MS02-001: Sahte SID Windows 2000'de, yükseltilmiş ayrıcalıklarla neden olabilir

Makale çevirileri Makale çevirileri
Makale numarası: 289243 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Microsoft Windows NT ve Windows 2000 sistem kaynaklarına erişim denetim listelerini (ACL) ile koruyun. ACL şunlardır: güvenlik tanımlayıcılarını (Sıd) bir listesini ve erişim hakları ya da bu güvenlik sorumlusu için verilen izinleri listeler. Sıd, bir etki alanına göre olur. Bir kullanıcı veya Grup bir etki alanı SıD'SI etki alanı SıD'SINI üzerinde her zaman temel alır ve kullanıcı veya grubu benzersiz olarak tanımlayan. ACL kullanıcıların kaynağa erişmek için hangi kullanıcıların ve grupların izin ve hangi erişim düzeyi için bir kaynak yerleştirilir ve gruplara izin verilmez. Kullanıcı, kaynağa erişmeye çalıştığında, Windows kullanıcı ve grup üyeliklerini kendi tanımlayan bir Sıd listesine ACL Sıd'lerin listesini karşılaştırır ve verir veya uygun erişim vermez.

Kullanıcı bir etki alanına oturum açtığında, kullanıcı hesabının SID ve grup üyeliği Sıd, bir kullanıcının hesap etki alanındaki etki alanı denetleyicisi tarafından belirlenir. Kullanıcı hesabı, kullanıcının birincil grubu, RID ve diğer tüm grup üyelikleri, Sıd göreli KIMLIK (RID) güvenilen etki alanı SıD'SINI bir yetkilendirme veri yapısına birleştirilmiş ve isteği yapan bilgisayara geçirildi. Kimlik doğrulaması yapan etki alanı denetleyicisini Windows 2000 çalıştırıyorsa, ayrıca, kullanıcı herhangi bir Sıd kendi Sıdhistory özniteliğine sahip ve bu Sıd yetkilendirme verileri içeren belirlemek için denetler.

Farklı bir etki alanından kullanıcı hesabının kullanıcı kimlik doğrulama isteyen bilgisayar ise, bir güven ilişkisi kullanılarak kimlik doğrulaması gerçekleşir. Özellikle çoklu oturum açmayı etkinleştirerek, kullanıcının kimlik doğrulaması deneyimini--kolaylaştırmak için Windows NT tabanlı veya Windows 2000 tabanlı etki alanı arasında güven oluşturuldu. Başka bir etki alanına güvenirse, güvenen etki alanı kullanıcıları (veya bilgisayarlar) hesaplarının yönettiği kimlik doğrulaması güvenilen etki alanı izin verdiğini gösterir. Kimlik doğrulaması sırasında güvenen etki alanındaki bilgisayar, güvenilir bir etki alanı denetleyicisi tarafından sağlanan yetkilendirme verileri kabul eder. Bu nedenle, güven ilişkisi üzerinde varlığını temel alan veriler doğru olarak kabul yetkilendirme bilgilerinin geçerliliği belirlenemiyor, kimlik doğrulama isteyen bilgisayar için bir yolu yoktur.

Güvenen etki alanının Güvenilen etki alanı gerçekte, yetkilendirme verilerinin tüm Sıd'ler için yetkili olduğunu doğrulamadığı için BIR güvenlik açığı bulunmaktadır. Bir kullanıcı veya güvenilen etki alanında olmayan bir güvenlik grubu listesinde Sıd'lerden birinin tanımlar, güvenen etki alanı, bilgileri kabul eder ve sonraki erişim denetimi kararları için kullanır. Bir saldırganın Sıd yetkilendirme verilerinin güvenli etki alanına eklemek için ise izinli kendi ayrıcalıklarını herhangi bir kullanıcı veya gruba, güvenen etki alanı için etki alanı yöneticileri grubunun da dahil olmak üzere, ilgili kişilere yükseltmesine. Bu saldırganın güvenen etki alanındaki bilgisayarlarda tam etki alanı Yöneticisi erişim etkinleştirir.

