácia, a bude pravdepodobne viesť problémy s programami, ktoré by mohlo byť problematické riešenie. Tento článok obsahuje zoznam programov a funkčnosti, ktoré sú známe na zlyhanie v SID Filtrovanie prostrediach. Nechcete použiť obmedzený prístup domén a postupujte odporúčania, ktoré sú uvedené vyššie, ak potrebujete tieto programy alebo funkčnosť. Spoločnosť Microsoft nemôže poskytnúť riešenia týchto problémov.

RIESENIE

Ak chcete vyriešiť tento problém, získať Windows 2000 Security Súhrnnom balíku 1 (SRP1). Ďalšie informácie o SRP1 kliknutím na číslo článku nižšie, čím zobrazíte článok v databáze Microsoft Knowledge Base:
311401 Windows 2000 Security súhrnnom balíku 1 (SRP1), január 2002
Anglická verzia tejto opravy by mala mať po atribúty súboru alebo neskôr:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
POZNÁMKA: Táto rýchla oprava vyžadujú z dôvodu závislostí súboru, Microsoft Windows 2000 Service Pack 2.

STAV

Microsoft má potvrdila, že tento problém môže spôsobiť určitý stupeň zabezpečenia programu Systém Microsoft Windows 2000.

DALSIE INFORMACIE

Ďalšie informácie o tejto zraniteľnosti, pozri nasledujúce webovú lokalitu spoločnosti Microsoft:
http://www.Microsoft.com/TechNet/Security/Bulletin/MS02-001.mspx

Konfigurovanie SID filtrovanie

Môžete nakonfigurovať SID filtrovanie s aktualizovanú Windows 2000 Service Pack 2 (SP2) verzia Netdom.exe utility na so systémom Windows 2000 domén. Pre SID filtrovanie fungovať správne, SP2 musí byť nainštalovaný na každom radič domény v adresároch dôverujúcej domény (doméne, ktorá je karantény inej domény). Aktualizovaná verzia Netdom.exe je zahrnuté na podporu Nástroje priečinok na disku CD-ROM SP2, alebo si môžete stiahnuť z webu spoločnosti Microsoft stránky. A /filtersids bol pridaný prepínač na túto verziu Netdom.exe konfigurácia SID filtrovanie.

Pre domény so systémom Windows 2000, do karantény domény, použite nasledujúci príkaz raz na jedného radiča domény v doméne (v tomto príklade je RESDOM domény filtrovanie ACCDOM domény):
netdom dôverovať RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Súvisiace príkaz Vypnúť SID filtrovanie je:
dôveryhodnosti netdom RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Na overenie SID filtrovania nastavenia na doméne, Tento príkaz:
netdom dôverovať RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Typické príčiny replikácia služby Active Directory Nastavenie rozmnožené na všetky radiče domény v doméne.

Overovanie a audit zmeny

Označovať v Pomocníkovi online v systéme Windows 2000 informácie o ako nastaviť auditovanie v systéme Windows 2000.

Keď je trust usadený adresároch dôverujúcej domény vytvorí a uloží údajová štruktúra nazýva Dôveryhodnej domény objekt (TDO), ktorý obsahuje SID dôveryhodnej domény a Ďalšie informácie o dôveru. Keď je zapnuté SID filtrovanie pre dôveryhodný domény, overenia na tejto doméne nebude úspešné, ak povolenie údajov predstavuje identifikátor SID, ktorý nezodpovedá identifikátora zabezpečenia SID v adresároch dôverujúcej domény TDO domény pre karanténe doménu. Táto okolnosť môže nastať iba vtedy, ak povolenie údaje bolo zmenené. Ak overovanie neuspeje v tomto spôsobom a prihlásenia alebo odhlásenia audit je zapnutá, udalosť je generovaný vo denníka udalostí na radič domény, ktorý spracováva authentication požiadať v adresároch dôverujúcej domény.

SP2 obsahuje nové bezpečnostný audit udalosť sa udalosť ID 548 pre overenie pomocou štandardu NTLM a pridá nový kód poruchy (0xC000019B) na udalosť ID 677 počas overovania protokolom Kerberos. Tieto sú prihlásenie alebo Odhlásenie zlyhanie udalostí, ktoré vznikajú pri SID domény je falošnou "identitou." The Tieto vzorky položky preukázať tieto udalosti.

Počas NTLM overovanie:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
Počas overovania protokolom Kerberos:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

Obmedzenia SID filtrovanie

Existujú tri potenciálne nevýhody spojené s SID filtrovanie ktoré by mohli potenciálne zabrániť niektorí užívatelia získať prístup k zdrojom pre ktoré sú oprávnené:
  • SID filtrovania a SIDHistory sa navzájom vylučujú mechanizmy. Ak SID filtrovania je v platnosti v doméne, je filtre akékoľvek SIDHistory informácie v prichádzajúce povolenie údaje z karanténe domén.
  • SID filtrovania môžete zablokovať jediného prihlásenia výhody prenosná dôveryhodnosť v systéme Windows 2000. Predpokladajme napríklad, že doména a dôveruje doméne b a doména b dôveruje doméne C. zvyčajne v systéme Windows 2000, používateľa z doméne c by mohli získať prístup k prostriedkom domény A, pretože doména a transitively dôverova aj doméne C. Avšak, ak doména a má SID filtrovanie v platnosti pre doménu B, by už umožnil doméne b ručiť za používateľa z domény C, pretože doméne b nie je autoritatívnym serverom pre SID v doméne C.
  • SID filtrovanie filtre SID, ktoré sú spojené s používateľa členstvo v univerzálnej skupiny ak skupín nie sú zachované v doména používateľovho konta.

Nekompatibilné programy a súčasti

Tieto programy a súčasti Windows 2000 je známe, že sa nezlučiteľné so SID filtrovania:
  • Členstvo v univerzálnej skupine pre všetky univerzálne skupiny, ktoré doména používateľovho konta nie sú
  • Microsoft Exchange 2000 funkcie, ktoré sa spoliehajú na univerzálne skupiny
  • SIDHistory pre kontá, ktoré povolá naspäť
  • Prenosná dôveryhodnosť nepracuje správne
  • Replikácia služby Active Directory--z tohto dôvodu v najmä SID filtrovanie by sa nemali používať medzi doménami v tom istom lesa. SID filtrovanie by mali byť použité iba na filtrovanie na externé dôveruje.
Ďalšie informácie o tom, ako získať rýchlu opravu pre systém Windows 2000 Datacenter Server, kliknite na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
265173The Datacenter Program a Windows 2000 Datacenter Server výrobku
Ďalšie informácie informácie o inštalácii viacerých rýchlych opráv s jediným reštartovaním počítača, kliknite na tlačidlo nasledujúce číslo článku databázy Microsoft Knowledge Base:
296861Inštalácia viacerých aktualizácií alebo rýchlych opráv s jediným reštartovaním počítača

Vlastnosti

ID článku: 289243 - Posledná kontrola: 24. októbra 2011 - Revízia: 2.0
Kľúčové slová: 
kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbmt KB289243 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:289243

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com