Oturum a�

Select the product you need help with

MS02-001: Sahte SID Windows 2000'de, y�kseltilmi� ayr�cal�klarla neden olabilir

Makale numaras�: 289243 - Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Hepsini a� | Hepsini kapa

Microsoft Windows NT ve Windows 2000 sistem kaynaklar�na eri�im denetim listelerini (ACL) ile koruyun. ACL �unlard�r: g�venlik tan�mlay�c�lar�n� (S�d) bir listesini ve eri�im haklar� ya da bu g�venlik sorumlusu i�in verilen izinleri listeler. S�d, bir etki alan�na g�re olur. Bir kullan�c� veya Grup bir etki alan� S�D'SI etki alan� S�D'SINI �zerinde her zaman temel al�r ve kullan�c� veya grubu benzersiz olarak tan�mlayan. ACL kullan�c�lar�n kayna�a eri�mek i�in hangi kullan�c�lar�n ve gruplar�n izin ve hangi eri�im d�zeyi i�in bir kaynak yerle�tirilir ve gruplara izin verilmez. Kullan�c�, kayna�a eri�meye �al��t��nda, Windows kullan�c� ve grup �yeliklerini kendi tan�mlayan bir S�d listesine ACL S�d'lerin listesini kar��la�t�r�r ve verir veya uygun eri�im vermez.

Kullan�c� bir etki alan�na oturum a�t��nda, kullan�c� hesab�n�n SID ve grup �yeli�i S�d, bir kullan�c�n�n hesap etki alan�ndaki etki alan� denetleyicisi taraf�ndan belirlenir. Kullan�c� hesab�, kullan�c�n�n birincil grubu, RID ve di�er t�m grup �yelikleri, S�d g�reli KIMLIK (RID) g�venilen etki alan� S�D'SINI bir yetkilendirme veri yap�s�na birle�tirilmi� ve iste�i yapan bilgisayara ge�irildi. Kimlik do�rulamas� yapan etki alan� denetleyicisini Windows 2000 �al��t�r�yorsa, ayr�ca, kullan�c� herhangi bir S�d kendi S�dhistory �zniteli�ine sahip ve bu S�d yetkilendirme verileri i�eren belirlemek i�in denetler.

Farkl� bir etki alan�ndan kullan�c� hesab�n�n kullan�c� kimlik do�rulama isteyen bilgisayar ise, bir g�ven ili�kisi kullan�larak kimlik do�rulamas� ger�ekle�ir. �zellikle �oklu oturum a�may� etkinle�tirerek, kullan�c�n�n kimlik do�rulamas� deneyimini--kolayla�t�rmak i�in Windows NT tabanl� veya Windows 2000 tabanl� etki alan� aras�nda g�ven olu�turuldu. Ba�ka bir etki alan�na g�venirse, g�venen etki alan� kullan�c�lar� (veya bilgisayarlar) hesaplar�n�n y�netti�i kimlik do�rulamas� g�venilen etki alan� izin verdi�ini g�sterir. Kimlik do�rulamas� s�ras�nda g�venen etki alan�ndaki bilgisayar, g�venilir bir etki alan� denetleyicisi taraf�ndan sa�lanan yetkilendirme verileri kabul eder. Bu nedenle, g�ven ili�kisi �zerinde varl��n� temel alan veriler do�ru olarak kabul yetkilendirme bilgilerinin ge�erlili�i belirlenemiyor, kimlik do�rulama isteyen bilgisayar i�in bir yolu yoktur.

G�venen etki alan�n�n G�venilen etki alan� ger�ekte, yetkilendirme verilerinin t�m S�d'ler i�in yetkili oldu�unu do�rulamad�� i�in BIR g�venlik a�� bulunmaktad�r. Bir kullan�c� veya g�venilen etki alan�nda olmayan bir g�venlik grubu listesinde S�d'lerden birinin tan�mlar, g�venen etki alan�, bilgileri kabul eder ve sonraki eri�im denetimi kararlar� i�in kullan�r. Bir sald�rgan�n S�d yetkilendirme verilerinin g�venli etki alan�na eklemek i�in ise izinli kendi ayr�cal�klar�n� herhangi bir kullan�c� veya gruba, g�venen etki alan� i�in etki alan� y�neticileri grubunun da dahil olmak �zere, ilgili ki�ilere y�kseltmesine. Bu sald�rgan�n g�venen etki alan�ndaki bilgisayarlarda tam etki alan� Y�neticisi eri�im etkinle�tirir.

