MS02-001: Giả mạo SID có thể dẫn đến cao đặc quyền trong Windows 2000

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:289243
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Microsoft Windows NT và Windows 2000 bảo vệ hệ thống tài nguyên với truy cập danh sách kiểm soát (ACLs). ACLs là danh sách của an ninh định danh (SIDs) và danh sách các quyền truy cập hoặc cấp phép được cấp để mà hiệu trưởng an ninh. SIDs là tương đối với một tên miền. SID của người sử dụng một hoặc nhóm từ một tên miền luôn luôn dựa trên SID của tên miền, và duy nhất xác định người dùng hoặc nhóm. ACLs được đặt trên một tài nguyên để cho biết mà nhóm và người dùng được phép truy cập vào các nguồn tài nguyên, và mức truy nhập nhóm và người dùng được phép. Khi người dùng cố gắng truy cập vào các nguồn tài nguyên, Windows so sánh danh sách SIDs trong ACL vào danh sách của SIDs mà xác định người sử dụng và ông hoặc bà nhóm thành viên, và trợ cấp hoặc từ chối truy cập như thích hợp.

Khi một người dùng đăng để một tên miền, tài khoản của người sử dụng SID và nhóm thành viên SIDs được xác định bởi một điều khiển vùng của người dùng vùng trương mục. SID tên miền đáng tin cậy, sự tương đối ID (RID) của các người sử dụng của tài khoản, RID nhóm chính của người dùng, và SIDs của tất cả các thành viên nhóm được kết hợp thành một cấu trúc dữ liệu ủy quyền và được thông qua để máy tính yêu cầu. Nếu điều khiển vùng authenticating đang chạy Windows 2000, nó cũng kiểm tra để xác định nếu người dùng có thể bất kỳ SIDs của mình hoặc cô SIDHistory thuộc tính và bao gồm SIDs trong ủy quyền dữ liệu.

Nếu máy tính đang yêu cầu người dùng xác thực là trong một khác nhau tên miền từ tài khoản của người dùng, xác thực xảy ra bằng cách sử dụng một sự tin tưởng. Tin tưởng tạo giữa Windows NT dựa trên hoặc Windows 2000 trên tên miền để đơn giản hóa kinh nghiệm của người sử dụng xác thực - đặc biệt là bằng cách cho phép đơn đăng nhập. Khi một tên miền tín thác khác, nó có nghĩa là các tên miền tin tưởng cho phép các tên miền đáng tin cậy để xác thực người dùng (hoặc máy tính) mà Nó quản lý tài khoản. Trong thời gian xác thực, máy tính thuộc về phạm vi tin tưởng chấp nhận dữ liệu ủy quyền được cung cấp bởi các tên miền đáng tin cậy bộ điều khiển. Có là không có cách nào cho máy tính đó yêu cầu xác thực để xác định tính hợp lệ của các thông tin uỷ quyền, do đó, nó chấp nhận các dữ liệu như là chính xác dựa trên sự tồn tại của mối quan hệ tin tưởng.

Một lỗ hổng tồn tại bởi vì tên miền tin tưởng không xác minh rằng các tên miền đáng tin cậy là thực sự có thẩm quyền cho tất cả SIDs trong ủy quyền dữ liệu. Nếu một trong SIDs trong danh sách nhận dạng một người sử dụng hoặc bảo mật nhóm mà là không có trong tên miền đáng tin cậy, tin tưởng tên miền chấp nhận các thông tin và sử dụng nó cho quyết định kiểm soát truy cập tiếp theo. Nếu một kẻ tấn công đã là để chèn SIDs vào dữ liệu ủy quyền và tên miền đáng tin cậy, họ có thể nâng cao đặc quyền của mình để những người có liên quan đến bất kỳ người dùng hoặc nhóm, bao gồm cả quản trị viên tên miền cho các tên miền tin tưởng. Điều này sẽ cho phép kẻ tấn công để đạt được đầy đủ quyền truy cập quản trị viên tên miền trên các máy tính trong tên miền tin tưởng.

