رقم MS02-001: SID مزيف يؤدي بالامتيازات في نظام التشغيل Windows 2000

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية289243
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الأعراض
حماية Microsoft Windows NT و Windows 2000 موارد النظام مع قوائم التحكم بالوصول (ACLs). ACLs هي قوائم معرفات الأمان (SID) وقوائم حقوق الوصول أو الأذونات التي يتم منحها إلى أساس الأمان هذا. يتم SIDs نسبة إلى مجال. SID المتعلق المستخدم أو المجموعة من مجال دوماً يستند إلى SID المجال كما يعرّف بشكل فريد مستخدم أو مجموعة. يتم وضع ACLs على مورد للإشارة إلى المستخدمين والمجموعات المسموح بها للوصول إلى المورد وإلى ما هو مستوى الوصول المستخدمين ويسمح لها مجموعات. عندما يحاول مستخدم الوصول إلى الموارد, Windows يقارن قائمة SIDs في ACL إلى قائمة SIDs تعرّف المستخدم عضوية المجموعة الخاصة به, يمنح أو يرفض الوصول بالشكل المناسب.

عند قيام أحد المستخدمين بتسجيل الدخول إلى مجال, يتم تحديد حساب SID الخاص بالمستخدم و عضوية المجموعة SIDs بواسطة وحدة تحكم بالمجال في مجال حساب المستخدم. على بنية بيانات تخويل SID المجال الموثوق به النسبي معرّف (RID) الحساب المستخدم RID المجموعة الأساسية للمستخدم ثم SIDs عضويات مجموعة أخرى ويتم تمرير إلى الكمبيوتر الطالب. إذا كانت وحدة التحكم بالمجال بتشغيل Windows 2000، فحصه أيضاً تحديد ما إذا كان المستخدم لها أي SIDs في سمة SIDHistory الخاصة به وتتضمن هذه SIDs في بيانات التخويل.

إذا كان الكمبيوتر الذي يطلب المصادقة المستخدم في مجال مختلف عن حساب المستخدم "، تتم المصادقة باستخدام ثقة. يتم إنشاء علاقة الثقة بين المجالات المستندة إلى Windows NT أو يستند إلى نظام التشغيل Windows 2000 لتسهيل خبرة مصادقة المستخدم--بشكل خاص عن طريق تمكين Single Sign-On. عندما لا يثق المجال واحد آخر ، فهذا يعني أن المجال المانح للثقة يسمح المجال الموثوق به لمصادقة المستخدمين (أو أجهزة الكمبيوتر) حساباتهم يقوم بإدارتها. أثناء المصادقة, يقبل الكمبيوتر في المجال المانح للثقة بيانات التخويل التي يتم توفيرها من قبل وحدة تحكم المجال الموثوق به. توجد طريقة للكمبيوتر الذي يطلب المصادقة على تحديد صحة معلومات التخويل لذا يقبلها البيانات كـ دقيقة استناداً إلى وجود علاقة الثقة.

توجد ثغرة أمنية لأن المجال المانح للثقة لا من المجال الموثوق به بالفعل مخوّل من أجل كافة SIDs بيانات التخويل. إذا كانت أحد "معرفات الأمان" في القائمة بتعريف المستخدم أو مجموعة أمان غير موجود في مجال موثوق تقبل المعلومات المجال المانح للثقة بينما يستخدم القرارات التحكم الوصول اللاحقة. إذا استطاع مهاجم لإدراج SIDs في بيانات التخويل في مجال موثوق, قد يقوم برفع الامتيازات الخاصة به إلى تلك التي تقترن أي مستخدم أو مجموعة بما في ذلك في مجموعة "مسؤولي المجال" المجال المانح للثقة. هذا تمكين المهاجم للحصول على حق الوصول الكامل "مسؤول المجال" على أجهزة الكمبيوتر في المجال المانح للثقة.

