登入

Select the product you need help with

MS02-001：偽造的 SID 可能會導致在 Windows 2000 中較高的權限

文章編號: 289243 - 檢視此文章適用的產品。

檢視機器翻譯免責聲明

按一下這裡顯示機器翻譯的中英文對照

全部展開 | 全部摺疊

Microsoft Windows NT 和 Windows 2000 保護系統資源的存取控制清單 (ACL)。ACL 是清單的安全識別項 (SID) 和存取權限或系統授與該安全性主體的權限的清單。SID 是相對於網域。使用者或群組從一個網域的 SID 永遠根據該網域的 SID，並可唯一識別使用者或群組。ACL 會放在要指示哪些使用者和群組允許存取該資源，以及何種層級的存取資源上使用者，且允許群組。當使用者嘗試存取該資源時，Windows 會比較中識別使用者和他或她群組成員資格的 SID 的清單 ACL 的 SID 的清單並授與或拒絕與適當的存取。

上到網域的在使用者] 登時使用者的帳戶 SID 和群組成員資格 SID 是由所決定使用者的帳戶網域的網域控制站。受信任的網域之相對識別碼 (RID) 的使用者帳戶的使用者的主要群組 RID 和所有其他群組成員資格 SID SID 結合成授權資料結構，並且傳遞給要求的電腦。如果驗證的網域控制站正在執行 Windows 2000，它還會檢查來判斷使用者在他或她 SIDHistory 屬性中有任何的 SID，以及包含那些 SID 的授權資料中。

如果要求使用者驗證的電腦是在不同的網域使用者的帳戶從，驗證就會發生利用信任關係。以簡化使用者的驗證經驗--特別是藉由啟用單一登入 Windows NT 為主或 Windows 2000 網域之間建立信任。當一個網域信任另時，表示信任網域允許驗證之使用者 (或電腦) 它管理其帳戶受信任的網域。驗證，期間信任網域中的電腦會接受授權資料所提供的受信任的網域控制站。沒有正在要求驗證以判斷授權的資訊的有效性，因此它接受當作精確資料根據的信任關係存在的電腦的方法。

因為信任網域不會驗證受信任的網域是實際授權的授權資料中的所有 SID 弱點。如果其中一個清單中 SID 識別使用者或不在信任的網域中的安全性群組，信任網域接受該資訊，並用於後續存取控制的決策。如果攻擊者插入授權資料，在受信任網域的 SID，他或她可以提高他或她權限給那些與任何使用者或包括信任網域的「網域系統管理員」群組的群組相關聯。這會讓攻擊者取得完整的網域系統管理員存取權，在信任網域中的電腦上。

利用此弱點就是一項挑戰。一個至少攻擊者必須受信任的網域和技術 wherewithal 修改低階作業系統函式和資料結構上的系統管理權限。Windows 2000 提供一種機制，以額外的 SID 帶入 SIDHistory 為已知的授權資料。不過，會允許攻擊--甚至擁有系統管理權限--到一個 SID 引入 SIDHistory 資訊沒有程式設計介面；相反，攻擊會需要執行二進位編輯 SIDHistory 資訊保留資料結構。若要應付這些潛在的攻擊，Microsoft 已經加入一個稱為 SID 篩選功能，Windows NT 4.0 和 Windows 2000 的功能。篩選的 SID 與系統管理員會導致指定網域?隔離受信任的網域中的網域控制站。這會造成網域控制站，以移除不是相對於任何接收到來自該網域的授權資料從受信任網域的所有 SID 信任網域中。隔離執行來自信任的網域，並且在每個網域基礎上進行。

SID 篩選封鎖 Windows 2000 的可轉移信任。如果隔離的網域位於兩個網域之間的信任路徑，從另一端的隔離網域的網域的使用者無法存取 quarantining 網域中的資源。基於這個原因隔離的網域應該是分葉網域、其子網域應包含任何的使用者帳戶的唯一資源網域或隔離的網域應該在個別的樹系。

