Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2094607
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 23:41:28

要提高Active Directory林的安全性,默认情况下运行Windows Server 2003Windows 2000 Service Pack 4(或更高版本)的域控制器会对所有传出外部信任启用安全标识符(SID)筛选。通过应用对传出外部信任的SID筛选,可以防止在受信任域中具有域管理员级别访问权限的恶意用户将已提升的信任域用户权限授予自身或其域中的其他用户帐户。当恶意用户能够将未经授权的用户权限授予其他用户时,这称之为提升特权攻击。

1. SID筛选原理

启用SID安全筛选后就可以有效地阻止这种攻击。它的筛选原理是:当在域中创建安全主体时,域SID将包含于安全主体的SID中以标识创建它的域。域SID是安全主体的重要特征,因为Windows安全子系统使用它来验证安全主体的真实性。以类似方式,从信任域创建的传出外部信任使用SID筛选验证来自受信任域中的安全主体创建的传入身份验证请求是否包含受信任域中的安全主体SID。这通过将传入安全主体的SID和受信任域的域SID进行比较完成的。如果任何安全主体SID包含的域SID不是受信任域的SID,则信任将删除有问题的SID

正像任何技术有利也有弊一样,SID筛选要防止提升特权攻击方面军的确有效,但它也给正常的域管理工作带来了一些负于面影响。主要体现在以下两个方面:

l         包含任何域,而不是受信任域SIDSID历史数据将从受信任域中生成的身份验证请求中删除。这将导致对具有用户旧SID的资源的访问被拒绝。

l         林间通用组的访问控制策略需要更改。

SID筛选已启用后,使用SID历史数据用于对信任域中的资源进行授权的用户将不再对这些资源具有访问权限。如果您通常将受信任林的通用组指派给信任域中共享资源的访问控制列表(ACL),那么SID筛选将会对访问控制策略造成主要影响。

因为通用组必须坚持使用与其他安全主体对象相同的SID筛选原则(即,通用组必须还包含域SID),所以您应该验证任何指派给受信任域中共享资源的通用组是否在受信任域中创建。如果受信任林中的通用组不是在受信任域中创建的,即使它可能包含受信任域成员的用户,通用组的成员生成的身份验证请求也将被筛选和舍弃。因此,在为受信任域中的用户中指派信任域中资源的访问权限之前,您应该确认包含受信任域用户的通用组是在受信任域中创建的。

2. 禁用SID筛选

可以通过使用Netdom.exe工具来禁用外部信任的SID筛选(尽管不建议这样做)。但在具体实话前,应该考虑仅在以下情况才禁用SID筛选:

l         对所有对受信任域中域控制器具有物理访问权限的管理员,具有与信任域中的管理员相同的信任级别。

l         对将不是在受信任域中创建的通用组指派给信任域中的资源有严格的要求。

l         用户已被迁移到受信任域,同时保留其SID历史记录,并且要基于SIDHistory属性授予他们对信任域中资源的访问权限。

只有域管理员可以禁用SID筛选。要禁用信任域的SID筛选,请在命令行提示符下键入以下语法格式命令:

Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No /usero:domainadministratorAcct /passwordo:domainadminpwd

其中的参数解释如下:

l         TrustingDomainName:信任域的DNS名称

l         TrustedDomainName:被信任域的DNS名称

l         quarantine:是否启用SID筛选开关选项

l         TrustedDomainName:在信任域中有权创建信任的管理员帐户

l         Domainadminpwd:有权创建信任的管理员帐户密码

您可以仅从信任的信任方启用或禁用SID筛选。如果该信任是双向信任,那么您还可以通过使用受信任域的域管理员的管理凭据并在命令行语法中颠倒TrustingDomainNameTrustedDomainName值来禁用受信任域中的SID筛选。

【注意】要进一步保护林的安全,您应该考虑在所有通过运行Windows 2000 Service Pack 3(或早期版本)的域控制器创建的现有外部信任上启用SID筛选。您可以通过使用Netdom.exe在现有外部信任上启用SID筛选,或通过从运行Windows Server 2003Windows 2000 Service Pack 4(或更新版本)的域控制器重新创建这些外部信任来完成。但从运行Windows 2000 Service Pack 3(或早期版本)的域控制器创建的外部信任默认情况下不会强制使用SID 筛选。

无法关闭启用新建外部信任的 SID 筛选的默认行为。当相同域中的现有域控制器正在运行Windows 2000Windows Server 2003,那么运行Windows NT Server 4.0的域控制器不会参与信任创建过程。禁用后再启用SID筛选功能,需将以上命令中的/quarantine:”命令行选项设置为Yes即可。

本文摘自《(金牌网管师——大中型企业网络组建》第二章

阅读(2227) | 评论(0) | 转发(0) |
0

上一篇:快捷信任的创建示例

下一篇:站点概述

给主人留下些什么吧!~~