Khai thác lỗ hổng này sẽ là một thách thức. Tối thiểu một kẻ tấn công sẽ cần quyền quản trị trên tên miền đáng tin cậy, và kỹ thuật wherewithal để sửa đổi hoạt động ở độ cao thấp cấu trúc dữ liệu và chức năng hệ thống. Windows 2000 cung cấp một cơ chế cho giới thiệu các bổ sung SIDs vào dữ liệu ủy quyền, được gọi là SIDHistory. Tuy nhiên, đó là không có giao diện lập trình mà sẽ cho phép kẻ tấn công - thậm chí với quyền quản trị--để giới thiệu một SID vào thông tin SIDHistory; Thay vào đó, một kẻ tấn công sẽ cần phải thực hiện một chỉnh sửa nhị phân của các cấu trúc dữ liệu mà giữ thông tin SIDHistory. Để chống lại các cuộc tấn công tiềm năng, Microsoft đã thêm một tính năng gọi là SID lọc để Windows NT 4.0 và Windows 2000. Với SID lọc, người quản trị có thể gây ra các tên miền bộ điều khiển trong một tên miền nhất định để "kiểm dịch" một tên miền đáng tin cậy. Điều này sẽ gây ra bộ kiểm soát miền trong miền tin tưởng để loại bỏ tất cả các SIDs được không liên quan đến tên miền đáng tin cậy từ bất kỳ dữ liệu ủy quyền được nhận từ tên miền đó. Quarantining được thực hiện từ các tên miền tin tưởng, và là thực hiện trên một cơ sở cho mỗi tên miền.

SID lọc khối Windows 2000 Transitive tin tưởng. Nếu một tên miền quarantined được đặt trong con đường tin cậy giữa hai tên miền, người dùng từ tên miền trên phía bên kia của các tên miền quarantined không thể truy nhập tài nguyên trong tên miền quarantining. Vì lý do này, quarantined tên miền nên là lá tên miền, tên miền con của họ cần chỉ nguồn tài nguyên tên miền có chứa không có tài khoản người dùng, hoặc tên miền quarantined phải ở trong một khu rừng tách biệt.

Một quản trị viên Windows 2000 nên không sử dụng tính năng lọc SID để tạo ra một tên miền "giới hạn-truy cập" trong một khu rừng. Kịch bản được đề nghị kiểm dịch là để kiểm dịch chỉ tên miền trong riêng khu rừng. Một niềm tin nên được thành lập từ tên miền mà là để bảo vệ tên miền mà là để được cách ly, và sau đó các tên miền tin tưởng nên được cấu hình để lọc SIDs từ tên miền đáng tin cậy.

Microsoft khuyến cáo rằng bạn không sử dụng này SID lọc giữa tên miền trong cùng một rừng vì nó sẽ phá vỡ sự tin tưởng mặc định và xác thực hành vi của một khu rừng, trong đó nhân rộng intra-rừng, và có khả năng để lãnh đạo vấn đề với các chương trình mà có thể là khó khăn để gỡ rối. Bài viết này chứa danh sách các chương trình và tính năng mà được biết là hỏng trong SID lọc môi trường. Không sử dụng truy cập bị giới hạn tên miền và làm theo các kiến nghị được liệt kê ở trên nếu bạn cần các chương trình này hoặc chức năng. Microsoft không thể cung cấp cách giải quyết cho những vấn đề này.
GIẢI PHÁP
Để giải quyết vấn đề này, có được an ninh Windows 2000 Rollup gói 1 (SRP1). Để biết thêm chi tiết về SRP1, nhấp vào số bài viết dưới đây để xem bài viết trong cơ sở kiến thức Microsoft:
311401 Windows 2000 Security Rollup gói 1 (SRP1), tháng 1 năm 2002
Phiên bản tiếng Anh của sửa chữa nên có các sau khi tập tin thuộc tính hoặc sau này:
  Date     Time  Version    Size   File name  -----------------------------------------------------------------  08-Oct-2001 19:13 5.0.2195.4472 123,664 Adsldp.dll  08-Oct-2001 19:13 5.0.2195.4308 130,832 Adsldpc.dll  08-Oct-2001 19:13 5.0.2195.4016  62,736 Adsmsext.dll  08-Oct-2001 19:13 5.0.2195.4384 364,816 Advapi32.dll  08-Oct-2001 19:13 5.0.2195.4141 133,904 Dnsapi.dll  08-Oct-2001 19:13 5.0.2195.4379  91,408 Dnsrslvr.dll  08-Oct-2001 19:19 5.0.2195.4411 529,168 Instlsa5.dll  08-Oct-2001 19:13 5.0.2195.4437 145,680 Kdcsvc.dll  04-Oct-2001 21:00 5.0.2195.4471 199,440 Kerberos.dll  04-Sep-2001 09:32 5.0.2195.4276  71,024 Ksecdd.sys  27-Sep-2001 15:58 5.0.2195.4411 511,248 Lsasrv.dll  128-bit  06-Sep-2001 18:31 5.0.2195.4301 507,152 Lsasrv.dll   56-bit  06-Sep-2001 18:31 5.0.2195.4301  33,552 Lsass.exe  27-Sep-2001 15:59 5.0.2195.4285 114,448 Msv1_0.dll  08-Oct-2001 19:14 5.0.2195.4153 312,080 Netapi32.dll  08-Oct-2001 19:13 5.0.2195.4357 370,448 Netlogon.dll  08-Oct-2001 19:13 5.0.2195.4464 912,656 Ntdsa.dll  08-Oct-2001 19:13 5.0.2195.4433 387,856 Samsrv.dll  08-Oct-2001 19:13 5.0.2195.4117 111,376 Scecli.dll  08-Oct-2001 19:13 5.0.2195.4476 299,792 Scesrv.dll  29-May-2001 07:41 5.0.2195.3649  5,632 Sp2res.dll  08-Oct-2001 19:13 5.0.2195.4025  50,960 W32time.dll  01-Aug-2001 21:44 5.0.2195.4025  56,592 W32tm.exe  08-Oct-2001 19:13 5.0.2195.4433 125,712 Wldap32.dll				
LƯU Ý: Quan hệ vì tệp phụ thuộc, hotfix này đòi hỏi Microsoft Windows 2000 Service Pack 2.
TÌNH TRẠNG
Microsoft đã xác nhận rằng vấn đề này có thể gây ra một mức độ an ninh lỗ hổng trong Microsoft Windows 2000.
THÔNG TIN THÊM
Để biết thêm chi tiết vào lỗ hổng này, xem các Microsoft Web site sau:

Cấu hình SID lọc

Bạn có thể cấu hình SID lọc với Cập nhật Windows 2000 Phiên bản Service Pack 2 (SP2) của tiện ích Netdom.exe ngày dựa trên Windows 2000 tên miền. Cho SID lọc để hoạt động đúng, SP2 phải được cài đặt trên mỗi bộ kiểm soát miền trong miền tin tưởng (các tên miền mà quarantining tên miền khác). Phiên bản Cập Nhật của Netdom.exe được bao gồm trong sự hỗ trợ Công cụ thư mục trên đĩa CD-ROM SP2, hoặc bạn có thể tải nó từ trang Web của Microsoft Trang web. Một /filtersids chuyển đổi đã được thêm vào phiên bản này của Netdom.exe để cấu hình SID lọc.

Cho tên miền dựa trên Windows 2000, để kiểm dịch một tên miền, sử dụng lệnh sau một lần trên bộ điều khiển một tên miền trong tên miền (trong ví dụ này, tên miền RESDOM lọc tên miền ACCDOM):
tin tưởng netdom RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
Lệnh liên quan để vô hiệu hoá SID lọc là:
tin tưởng netdom RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Để xác minh SID lọc thiết đặt trên một tên miền, sử dụng lệnh này:
tin tưởng netdom RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Điển hình Active Directory làm bản sao nguyên nhân sự thiết lập để được phổ biến cho tất cả các bộ điều khiển tên miền trong tên miền.

Xác thực và kiểm toán thay đổi

Tham khảo trợ giúp trực tuyến trong Windows 2000 cho thông tin về làm thế nào để cấu hình kiểm toán trong Windows 2000.

Khi một niềm tin là được thành lập, các tên miền tin tưởng tạo ra và lưu trữ một cấu trúc dữ liệu gọi là một Tin cậy đối tượng miền (TDO) có chứa SID tên miền đáng tin cậy và các thông tin khác về sự tin tưởng. Khi SID lọc được kích hoạt cho một tin cậy tên miền, authentications đến tên miền đó không thành công nếu dữ liệu ủy quyền trình bày một miền SID không khớp với SID trong tên miền tin tưởng TDO tên miền quarantined. Trường hợp này có thể xảy ra nếu các dữ liệu ủy quyền được thay đổi. Nếu xác thực không thành công ở đây cách và đăng nhập hoặc đăng xuất kiểm toán được kích hoạt, một sự kiện được tạo ra trong các sổ ghi sự kiện trên bộ điều khiển tên miền xử lý việc xác thực yêu cầu trong tên miền tin tưởng.

SP2 bao gồm một kiểm toán bảo mật mới sự kiện với tổ chức sự kiện ID 548 người cho NTLM xác thực, và cho biết thêm một mã thất bại mới (0xC000019B) để tổ chức sự kiện ID 677 trong Kerberos xác thực. Đây là đăng nhập hoặc các sự kiện thất bại đăng xuất được tạo ra khi lừa miền SID "đảo." Các sau mẫu mục chứng minh những sự kiện này.