Bu güvenlik açığından yararlanılan kimlik sorma talebi olacaktır. En azından bir saldırganın güvenilen etki alanı ve alt düzey işletim sistemi işlevleri ve veri yapıları değiştirmek için bir teknik wherewithal yönetici ayrıcalıkları gerekir. Windows 2000, sıd geçmişi bilinen, yetkilendirme verilerinin içine ek Sıd giriş için bir düzenek sağlar. Ancak, bir saldırganın--SıD'INI sıd geçmişi bilgileri tanıtmak için bile yönetimsel hakları olan--izin programlama arabirimi yoktur; bunun yerine, saldırganın, sıd geçmişi bilgilerini içeren veri yapılarının ikili bir düzenleme yapmak gerekir. Bu olası saldırılara kalkması için <a0></a0>, Microsoft Windows NT 4.0 ve Windows 2000 için sıd FILTRELEMESINI olarak adlandırılan bir özellik eklemiştir. SID filtrelemesi etki alanı denetleyicilerinin karantina"güvenilen bir etki alanı için <a0></a0>" belirli bir etki alanında yönetici neden olabilir. Bu etki alanı denetleyicilerinin, güvenilen etki alanından bu etki alanından alınan herhangi bir yetkilendirme verilerinin göreceli olarak tüm Sıd'leri kaldırmak için güvenen etki alanındaki neden olur. Quarantining güvenen etki alanından gerçekleştirilir ve her etki alanı için ayrı ayrı gerçekleştirilir.

Sıd filtresi KULLANıMıNı, Windows 2000 geçişli güven engeller. Karantinaya alınan etki alanı, iki etki alanı arasındaki güven yolunda bulunuyorsa, kullanıcıların diğer tarafında karantinaya alınan etki alanlarından quarantining etki alanındaki kaynaklara erişemiyor. Bu nedenle, karantinaya alınan etki alanı yaprak etki alanlarında olması gerekir, onların alt etki alanları, hiçbir kullanıcı hesaplarını içeren tek bir kaynak etki alanlarını olmalıdır veya karantinaya alınan etki alanı ayrı bir ormanda olması gerekir.

Bir Windows 2000 yönetici SID filtreleme özelliği, bir ormandaki bir "kısıtlı erişim" etki alanı oluşturmak için kullanmamalısınız. Yalnızca etki alanları ayrı ormanlarda karantina için önerilen bir karantina senaryodur. Karantinaya olan etki alanı için olan etki alanındaki güven kurulmalıdır ve sonra güvenen etki alanının Sıd'lerini güvenilen etki alanında süzmek için yapılandırılmalıdır.

Microsoft, orman içi çoğaltma, içeren bir ormanda, varsayılan güven ve kimlik doğrulama davranışını bozar ve büyük bir olasılıkla sorun gidermek zor olabilecek programları ile ilgili sorunların neden olduğundan aynı ormandaki etki alanları arasında bu FILTRELEMESINI kullanmanızı önerir. Bu makale listesini içeren ortamlarda FILTRELEMESINI düzgün çalışmamasına bilinen programlar ve işlevselliği. Kısıtlı erişim etki alanlarının etmez ve bu programlardan veya işlevi gerekiyorsa, yukarıda listelenen önerilerini izleyin. Microsoft, bu sorunlar için geçici çözümler sağlayamaz.

Çözüm

Bu sorunu gidermek için <a0></a0>, Windows 2000 Güvenlik Toplaması Paketi 1 (SRP1) edinin. SRP1 hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
311401Windows 2000 Güvenlik Toplama Paketi 1 (SRP1), Ocak 2002
Bu düzeltmenin İngilizce sürümünde aşağıdaki dosya öznitelikleri veya üstü bulunur:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
Not: Dosya bağımlılıkları nedeniyle, bu düzeltme Windows 2000 Service Pack 2 gerektirir.

Durum

Microsoft, bu sorunun Microsoft Windows 2000'de bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır.

Daha fazla bilgi

Bu güvenlik açığı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesine bakın:
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

SID Filtresi'ni yapılandırma

Netdom.exe yardımcı programı Windows 2000 tabanlı etki alanlarında, güncelleştirilmiş Windows 2000 Service Pack 2 (SP2) sürümünde FILTRELEMESINI yapılandırabilirsiniz. (Başka bir etki alanı quarantining etki) güvenen etki alanındaki her etki alanı denetleyicisinde doğru çalışması için FILTRELEMESINI için SP2 yüklü olmalıdır. SP2 CD-ROM'undaki Destek Araçları klasöründe bulunan Netdom.exe güncelleştirilmiş bir sürümünü veya Microsoft Web sitesinden karşıdan yükleyebilirsiniz. A / filtersids anahtarı bu sıd FILTRELEMESINI yapılandırmak için Netdom.exe sürümüne eklenmiştir.

Windows 2000 tabanlı etki alanı için etki alanı karantina için <a0></a0>, aşağıdaki komutu bir kez etki alanındaki bir etki alanı denetleyicisinde kullanın (örneğin, RESDOM etki alanı ACCDOM etki alanı süzme ise):
netdom güven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Sıd FILTRELEMESINI devre dışı bırakmak için ilgili komut şöyledir:
Netdom güven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Bir etki alanında SID süzme ayarları doğrulamak için aşağıdaki komutu kullanın:
netdom güven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Normal Active Directory çoğaltması, etki alanındaki tüm etki alanı denetleyicilerine dağıtılmasını ayarı neden olur.