在 Windows 2000 系統管理員不應該使用 SID 篩選功能來建立在樹系中的「受限制存取」網域。建議的隔離案例是隔離只位於不同的樹系的網域。信任您應該建立從是受到保護是要被隔離網域的網域，且然後應該信任的網域設定為篩選來自受信任網域的 SID。

Microsoft 建議您不要使用這個 SID 篩選相同的樹系中的網域之間，因為它中斷一個樹系包括樹系內複寫預設信任和驗證行為，而且很可能會導致問題，可能是難以疑難排解的程式。這份文件包含一個清單程式和功能的已知 SID 篩選的環境中運作失常。不要使用限制的存取權的網域和遵循如果您需要這些程式或功能上面所列的建議。Microsoft 無法提供因應措施，針對這些問題。

回此頁最上方 | 提供意見

解決方案

如果要解決這個問題，取得 Windows 2000 安全性彙總套件 1 (SRP1)。取得更多資訊有關 SRP1 按一下面的文件編號，檢視「 Microsoft 知識庫」中的發行項:

311401

(http://support.microsoft.com/kb/311401/EN-US/ )

Windows 2000 安全性彙總套件 1 (SRP1) 2002 年一月

此修正程式的英文版應該具有下列檔案屬性或更新版本：

   Date         Time   Version        Size     File name
   -----------------------------------------------------------------
   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll
   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll
   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll
   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll
   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll
   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll
   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll
   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll
   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll
   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys
   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit
   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit
   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe
   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll
   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll
   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll
   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll
   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll
   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll
   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll
   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll
   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll
   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe
   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll

注意：由於檔案相依性的此 Hotfix 需要 Microsoft Windows 2000 Service Pack 2。

回此頁最上方 | 提供意見

狀況說明

Microsoft 已確認此問題可能會一定程度的安全性弱點造成在 Microsoft Windows 2000。

回此頁最上方 | 提供意見

其他相關資訊

如需有關這項弱點的詳細資訊，請參閱下列 Microsoft 網站]：

http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx

(http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx)

設定 SID 篩選

您可以設定 SID 篩選更新 Windows 2000 Service Pack 2 (SP2) 版本的 Windows 2000 網域上的「 Netdom.exe 」公用程式。篩選正常運作的 SID 為信任的網域 (隔離另一個網域的網域) 中的所有網域控制站上必須安裝 SP2。更新的版的 Netdom.exe 包含於「 SP2 光碟片上的 [支援工具] 資料夾 (或您可以從 Microsoft 網站下載它。A / filtersids 參數已加入至這個版本的 Netdom.exe 設定 SID 篩選。

針對 Windows 2000 網域來隔離網域，使用下列命令一次在網域中的一個網域控制站上 (在這個範例 RESDOM 網域篩選 ACCDOM 網域):

netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO： adminpwd /filtersids:yes

若要停用 SID 篩選相關的命令為：

netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no

若要確認 SID 篩選設定，在網域上的，使用這個命令：

netdom 信任 RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD： adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids

典型的 Active Directory 複寫會使 [] 設定設為 [傳播到網域中的所有網域控制站。

驗證及稽核的變更

如需有關如何設定 Windows 2000 中的稽核資訊，請參閱在 Windows 2000 線上說明。

建立信任關係時信任的網域建立，並將之儲存資料結構稱為受信任的網域物件 (TDO)，其中包含受信任的網域及信任的相關其他資訊的 SID。SID 篩選啟用為受信任網域時, 到該網域的驗證做不會成功，如果授權資料會呈現網域與隔離網域的信任網域 TDO 中 SID 不相符的 SID。如果改變授權資料，就可能會發生這種情況。如果驗證不成功此方式及登入，或啟用登出稽核會產生一個事件處理驗證要求信任網域中網域控制站上的事件記錄檔中。

SP2 包含新的安全性稽核事件與事件識別碼 548 的 NTLM 驗證，並新增新的失敗事件識別碼 677 代碼 (0xC000019B) Kerberos 驗證期間。這些是登入或登出失敗事件會產生時網域 SID 「詐騙」。下列範例項目示範這些事件。