Trong thời gian NTLM xác thực:
  Event Type:   Failure Audit  Event Source:  Security  Event Category: Logon/Logoff  Event ID:    548  Date:      Event date  Time:      Event time  User:      NT AUTHORITY\SYSTEM  Computer:    Name of the computer where the event is logged  Description:   Logon Failure.   Reason:         Domain sid inconsistent   User Name:       Name of the user being authenticated   Domain:         Name of the Quarantined Domain   Logon Type:       3   Logon Process:     NtLmSsp   Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0   Workstation Name:    Name of the client computer				
Trong thời gian Kerberos xác thực:
  Event Type:   Failure Audit  Event Source:  Security  Event Category: Account Logon  Event ID:    677  Date:      Event date  Time:      Event time  User:      NT AUTHORITY\SYSTEM  Computer:    Name of the computer where the event is logged  Description:   Service Ticket Request Failed:   User Name:       Name of the user being authenticated   User Domain:      Name of the user's Domain   Service Name:      Full qualified name of the Quarantined Domain   Ticket Options:     0x0   Failure Code:      0xC000019B   Client Address:     127.0.0.1  Event Type:   Failure Audit  Event Source:  Security  Event Category: Logon/Logoff  Event ID:    537  Date:      Event date  Time:      Event time  User:      NT AUTHORITY\SYSTEM  Computer:    Name of the client computer  Description:   Logon Failure:   Reason:         An unexpected error occurred during logon   User Name:       Name of the user being authenticated   Domain:         Name of the user's Domain   Logon Type:       2   Logon Process:     User32    Authentication Package: Negotiate   Workstation Name:    Name of the client computer 				

Hạn chế của SID lọc

Có ba nhược điểm tiềm năng liên kết với SID lọc mà có thể có khả năng ngăn chặn một số người dùng từ đạt được quyền truy cập vào tài nguyên cho mà họ được phép:
 • SID lọc và SIDHistory là loại trừ lẫn nhau cơ chế. Nếu SID lọc có hiệu lực trên một tên miền, nó bộ lọc bất kỳ SIDHistory thông tin trong dữ liệu ủy quyền đến từ tên miền quarantined.
 • SID lọc có thể chặn các đơn quyền đăng nhập lợi của Transitive niềm tin trong Windows 2000. Ví dụ, giả sử rằng tên miền a tín thác tên miền B, và tên miền b tín thác miền C. thường, Windows 2000, một người sử dụng từ tên miền c có thể truy cập vào tài nguyên thuộc phạm vi a vì tên miền a transitively tín thác miền C. Tuy nhiên, nếu tên miền a có SID lọc có hiệu lực cho tên miền B, nó sẽ không còn cho phép tên miền b để xác minh cho người dùng từ tên miền C, vì tên miền b không phải là độc quyền cho SIDs thuộc phạm vi C.
 • SID lọc lọc SIDs được kết hợp với một thành viên của người dùng trong các nhóm phổ quát nếu các nhóm không được duy trì ở các vùng của người dùng tài khoản.

Không tương thích chương trình và tính năng

Các chương trình sau và Windows 2000 tính năng được biết là có không tương thích với SID lọc:
 • Thành viên nhóm phổ quát cho tất cả các phổ các nhóm mà đang không ở trong vùng trương mục người dùng
 • Microsoft Exchange 2000 tính năng dựa trên phổ các nhóm
 • SIDHistory cho các tài khoản migrated
 • Transitive tin tưởng không hoạt động đúng
 • Sao chép thư mục hoạt động - vì lý do này trong cụ thể, SID lọc nên không được sử dụng giữa các tên miền trong cùng một rừng. SID lọc nên được sử dụng để chỉ bộ lọc trên bên ngoài tín thác.
Để có thêm thông tin về làm thế nào để có được một hotfix cho Windows 2000 Datacenter Server, bấm vào đây số bài viết để xem bài viết trong cơ sở kiến thức Microsoft:
265173Các Trung tâm dữ liệu chương trình và Windows 2000 Datacenter Server sản phẩm
Để có thêm thông tin về làm thế nào để cài đặt nhiều hotfixes với chỉ có một khởi động lại, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
296861Làm thế nào để cài đặt nhiều bản cập nhật Windows hoặc hotfixes với chỉ có một khởi động lại
security_patch kbWin2000srp1

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 289243 - Xem lại Lần cuối: 12/06/2015 00:35:30 - Bản sửa đổi: 2.0

 • kbnosurvey kbarchive kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbmt KB289243 KbMtvi
Phản hồi