伪造的 SID 可能导致 Windows 2000 中的更高特权 MS02-001:

文章翻译 文章翻译
文章编号: 289243 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

Microsoft Windows NT 和 Windows 2000 保护使用访问控制列表 (acl) 的系统资源。acl 是安全标识符 (sid) 的列表和列表的访问权限或 $ 该安全主体授予的权限。sid 是相对于域。用户或组从一个域的 SID 总是基于域的 SID 中并唯一地标识该用户或组。acl 放在要指示才能访问相应的资源允许哪些用户和组和 $ 何种级别的访问的资源上用户和组被允许。时用户访问该资源 Windows 会将 sid 的 sid 标识用户,他或她组成员身份列表 ACL 中的列表进行比较和授权或拒绝与适当的访问权。

到域在用户登录时用户的 SID 的帐户和组成员身份 sid 确定由用户的帐户域中的域控制器。受信任的域将相对 ID (RID) 的用户帐户的用户的主要组 RID 和所有其他组成员身份的 sid 的 SID 是组合成一个授权数据结构,并传递到请求的计算机。如果身份验证的域控制器运行 Windows 2000,它还会检查以确定用户是否在他或她 SIDHistory 属性中有任何 sid 并授权数据中包括这些 sid。

如果请求用户身份验证的计算机是一个不同的域中用户的帐户,通过信任进行身份验证。若要简化用户的身份验证体验--尤其是通过启用单一登录的基于 Windows NT 或 Windows 2000 域之间创建信任。当一个域信任另一个时,意味着信任域允许受信任的域对该用户 (或计算机) 它管理其帐户进行身份验证。在身份验证,期间在信任域中的计算机接受由受信任的域控制器提供的授权数据。没有为请求以确定该的授权信息的有效性,以便它接受将数据作为准确基于存在信任关系的身份验证的计算机的方法。

存在一个漏洞,因为信任域不会验证受信任的域是实际的权威授权数据中的所有 sid。如果其中一个列表中 sid 标识某个用户或不在受信任域中的安全组,信任的域接受该信息,并使用它的后续访问控制决策。如果攻击者若要插入到受信任域的授权数据的 sid,他或她可能为那些与任何用户或组,包括信任域的域管理员组相关联的提升他或她的权限。这将使攻击者获得完全信任域中的计算机上的域管理员访问权限。

利用此漏洞是一个挑战。一个至少攻击者需要在受信任的域和该技术 wherewithal 修改低级别操作系统函数和数据结构的管理权限。Windows 2000 提供了一种机制,用于为 SIDHistory 已知的授权数据中引入其他的 sid。 但是,没有编程接口,使攻击者--即使有管理权限--将 sid 历史信息中引入一个 SID 的 ; 而是,攻击者需要执行包含 sid 历史信息的数据结构的一个二进制编辑。要应对这些潜在的攻击,Microsoft 已添加一种称为 SID 筛选以 Windows NT 4.0 和 Windows 2000 的功能。与筛选的 SID 管理员会导致到隔离受信任的域的给定域中的域控制器。若要删除所有不是相对于从那个域接收到任何授权数据从受信任域的 sid 信任域中,这会导致域控制器。隔离功能从到信任域中执行,并在每个域的基础上进行。

SID 筛选会阻止 Windows 2000 可传递信任。如果隔离的域位于两个域之间的信任路径,来自隔离域的另一侧的域的用户无法访问 quarantining 域中的资源。由于这个原因隔离的域应是叶域、 其子域应该是唯一的资源域包含用户帐户不或隔离的域应该在单独的目录林中。

Windows 2000 管理员不应使用 SID 筛选功能来创建一个目录林对"受限访问"域。推荐的隔离方案是隔离只能在单独的目录林中的域。应该从要保护到要将已隔离的域的域建立信任关系,然后应将信任的域配置为筛选来自受信任域 sid。

Microsoft 建议您不要使用此 SID 筛选在同一个目录林中的域之间,因为它中断一个林包括林内复制的默认信任和身份验证行为,并且很可能会导致出现问题可能很难解决的程序。本文包含一个列表都已知的 SID 筛选的环境中出现功能故障的程序和功能。使用受限制的访问域,请按照上面所列,如果您需要这些程序或功能建议。Microsoft 不能提供这些问题的解决方法。