期間 NTLM 驗證:

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff
   Event ID:       548
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Logon Failure.
     Reason:                 Domain sid inconsistent
     User Name:              Name of the user being authenticated
     Domain:                 Name of the Quarantined Domain
     Logon Type:             3
     Logon Process:          NtLmSsp
     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Workstation Name:       Name of the client computer

期間 Kerberos 驗證:

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Account Logon
   Event ID:       677
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the computer where the event is logged
   Description:
     Service Ticket Request Failed:
     User Name:              Name of the user being authenticated
     User Domain:            Name of the user's Domain
     Service Name:           Full qualified name of the Quarantined Domain
     Ticket Options:         0x0
     Failure Code:           0xC000019B
     Client Address:         127.0.0.1

   Event Type:     Failure Audit
   Event Source:   Security
   Event Category: Logon/Logoff 
   Event ID:       537
   Date:           Event date
   Time:           Event time
   User:           NT AUTHORITY\SYSTEM
   Computer:       Name of the client computer
   Description:
     Logon Failure:
     Reason:                 An unexpected error occurred during logon
     User Name:              Name of the user being authenticated
     Domain:                 Name of the user's Domain
     Logon Type:             2
     Logon Process:          User32  
     Authentication Package: Negotiate
     Workstation Name:       Name of the client computer

篩選的 SID 的限制

有三個 SID 篩選，潛在可以讓某些使用者無法存取他們有權的資源相關聯的潛在缺點：

SID 篩選和 SIDHistory 是互斥的機制。如果 SID 篩選實際上是在網域上，它會篩選連入的授權資料，從隔離網域中的任何 SIDHistory] 資訊。
SID 篩選可以封鎖單一登入的好處在 Windows 2000 中的可轉移信任。比方說假設該網域 A 信任網域 B，且網域 B 信任網域 C.通常，在 Windows 2000 網域 C 使用者可以存取的資源在網域 A 中因為網域 A 轉移信任網域 C。但是，如果網域 A 網域 B 的作用中篩選的 SID 它就不再允許網域 B 以確認從網域使用者 C，因為網域 B 不在網域 C.SID 的授權時間伺服器
篩選的 SID 篩選如果群組不會維護使用者的帳戶網域中使用者的萬用群組中的成員資格與相關聯的 SID。

不相容的程式及功能

下列程式和 Windows 2000 功能已知為 SID 篩選與不相容：

不是在使用者的帳戶網域的所有萬用群組的萬用群組成員資格
萬用群組所依賴的 Microsoft Exchange 2000 功能
已遷移帳戶的 SIDHistory
可轉移信任無法正常運作
使用中的目錄複寫--這在特別原因 SID 篩選不應使用相同的樹系中的網域之間。SID 篩選應該只能用來篩選外部信任。

如需有關如何取得對 Windows 2000 Datacenter Server Hotfix 的詳細資訊，按一下 [下列面的文件編號，檢視「 Microsoft 知識庫」中的發行項]：

265173

(http://support.microsoft.com/kb/265173/ )

資料中心程式和 Windows 2000 Datacenter Server 產品

如需有關如何安裝多個快速補充程式而只重新開機一次的詳細資訊，按一下 [下列面的文件編號，檢視「 Microsoft 知識庫」中的發行項]：

296861

(http://support.microsoft.com/kb/296861/ )

如何安裝多個 Windows 更新或 Hotfix，而只重新開機一次

回此頁最上方 | 提供意見

屬性

文章編號: 289243 - 上次校閱: 2006年10月27日 - 版次: 4.1

這篇文章中的資訊適用於:

Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server SP2

kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtzh

機器翻譯

重要：本文是以 Microsoft 機器翻譯軟體翻譯而成，而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章，讓使用者可以依其使用語言使用知識庫中的所有文章。但是，機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤，就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本：289243

(http://support.microsoft.com/kb/289243/en-us/ )

Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應，不負任何擔保責任。Microsoft及(或)其供應商謹此聲明，不負任何對與此資訊有關之擔保責任，包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

回此頁最上方 | 提供意見