يمكن استغلال مشكلة عدم الحصانة هذه ارتياب. كحد أدنى، سيحتاج مهاجم امتيازات إدارية في المجال الموثوق به و wherewithal الفنية لتعديل وظائف نظام التشغيل ذات المستوى المنخفض أو بنية البيانات. يوفر Windows 2000 آلية لإدخال SIDs إضافية في بيانات التخويل يعرف SIDHistory. ومع ذلك، هناك لم واجهة برمجة قد تسمح لأحد المهاجمين--حتى مع حقوق إدارية--لتقديم SID إلى معلومات SIDHistory; بدلاً من ذلك، سيحتاج مهاجم لإجراء تحرير ثنائية من بنيات البيانات لاستيعاب معلومات SIDHistory. إلى العداد هذه الهجمات المحتملة ، قام Microsoft بإضافة ميزة تسمى SID التصفية إلى Windows NT 4.0 و Windows 2000. مع SID التصفية ، مسؤول يتسبب وحدات التحكم بالمجال في مجال محدد "quarantine" مجال موثوق. قد يتسبب هذا في وحدات التحكم بالمجال في المجال المانح للثقة إلى إزالة كافة SIDs غير نسبة إلى المجال الموثوق من أية بيانات التخويل التي يتم تلقيها من ذلك المجال. quarantining تنفيذ من المجال المانح للثقة ثم تتم على أساس لكل مجال.

SID تصفية ثقة متعدية كتل Windows 2000. حالة وجود مجال المعزولة في المسار الثقة بين المجالات جهازي لا يمكن للمستخدمين من المجالات على الجانب الآخر من المجال المعزولة الوصول إلى الموارد في مجال quarantining. لهذا السبب، يجب أن تكون المجالات المعزولة المجالات طرفية أو يجب أن تكون المجالات التابعة الخاصة بهم فقط مجالات الموارد التي تحتوي على لم حسابات المستخدم أو يجب أن يكون المجال المعزولة في مجموعة تفرعات منفصلة.

مسؤول نظام التشغيل Windows 2000 يجب عدم استخدام ميزة التصفية SID لإنشاء مجال "تقييد الوصول" ضمن مجموعة تفرعات. سيناريو العزل الموصى بها هي quarantine المجالات في مجموعة تفرعات منفصلة فقط. يجب أن يتم تأسيس علاقة ثقة من المجال الذي سيتم تكون محمية إلى المجال الذي تريد أن المعزولة و عندها يجب تكوين المجال المانح للثقة لتصفية SIDs من المجال الموثوق به.

توصي Microsoft لا تستخدم SID هذا التصفية بين المجالات في نفس المجال الأم لأنه يعطل الثقة والمصادقة السلوك الافتراضي مجموعة تفرعات بما في ذلك النسخ المتماثل الغابة intra وتم كان من المحتمل أن يؤدي إلى مشاكل مع البرامج التي قد يكون من الصعب على استكشاف أخطاء وإصلاحها. تحتوي هذه المقالة على قائمة البرامج والوظائف التي تتوقف قصور في الجهاز في تصفية بيئات SID. لا تستخدم مجالات مقيد الوصول ثم اتبع توصيات المسردة أعلاه إذا كنت في حاجة إلى هذه البرامج أو وظيفة. يتعذر على Microsoft توفير طرق المعالجة هذه المشكلات.
الحل
لحل هذه المشكلة، يجب الحصول على Windows 2000 حزمة الأمان التراكمية 1 (SRP1). للحصول على معلومات إضافية حول SRP1، انقر فوق رقم المقالة أدناه لعرضها في "قاعدة المعارف لـ Microsoft:
311401Windows 2000 حزمة الأمان التراكمية 1 (SRP1) ، يناير 2002
يجب أن يكون للنسخة الإنجليزية من هذا الإصلاح سمات الملفات التالية أو أحدث:
   Date         Time   Version        Size     File name   -----------------------------------------------------------------   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll				
ملاحظة: بسبب تبعيات الملف من هذا الإصلاح العاجل يتطلب Microsoft Windows 2000 Service Pack 2.
تصريح
أقرت Microsoft أن هذه المشكلة قد تتسبب درجة ثغرة أمنية في Microsoft Windows 2000.
معلومات أخرى
للحصول على مزيد من المعلومات حول مشكلة عدم الحصانة هذه راجع موقع Microsoft التالي على الويب:

تكوين SID تصفية

يمكنك تكوين SID تصفية مع الإصدار Windows 2000 المزود بحزمة الخدمة Service Pack 2 (SP2) المحدثة من الأداة المساعدة Netdom.exe على مجالات يستند إلى نظام التشغيل Windows 2000. SID تصفية للعمل بشكل صحيح, يجب تثبيت SP2 على كل وحدة تحكم المجال في المجال المانح للثقة (المجال هو quarantining مجال آخر). يتم تضمين الإصدار المحدّث من Netdom.exe في مجلد "أدوات الدعم" على القرص المضغوط SP2 أو يمكنك تحميل من موقع Microsoft على ويب. A / filtersids تمت إضافة رمز التبديل إلى هذا الإصدار من Netdom.exe لتكوين SID التصفية.

للمجالات يستند إلى نظام التشغيل Windows 2000 quarantine مجال, استخدم الأمر التالي مرة واحدة على وحدة تحكم مجال في المجال (في هذا المثال، المجال RESDOM يتم تصفية مجال ACCDOM):
netdom تثق /UD:ACCDOM\Administrator /D:ACCDOM RESDOM /UO:RESDOM\Administrator /PD:adminpwd /PO: adminpwd /filtersids:yes
يكون الأمر ذات الصلة لتعطيل SID التصفية:
الثقة netdom /UD:ACCDOM\Administrator /D:ACCDOM RESDOM /UO:RESDOM\Administrator /PD:adminpwd /filtersids:no /PO:adminpwd
للتحقق من إعدادات التصفية SID على مجال استخدم هذا الأمر:
netdom تثق /UD:ACCDOM\Administrator /D:ACCDOM RESDOM /PD: /UO:RESDOM\Administrator adminpwd /filtersids /PO:adminpwd
يؤدي النسخ المتماثل لـ "Active Directory" النموذجية الإعداد نشر إلى كافة وحدات تحكم المجال في المجال.

تدقيق تغييرات والمصادقة

راجع التعليمات الفورية في Windows 2000 للحصول على معلومات حول كيفية تكوين تدقيق في نظام التشغيل Windows 2000.

عندما يتم تأسيس ثقة المجال المانح للثقة ينشئ وتخزينها بنية بيانات تسمى كائن "المجال الموثوق به" (TDO) الذي يحتوي على معرف أمان المجال الموثوق به ومعلومات أخرى حول الثقة. عند تمكين SID تصفية مجال موثوق عدم نجاح المصادقة إلى ذلك المجال إذا كان يقدم بيانات التخويل مجال SID غير متطابق مع SID الموجود في المجال المانح للثقة TDO للمجال المعزولة. يمكن أن يحدث هذا ظروف فقط إذا تم تعديل بيانات التخويل. في حال تمكين تدوين تسجيل الخروج أو فشل المصادقة في هذه الطريقة وتسجيل الدخول سيتم إنشاء حدث في سجل الأحداث على وحدة تحكم المجال التي تقوم بمعالجة طلب المصادقة في المجال المانح للثقة.

SP2 تتضمن حدث تدقيق أمان جديد مع حدث 548 معرف المصادقة NTLM ويضيف فشل جديد التعليمات البرمجية (0xC000019B) إلى الحدث 677 معرف أثناء مصادقة Kerberos. هذه هي أحداث فشل تسجيل الدخول أو تسجيل الخروج يتم إنشاء عند المجال SID هو "المخادعة." توضح الإدخالات النموذجية التالية هذه الأحداث.