Bu g�venlik a��ndan yararlan�lan kimlik sorma talebi olacakt�r. En az�ndan bir sald�rgan�n g�venilen etki alan� ve alt d�zey i�letim sistemi i�levleri ve veri yap�lar� de�i�tirmek i�in bir teknik wherewithal y�netici ayr�cal�klar� gerekir. Windows 2000, s�d ge�mi�i bilinen, yetkilendirme verilerinin i�ine ek S�d giri� i�in bir d�zenek sa�lar. Ancak, bir sald�rgan�n--S�D'INI s�d ge�mi�i bilgileri tan�tmak i�in bile y�netimsel haklar� olan--izin programlama arabirimi yoktur; bunun yerine, sald�rgan�n, s�d ge�mi�i bilgilerini i�eren veri yap�lar�n�n ikili bir d�zenleme yapmak gerekir. Bu olas� sald�r�lara kalkmas� i�in <a0></a0>, Microsoft Windows NT 4.0 ve Windows 2000 i�in s�d FILTRELEMESINI olarak adland�r�lan bir �zellik eklemi�tir. SID filtrelemesi etki alan� denetleyicilerinin karantina"g�venilen bir etki alan� i�in <a0></a0>" belirli bir etki alan�nda y�netici neden olabilir. Bu etki alan� denetleyicilerinin, g�venilen etki alan�ndan bu etki alan�ndan al�nan herhangi bir yetkilendirme verilerinin g�receli olarak t�m S�d'leri kald�rmak i�in g�venen etki alan�ndaki neden olur. Quarantining g�venen etki alan�ndan ger�ekle�tirilir ve her etki alan� i�in ayr� ayr� ger�ekle�tirilir.

S�d filtresi KULLAN�M�N�, Windows 2000 ge�i�li g�ven engeller. Karantinaya al�nan etki alan�, iki etki alan� aras�ndaki g�ven yolunda bulunuyorsa, kullan�c�lar�n di�er taraf�nda karantinaya al�nan etki alanlar�ndan quarantining etki alan�ndaki kaynaklara eri�emiyor. Bu nedenle, karantinaya al�nan etki alan� yaprak etki alanlar�nda olmas� gerekir, onlar�n alt etki alanlar�, hi�bir kullan�c� hesaplar�n� i�eren tek bir kaynak etki alanlar�n� olmal�d�r veya karantinaya al�nan etki alan� ayr� bir ormanda olmas� gerekir.

Bir Windows 2000 y�netici SID filtreleme �zelli�i, bir ormandaki bir "k�s�tl� eri�im" etki alan� olu�turmak i�in kullanmamal�s�n�z. Yaln�zca etki alanlar� ayr� ormanlarda karantina i�in �nerilen bir karantina senaryodur. Karantinaya olan etki alan� i�in olan etki alan�ndaki g�ven kurulmal�d�r ve sonra g�venen etki alan�n�n S�d'lerini g�venilen etki alan�nda s�zmek i�in yap�land�r�lmal�d�r.

Microsoft, orman i�i �o�altma, i�eren bir ormanda, varsay�lan g�ven ve kimlik do�rulama davran��n� bozar ve b�y�k bir olas�l�kla sorun gidermek zor olabilecek programlar� ile ilgili sorunlar�n neden oldu�undan ayn� ormandaki etki alanlar� aras�nda bu FILTRELEMESINI kullanman�z� �nerir. Bu makale listesini i�eren ortamlarda FILTRELEMESINI d�zg�n �al��mamas�na bilinen programlar ve i�levselli�i. K�s�tl� eri�im etki alanlar�n�n etmez ve bu programlardan veya i�levi gerekiyorsa, yukar�da listelenen �nerilerini izleyin. Microsoft, bu sorunlar i�in ge�ici ��z�mler sa�layamaz.