解决方案

要解决此问题,获取 Windows 2000 安全累积软件包 1 (SRP1)。 SRP1 有关的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
311401Windows 2000 安全累积软件包 1 (SRP1) 2002 年一月
此修复程序的英文版应具有以下文件属性或更高版本:
   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll
				
: 由于文件相关性的此修复程序需要 Microsoft Windows 2000 Service Pack 2。

状态

Microsoft 已经确认此问题可能导致在 Microsoft Windows 2000 中的一定程度的安全漏洞。

更多信息

有关此漏洞的详细信息,请参阅下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

配置 SID 筛选

您可以配置的 SID 筛选用 Netdom.exe 实用程序在基于 Windows 2000 的域上的更新的 Windows 2000 Service Pack 2 (SP2) 版本。对于筛选要正常工作的 SID 必须信任域 (隔离的另一个域的域) 中的每个域控制器上安装 SP2。SP2 CD-ROM 上的支持工具文件夹中包含的 Netdom.exe 更新的版本,或者可以从 Microsoft 网站下载它。A / filtersids 开关已添加到此版本的 Netdom.exe 配置 SID 筛选。

对于基于 Windows 2000 的域到隔离域,使用下面的命令一次域中的一个域控制器上 (在此的示例 RESDOM 域筛选 ACCDOM 域):
netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
若要禁用 SID 筛选相关的命令为:
netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
若要验证在域的 SID 筛选设置,使用以下命令:
netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
典型的 Active Directory 复制导致传播到所有域控制器在域中设置。

身份验证和审核更改

有关如何配置 Windows 2000 中审核的信息,请参阅 Windows 2000 中的联机帮助。

则在创建信任关系时,信任域创建并存储数据结构称为受信任的域对象 (TDO),其中包含受信任的域和信任关系的其他信息的 SID。当启用了一个受信任的域的 SID 筛选时,到该域的身份验证未成功如果授权数据提供了一个域与隔离域的信任域的 TDO 中 SID 不匹配的 SID。仅当授权数据已被更改时,才,会发生这种情况。如果此方式和登录中不成功的身份验证,或者启用注销审核正在处理在信任域中的身份验证请求的域控制器上的事件日志中生成一个事件。

SP2 包括一个新的安全审核事件与事件 ID 548 NTLM 验证的并添加一个新的故障 Kerberos 身份验证过程中的事件 ID 677 代码 (0xC000019B)。这些是登录或注销域 SID"欺骗"时,将生成的失败事件。下面的示例条目演示了这些事件。

期间 NTLM 身份验证:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer
				
期间 Kerberos 身份验证:
   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer 
				

SID 筛选的限制

有三种可能会获得对为其授权的资源的访问可能阻止某些用户的 SID 筛选与相关联的潜在缺点:
  • SID 筛选和 SIDHistory 是互斥的机制。如果域中有效的 SID 筛选,它筛选传入的授权数据,从隔离域中的所有 sid 历史信息。
  • SID 筛选可以阻止单一登录的好处在 Windows 2000 中的可传递信任。例如对于假设的域 A 信任域 B 和域 B 信任域 c。 通常,在 Windows 2000 域 C 中的用户可能获得访问域 A 中的资源的访问权限,因为域 A 传递信任域 c。但是,如果域 A 中有 SID 筛选有效的域 B 它将不再允许域 B 到域中的用户保证 C,因为域 B 不是权威性的 sid 中域 c。
  • SID 筛选筛选如果组不会保留在用户的帐户域与用户的通用组的成员身份相关联的 sid。

不兼容的程序和功能

下面的程序和 Windows 2000 的功能是已知的 SID 筛选不兼容:
  • 对于不在用户的帐户域中的所有通用组的通用组成员身份
  • Microsoft Exchange 2000 的功能依赖于通用组
  • 已迁移帐户的 sid 历史
  • 可传递信任不能正常工作
  • 活动目录的复制--为此原因的具体的而言不应将 SID 筛选用于在同一个目录林中的域之间。应只对筛选的外部信任使用 SID 筛选。
有关如何获得 Windows 2000 数据中心服务器修补程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265173数据中心计划和 Windows 2000 数据中心服务器产品
有关如何在只重新启动一次的情况下安装多个修补程序的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
296861如何通过只重新启动一次安装多个 Windows 更新或修补程序

属性

文章编号: 289243 - 最后修改: 2006年10月27日 - 修订: 4.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Advanced Server SP2
关键字:?
kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 289243
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com