MS02-001: SID contraffatti potrebbe comportare privilegi elevati in Windows 2000

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 289243
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sintomi
Microsoft Windows NT e Windows 2000 consente di proteggere le risorse di sistema con elenchi di controllo di accesso (ACL). Elenchi ACL sono elenchi di identificatori di protezione (SID) e gli elenchi dei diritti di accesso o autorizzazioni concesse a tale identità di protezione. I SID sono rispetto a un dominio. Il SID di un utente o di un gruppo da un dominio è sempre basato sul SID del dominio e identifica in modo univoco l'utente o il gruppo. ACL vengono inseriti in una risorsa per indicare quali utenti e gruppi sono consentiti accedere alla risorsa e il livello di accesso gli utenti e gruppi non sono consentiti. Quando un utente tenta di accedere alla risorsa, Windows confronta l'elenco dei SID nell'ACL all'elenco di SID che identificano l'utente e la propria appartenenza a gruppo, e concede o nega l'accesso a seconda dei casi.

Quando un utente accede a un dominio, dell'utente SID di account e l'appartenenza al gruppo SID dipendono da un controller di dominio nel dominio di account dell'utente. Il SID del dominio trusted, l'ID relativo (RID) dell'account dell'utente, il RID del gruppo primario dell'utente e i SID di tutte le altre appartenenze sono combinati in una struttura di dati di autorizzazione e vengono trasmesse al computer richiedente. Se il controller di dominio che esegue l'autenticazione è in esecuzione Windows 2000, inoltre, controlla per determinare se l'utente ha qualsiasi SID nel proprio attributo SIDHistory e include i SID nei dati di autorizzazione.

Se il computer che richiede l'autenticazione utente è di un dominio diverso dall'account dell'utente, l'autenticazione si verifica utilizzando una relazione di trust. Viene creato trust tra domini basati su Windows NT o Windows 2000 per semplificare l'esperienza dell'utente autenticazione--particolarmente attivando single Sign-on. Quando si considera attendibile un dominio in un altro, significa che il dominio trusting consente il dominio trusted autenticare gli utenti (o computer) con account che consente di gestire. Durante l'autenticazione, il computer nel dominio trusting accetta dati di autorizzazione fornito dal controller di dominio trusted. Non esiste un modo per il computer che richiede l'autenticazione per determinare la validità delle informazioni di autorizzazione, in modo che accetti i dati come accurate in base all'esistenza della relazione di trust.

Esiste una vulnerabilità dal fatto che il dominio trusting non verifica se il dominio trusted ha effettivamente titolo per tutti i SID nei dati di autorizzazione. Se uno dei SID nell'elenco identifica un utente o gruppo protezione non appartenente al dominio trusted, il dominio trusting accetta le informazioni e viene utilizzato per le decisioni controllo di accesso successivo. Se un utente malintenzionato dovesse inserire SID nei dati di autorizzazione nel dominio trusted, l'utente potrebbe elevare i privilegi proprio a quelli associati a qualsiasi utente o gruppo, inclusi il gruppo Domain Administrators per il dominio trusting. Ciò consentirebbe all'utente malintenzionato di ottenere accesso di amministratore di dominio completo ai computer nel dominio trusting.

Per sfruttare questa vulnerabilità potrebbe essere una sfida. Come minimo, un utente malintenzionato privilegi amministrativi nel dominio trusted e le tecniche wherewithal per modificare le funzioni di basso livello sistema operativo e le strutture di dati. Windows 2000 fornisce un meccanismo per introdurre SID aggiuntivi nei dati di autorizzazione, noti come SIDHistory. Tuttavia, non in modo univoco Nessuna interfaccia di programmazione malintenzionato--anche con diritti amministrativi--per introdurre le informazioni di cronologia SID di un SID; invece un utente malintenzionato eseguire una modifica delle strutture di dati che contengono le informazioni di cronologia SID binaria. Per contrastare questi attacchi potenziali, Microsoft ha aggiunto una funzionalità denominata filtraggio dei SID ai Windows NT 4.0 e Windows 2000. Con il filtraggio dei SID, un amministratore può determinare la i controller di dominio in un determinato dominio a un dominio trusted "quarantena". Questo causerebbe il controller di dominio nel dominio trusting per rimuovere tutti i SID che non sono rispetto al dominio trusted dai dati di autorizzazione ricevuto da tale dominio. Messa in quarantena, viene eseguita dal dominio trusting e viene eseguita in base al dominio.