�ste | Geri Bildirim Ver

��z�m

Bu sorunu gidermek i�in <a0></a0>, Windows 2000 G�venlik Toplamas� Paketi 1 (SRP1) edinin. SRP1 hakk�nda ek bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

311401

(http://support.microsoft.com/kb/311401/EN-US/ )

Windows 2000 G�venlik Toplama Paketi 1 (SRP1), Ocak 2002

Bu d�zeltmenin �ngilizce s�r�m�nde a�a��daki dosya �znitelikleri veya �st� bulunur:

   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll

Not: Dosya ba��ml�l�klar� nedeniyle, bu d�zeltme Windows 2000 Service Pack 2 gerektirir.

�ste | Geri Bildirim Ver

Durum

Microsoft, bu sorunun Microsoft Windows 2000'de bir �l��de g�venlik a��na neden olabilece�ini onaylam��t�r.

�ste | Geri Bildirim Ver

Daha fazla bilgi

Bu g�venlik a�� hakk�nda daha fazla bilgi i�in a�a��daki Microsoft Web sitesine bak�n:

http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

(http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx)

SID Filtresi'ni yap�land�rma

Netdom.exe yard�mc� program� Windows 2000 tabanl� etki alanlar�nda, g�ncelle�tirilmi� Windows 2000 Service Pack 2 (SP2) s�r�m�nde FILTRELEMESINI yap�land�rabilirsiniz. (Ba�ka bir etki alan� quarantining etki) g�venen etki alan�ndaki her etki alan� denetleyicisinde do�ru �al��mas� i�in FILTRELEMESINI i�in SP2 y�kl� olmal�d�r. SP2 CD-ROM'undaki Destek Ara�lar� klas�r�nde bulunan Netdom.exe g�ncelle�tirilmi� bir s�r�m�n� veya Microsoft Web sitesinden kar��dan y�kleyebilirsiniz. A / filtersids anahtar� bu s�d FILTRELEMESINI yap�land�rmak i�in Netdom.exe s�r�m�ne eklenmi�tir.

Windows 2000 tabanl� etki alan� i�in etki alan� karantina i�in <a0></a0>, a�a��daki komutu bir kez etki alan�ndaki bir etki alan� denetleyicisinde kullan�n (�rne�in, RESDOM etki alan� ACCDOM etki alan� s�zme ise):

netdom g�ven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes

S�d FILTRELEMESINI devre d�� b�rakmak i�in ilgili komut ��yledir:

Netdom g�ven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no

Bir etki alan�nda SID s�zme ayarlar� do�rulamak i�in a�a��daki komutu kullan�n:

netdom g�ven RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids

Normal Active Directory �o�altmas�, etki alan�ndaki t�m etki alan� denetleyicilerine da��t�lmas�n� ayar� neden olur.

Kimlik do�rulama ve de�i�iklikleri denetleme

Windows 2000'de denetlemeyi yap�land�rmak hakk�nda bilgi i�in Windows 2000 �evrimi�i Yard�m'A bak�n.

Bir g�ven olu�turuldu�unda, g�venen etki alan� olu�turur ve g�venilen etki alan� S�D'SINI g�ven hakk�ndaki di�er bilgileri i�eren bir g�venilen etki alan� nesnesi (TDO) adl� bir veri yap�s� depolar. S�d filtresi KULLAN�M�N� g�venilen bir etki alan� i�in etkinle�tirildi�inde, yetkilendirme verilerinin bir etki alan�na g�venen etki alan�n�n TDO karantinaya al�nan etki alan� i�in SID ile e�le�meyen bir SID sunar, etki alan� i�in kimlik do�rulama ba�ar�s�z. Yetkilendirme verilerinin yaln�zca de�i�tirilmi� durumunda bu �reticiye g�vendi�inizi do�rulamak zorunda olu�abilir. Bu �ekilde ve oturum a�ma kimlik do�rulamas� ba�ar�l� olmaz veya oturum kapatma denetimi etkin, g�venen etki alan�ndaki kimlik do�rulama iste�i i�leyen etki alan� denetleyicisinde olay g�nl��ne bir olay olu�turulur.