أثناء NTLM المصادقة:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff   Event ID:       548   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Logon Failure.     Reason:                 Domain sid inconsistent     User Name:              Name of the user being authenticated     Domain:                 Name of the Quarantined Domain     Logon Type:             3     Logon Process:          NtLmSsp     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0     Workstation Name:       Name of the client computer				
مصادقة Kerberos أثناء:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Account Logon   Event ID:       677   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Service Ticket Request Failed:     User Name:              Name of the user being authenticated     User Domain:            Name of the user's Domain     Service Name:           Full qualified name of the Quarantined Domain     Ticket Options:         0x0     Failure Code:           0xC000019B     Client Address:         127.0.0.1   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff    Event ID:       537   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the client computer   Description:     Logon Failure:     Reason:                 An unexpected error occurred during logon     User Name:              Name of the user being authenticated     Domain:                 Name of the user's Domain     Logon Type:             2     Logon Process:          User32       Authentication Package: Negotiate     Workstation Name:       Name of the client computer 				

قيود SID تصفية

هناك ثلاثة عيوب المحتملة المقترنة SID التصفية التي قد تمنع قد تكون بعض المستخدمين من الوصول إلى الموارد التي يقومون مخولاً:
  • SID تصفية SIDHistory آليات التبادلية. إذا كان SID التصفية ساري المفعول على مجال, فإنه بتصفية أية معلومات SIDHistory في بيانات التخويل الواردة من مجالات المعزولة.
  • يمكن حظر SID تصفية واحد الدخول فوائد ثقة متعدية في نظام التشغيل Windows 2000. على سبيل المثال، افترض ذلك المجال يثق بالمجال B و المجال B يثق بالمجال "ت عادةً" في Windows 2000، مستخدم من المجال C قد للوصول إلى الموارد الموجودة في المجال لأن المجال A يثق بالمجال ت transitively ومع ذلك، إذا كان المجال SID التصفية سارية المفعول المجال B ، فإنه لم يعد يسمح بالمجال B vouch للمستخدم من المجال C, لأن المجال B غير مخوّل من أجل SIDs في مجال C.
  • SID تصفية بتصفية SIDs المقترنة مع المستخدم العضوية في المجموعات العالمية إذا لم يتم الاحتفاظ المجموعات في مجال حساب المستخدم.

البرامج والميزات غير متوافق

البرامج التالية وميزات Windows 2000 من المعروف أنها تكون غير متوافقة مع SID التصفية:
  • عضوية المجموعة العالمية لكافة المجموعات العالمية غير الموجودة في مجال حساب المستخدم
  • ميزات Microsoft Exchange 2000 التي تعتمد على المجموعات العالمية
  • SIDHistory الحسابات التي تم ترحيلها
  • ثقة متعدية لا يعمل بشكل صحيح
  • بشكل خاص، reason المتماثل الدليل النشط--هذا يجب ألا يتم استخدام SID التصفية بين المجالات في نفس المجال الأم. يجب أن يتم استخدام تصفية SID إلى التصفية على علاقات الثقة الخارجية فقط.
للحصول على معلومات إضافية حول كيفية الحصول على الإصلاح عاجل لنظام التشغيل Windows 2000 Datacenter انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
265173المنتج Datacenter البرامج و Windows 2000 Datacenter Server
للحصول على معلومات إضافية حول كيفية تثبيت إصلاحات عاجلة متعددة من خلال إعادة التشغيل مرة واحدة فقط، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
296861كيفية تثبيت تحديثات Windows أو إصلاحات عاجلة متعددة من خلال إعادة التشغيل مرة واحدة فقط
security_patch kbWin2000srp1

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 289243 - آخر مراجعة: 12/06/2015 00:35:18 - المراجعة: 4.1

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2

  • kbnosurvey kbarchive kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtar
تعليقات