Filtraggio dei SID blocca di trust transitive di Windows 2000. Se un dominio in quarantena si trova nel percorso di trust tra due domini, gli utenti di domini su altro lato del dominio in quarantena non possono accedere alle risorse del dominio quarantining. Per questo motivo, domini messi in quarantena devono essere foglia domini, i domini figlio devono essere solo domini di risorse che non contengono nessun account utente o il dominio di messi in quarantena deve essere in un insieme di strutture separato.

Un amministratore di Windows 2000 non è in deve essere di utilizzare la funzionalità di filtro SID per creare un dominio di "accesso limitato" all'interno di un insieme di strutture. Lo scenario di quarantena consigliato è per la quarantena solo i domini in foreste distinte. È consigliabile creare una relazione di trust dal dominio che deve essere protetto al dominio che deve essere messi in quarantena, e quindi il dominio trusting dovrà essere configurato per filtrare i SID del dominio trusted.

Microsoft consiglia di che non utilizzare questo filtro SID tra i domini nello stesso insieme di strutture perché interrompe il comportamento di trust e l'autenticazione di predefinito di un insieme di strutture, con la replica all'interno dello stesso insieme di strutture ed è potrebbe causare problemi con programmi che potrebbero essere difficili la risoluzione. In questo articolo contiene un elenco programmi e funzionalità che possono non funzionare correttamente in ambienti di filtraggio dei SID. Non utilizzare i domini con restrizioni di accesso e seguire i consigli forniti elencati sopra se sono necessari questi programmi o funzionalità. Microsoft non può fornire soluzioni alternative in caso di questi problemi.
Risoluzione
Per risolvere questo problema, è necessario procurarsi Windows 2000 Security Rollup Package 1 (SRP1). Per ulteriori informazioni su SRP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
311401Windows 2000 Security Rollup Package 1 (SRP1), gennaio 2002
La versione inglese di questa correzione deve essere di avere i seguenti attributi di file o versioni successive:
   Date         Time   Version        Size     File name   -----------------------------------------------------------------   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll				
Nota : causa delle dipendenze fra i file, questo aggiornamento rapido (hotfix) richiede Microsoft Windows 2000 Service Pack 2.
Status
Microsoft ha confermato che questo problema è in potrebbe essere di comportare rischi di protezione in Microsoft Windows 2000.
Informazioni
Per ulteriori informazioni su questa vulnerabilità, vedere il seguente sito Web Microsoft:

Configurazione del filtraggio dei SID

È possibile configurare SID filtro con la versione aggiornata di Windows 2000 Service Pack 2 (SP2) dell'utilità Netdom.exe su domini basati su Windows 2000. Per il filtro per il corretto funzionamento del SID, è necessario installare SP2 su ciascun controller di dominio nel dominio trusting (il dominio è messa in quarantena un altro dominio). La versione aggiornata di Netdom.exe è incluso nella cartella Support Tools sul CD di SP2, oppure è possibile scaricarlo dal sito Web. A / filtersids switch è stato aggiunto questa versione di Netdom.exe per configurare il filtraggio dei SID.

Per i domini basati su Windows 2000, per mettere in quarantena un dominio, utilizzare il seguente comando una volta su un controller di dominio nel dominio (in questo esempio, il dominio RESDOM è filtro il dominio ACCDOM):
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Il comando correlato per disattivare il filtraggio dei SID è:
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Per verificare le impostazioni di filtro SID in un dominio, utilizzare questo comando:
netdom trust RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Tipica replica di Active Directory comporta l'impostazione per essere propagata in tutti i controller di dominio nel dominio.

L'autenticazione e controllo delle modifiche

Per informazioni sulla configurazione di controllo in Windows 2000, consultare la Guida in linea in Windows 2000.

Quando viene stabilita una relazione di trust, il dominio trusting crea e memorizza una struttura di dati denominata di un oggetto di dominio trusted (TDO) che contiene il SID del dominio trusted e altre informazioni per la relazione di trust. Quando il filtraggio dei SID è attivato per un dominio trusted, autenticazioni al dominio non riescano se i dati di autorizzazione presenta un SID che non corrisponde al SID nell'oggetto dominio trusted del dominio trusting per il dominio in quarantena di dominio. Questa circostanza può verificarsi solo in se dei dati di autorizzazione sono stati alterati. Se l'autenticazione non riesce in questo modo e l'accesso o disconnessione controllo è attivato, viene generato un evento nel registro eventi sul controller di dominio che sta elaborando la richiesta di autenticazione nel dominio trusting.