SP2 ile olay KIMLI�I 548 NTLM kimlik do�rulamas� i�in yeni bir g�venlik denetim olay� i�erir ve yeni bir ba�ar�s�zl�k ekler (0xC000019B) olay KIMLI�I 677 i�in Kerberos kimlik do�rulamas� s�ras�nda kodu. Bunlar, etki alan� S�D'SI "sahte zaman.", olu�turulan oturum a�ma veya kapatma hata olaylar� A�a��daki �rnek girdileri, bu olaylar g�sterilmektedir.

S�ras�nda NTLM kimlik do�rulamas�:

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer

s�ras�nda Kerberos kimlik do�rulamas�:

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer

SID S�zme s�n�rlamalar�

Olas� baz� kullan�c�lar, bunlar yetkilendirilir kaynaklara eri�melerini engelleyebilir SID Filtresi ile ili�kili �� olas� dezavantajlar� vard�r:

S�d filtresi KULLAN�M�N� ve s�d ge�mi�i birbirini d��layan d�zenekleri ' dir. S�d FILTRELEMESINI bir etki alan�nda etkin ise, s�d ge�mi�i bilgileri karantinaya al�nan etki alanlar�ndan gelen yetkilendirme verileri filtre uygular.
S�d filtresi KULLAN�M�N�, tek oturum a�ma yararlar�n� ge�i�li g�ven Windows 2000'de engelleyebilirsiniz. �rne�in, etki alan� A, etki alan� C'ye ge�i�li g�venler, ��nk� BIR g�ven etki alan� B'YE ve etki alan� B etki g�venler alan� C'ye genellikle, Windows 2000'de, bir kullan�c�n�n etki alan� C'YE A etki alan�ndaki kaynaklara eri�im sa�layabilir, etki alan� varsayal�m. SID s�zme i�lemi etkin etki alan� B etki alan� A sahiptir, ancak, art�k etki alan� B etki alan�ndan bir kullan�c� i�in vouch izin C, ��nk� bu etki alan� B etki alan� C'ye S�d'lerin i�in yetkili de�il.
S�d filtresi KULLAN�M�N�, gruplar kullan�c� hesab�n�n etki alan�nda saklan�r, bir kullan�c�n�n evrensel grup �yeli�i ile ili�kili S�d'leri filtre uygular.

Uyumsuz programlar ve �zellikler

A�a��daki programlar� ve Windows 2000 �zellikleri s�d FILTRELEMESINI ile uyumlu oldu�u bilinmektedir:

Kullan�c� hesab�n�n etki alan�nda olmayan t�m Evrensel gruplar�n evrensel grup �yeli�i
Evrensel gruplar kullanan Microsoft Exchange 2000 �zellikleri
Ge�irilmi� hesaplar�n s�d ge�mi�i
Ge�i�li g�ven d�zg�n �al��m�yor
Active Directory �o�altmas�--bu neden �zellikle, ayn� ormandaki etki alanlar� aras�nda s�d FILTRELEMESINI kullan�lmamal�d�r. S�d filtresi KULLAN�M�N� yaln�zca d�� g�venlerde s�zmek i�in kullan�l�r.

Windows 2000 Datacenter Server i�in bir d�zeltme edinme hakk�nda ek bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

265173

(http://support.microsoft.com/kb/265173/ )

Datacenter program� ve Windows 2000 Datacenter Server �r�n�

Birden �ok d�zeltmeyi tek bir yeniden ba�latmayla y�kleme hakk�nda ek bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

296861

(http://support.microsoft.com/kb/296861/ )

Birden �ok Windows g�ncelle�tirmesi veya d�zeltmesi tek bir yeniden ba�latmayla nas�l y�klenir

�ste | Geri Bildirim Ver

�zellikler

Makale numaras�: 289243 - Son G�zden Ge�irme: 27 Ekim 2006 Cuma - G�zden ge�irme: 4.1

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server SP2

kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMttr

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:289243

(http://support.microsoft.com/kb/289243/en-us/ )

�ste | Geri Bildirim Ver