Kimlik doğrulama ve değişiklikleri denetleme

Windows 2000'de denetlemeyi yapılandırmak hakkında bilgi için Windows 2000 çevrimiçi Yardım'A bakın.

Bir güven oluşturulduğunda, güvenen etki alanı oluşturur ve güvenilen etki alanı SıD'SINI güven hakkındaki diğer bilgileri içeren bir güvenilen etki alanı nesnesi (TDO) adlı bir veri yapısı depolar. Sıd filtresi KULLANıMıNı güvenilen bir etki alanı için etkinleştirildiğinde, yetkilendirme verilerinin bir etki alanına güvenen etki alanının TDO karantinaya alınan etki alanı için SID ile eşleşmeyen bir SID sunar, etki alanı için kimlik doğrulama başarısız. Yetkilendirme verilerinin yalnızca değiştirilmiş durumunda bu üreticiye güvendiğinizi doğrulamak zorunda oluşabilir. Bu şekilde ve oturum açma kimlik doğrulaması başarılı olmaz veya oturum kapatma denetimi etkin, güvenen etki alanındaki kimlik doğrulama isteği işleyen etki alanı denetleyicisinde olay günlüğüne bir olay oluşturulur.

SP2 ile olay KIMLIĞI 548 NTLM kimlik doğrulaması için yeni bir güvenlik denetim olayı içerir ve yeni bir başarısızlık ekler (0xC000019B) olay KIMLIĞI 677 için Kerberos kimlik doğrulaması sırasında kodu. Bunlar, etki alanı SıD'SI "sahte zaman.", oluşturulan oturum açma veya kapatma hata olayları Aşağıdaki örnek girdileri, bu olaylar gösterilmektedir.

Sırasında NTLM kimlik doğrulaması:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
sırasında Kerberos kimlik doğrulaması:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

SID Süzme sınırlamaları

Olası bazı kullanıcılar, bunlar yetkilendirilir kaynaklara erişmelerini engelleyebilir SID Filtresi ile ilişkili üç olası dezavantajları vardır:
  • Sıd filtresi KULLANıMıNı ve sıd geçmişi birbirini dışlayan düzenekleri ' dir. Sıd FILTRELEMESINI bir etki alanında etkin ise, sıd geçmişi bilgileri karantinaya alınan etki alanlarından gelen yetkilendirme verileri filtre uygular.
  • Sıd filtresi KULLANıMıNı, tek oturum açma yararlarını geçişli güven Windows 2000'de engelleyebilirsiniz. Örneğin, etki alanı A, etki alanı C'ye geçişli güvenler, çünkü BIR güven etki alanı B'YE ve etki alanı B etki güvenler alanı C'ye genellikle, Windows 2000'de, bir kullanıcının etki alanı C'YE A etki alanındaki kaynaklara erişim sağlayabilir, etki alanı varsayalım. SID süzme işlemi etkin etki alanı B etki alanı A sahiptir, ancak, artık etki alanı B etki alanından bir kullanıcı için vouch izin C, çünkü bu etki alanı B etki alanı C'ye Sıd'lerin için yetkili değil.
  • Sıd filtresi KULLANıMıNı, gruplar kullanıcı hesabının etki alanında saklanır, bir kullanıcının evrensel grup üyeliği ile ilişkili Sıd'leri filtre uygular.

Uyumsuz programlar ve Özellikler

Aşağıdaki programları ve Windows 2000 özellikleri sıd FILTRELEMESINI ile uyumlu olduğu bilinmektedir:
  • Kullanıcı hesabının etki alanında olmayan tüm Evrensel grupların evrensel grup üyeliği
  • Evrensel gruplar kullanan Microsoft Exchange 2000 özellikleri
  • Geçirilmiş hesapların sıd geçmişi
  • Geçişli güven düzgün çalışmıyor
  • Active Directory çoğaltması--bu neden özellikle, aynı ormandaki etki alanları arasında sıd FILTRELEMESINI kullanılmamalıdır. Sıd filtresi KULLANıMıNı yalnızca dış güvenlerde süzmek için kullanılır.
Windows 2000 Datacenter Server için bir düzeltme edinme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
265173Datacenter programı ve Windows 2000 Datacenter Server ürünü
Birden çok düzeltmeyi tek bir yeniden başlatmayla yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
296861Birden çok Windows güncelleştirmesi veya düzeltmesi tek bir yeniden başlatmayla nasıl yüklenir

Özellikler

Makale numarası: 289243 - Last Review: 27 Ekim 2006 Cuma - Gözden geçirme: 4.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
Anahtar Kelimeler: 
kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:289243

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com