SP2 include un nuovo evento di controllo protezione con 548 ID di evento per l'autenticazione NTLM e aggiunge un nuovo errore (0xC000019B) del codice all'evento 677 ID durante l'autenticazione Kerberos. Si tratta di eventi di errore accesso o disconnessione che vengono generati quando il SID del dominio è "spoofing". Le voci di esempio riportate di seguito vengono illustrati questi eventi.

Durante il NTLM autenticazione:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff   Event ID:       548   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Logon Failure.     Reason:                 Domain sid inconsistent     User Name:              Name of the user being authenticated     Domain:                 Name of the Quarantined Domain     Logon Type:             3     Logon Process:          NtLmSsp     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0     Workstation Name:       Name of the client computer				
durante l'autenticazione Kerberos:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Account Logon   Event ID:       677   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Service Ticket Request Failed:     User Name:              Name of the user being authenticated     User Domain:            Name of the user's Domain     Service Name:           Full qualified name of the Quarantined Domain     Ticket Options:         0x0     Failure Code:           0xC000019B     Client Address:         127.0.0.1   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff    Event ID:       537   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the client computer   Description:     Logon Failure:     Reason:                 An unexpected error occurred during logon     User Name:              Name of the user being authenticated     Domain:                 Name of the user's Domain     Logon Type:             2     Logon Process:          User32       Authentication Package: Negotiate     Workstation Name:       Name of the client computer 				

Limitazioni di filtraggio dei SID

Esistono tre possibili svantaggi associati al filtraggio dei SID che potrebbero potenzialmente impedire alcuni utenti di accedere alle risorse per cui che sono autorizzati:
  • Filtraggio dei SID e SIDHistory sono meccanismi si escludono a vicenda. Se il filtraggio dei SID è attivo in un dominio, filtra le informazioni di cronologia SID nei dati di autorizzazione in ingresso da domini messi in quarantena.
  • Filtraggio dei SID è possibile bloccare i vantaggi accesso singoli di trust transitive in Windows 2000. Si supponga ad esempio dominio che un trust dominio B e il dominio B trust dominio c. solitamente, in Windows 2000, un utente di dominio C può accedere alle risorse nel dominio A perché stabilisce relazione di trust dominio in modo transitivo con il dominio c. Tuttavia, se dominio A dispone di filtraggio dei SID in vigore per il dominio B, non è più consentirebbe dominio B, per garantire un utente di dominio C, perché il dominio B non è autorevole per i SID di dominio c.
  • Filtraggio dei SID Filtra i SID sono associati di appartenenza dell'utente in gruppi universali, se i gruppi non vengono mantenuti nel dominio di account dell'utente.

Incompatibilità programmi e funzionalità

Il seguenti programmi e la funzionalità di Windows 2000 sono noti come incompatibile con il filtraggio dei SID:
  • Appartenenza al gruppo universale per tutti i gruppi universali non presenti nel dominio di account dell'utente
  • Funzionalità di Microsoft Exchange 2000 che utilizzano i gruppi universali
  • Cronologia SID per gli account migrati
  • Trust transitivo non funziona correttamente
  • Replica di Active Directory--per questo motivo in particolare, il filtraggio dei SID non deve essere utilizzato tra domini dello stesso insieme di strutture. Filtraggio dei SID deve essere utilizzata solo per filtrare i trust esterni.
Per ulteriori informazioni su come ottenere un hotfix per Windows 2000 Datacenter Server, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
265173Il Programma Datacenter e Windows 2000 Datacenter Server il prodotto
Per ulteriori informazioni su come installare più aggiornamenti rapidi con un solo riavvio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
296861Come installare più aggiornamenti di Windows o aggiornamenti rapidi (hotfix) con un solo riavvio
Patch_Protezione kbWin2000srp1

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 289243 - Ultima revisione: 12/06/2015 00:35:24 - Revisione: 4.1

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2

  • kbnosurvey kbarchive kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtit
Feedback