SID Filterung
Sichern von Vertrauensstellungen
mit SID Filterung
Windows gewährt oder verweigert wie bekannt Benutzern den Zugriff auf Ressourcen
auf der Basis von Zugriffssteuerungslisten
(Access Control Lists, ACLs). ACLs verwenden zur eindeutigen Identifizierung
von Sicherheitsprinzipalen und deren Gruppenrmitgliedschaft
SIDs. Jede SID besteht aus zwei Teilen:
eine Domänen-SID,
die alle Prinzipale der betreffenden Domäne gemeinsam verwenden
und einer
RID (Relative ID), di dem Prinzipal innerhalb der Domäne eindeutig zugeordnet
ist.
Wenn die Anmeldeinformationen eines Prinzipals während
der Authentifizierung überpürft werden, dann ermittel ein Prozess,
der als
LSA-Subsystem (Lsass.exe) bezeichnet wird, die SID des Prinzipals sowie die
SIDs aller Gruppen, denen der Prinzipal angehört.
Wird etwa der Benutzer Stefan authentifiziert, der zur Gruppe "Administrator"
gehört, dann ermittelt das LSA-Subsystem die SID
von Stefan und die SID der Gruppe "Administrator". Fordert Stefan
nun den Zugriff auf eine Ressource an, dann werden seine
SIDs vom LSA-Subsystem mit der ACL abgeglichen, um festzustellen, ob er zum
Zugriff berechtigt ist.
SID Spofing
Benutzer mit ausreichenden Priivlegien - z.B. Domänenadministratoren, können
die SIDs modifizieren, die den einzelnen Konten zugeordnet
sind. SID-Spoofing findet statt, wenn ein Domänenadministrator einer vertrauenswürdigen
Domäne einem bekannten Sicherheitsprinzipal
die SID eines normalen Benutzerkontos in der vertrauenswürdigen Domäne
zuordnet. Beim SID Spoofing schnüffelt ein Administrator
aus Böswilligkeit oder unter Zwang in Paketen der vertrauenswürdigen
Domäne, um die SID eines Sicherheitsprinzipals zu ermitteln, der
Vollzugriff auf die Ressourcen in der vertrauenswürdigen Domäne hat.
Es gibt eine Vielzahl von Programmen, mit denen der Administrator
die ermittelte SID dem Atribut SIDHistroy eines Benutzers anfügen kann.
Auf diese Weise können Administratoren aus vertrauenswürden
Domänen ihre Rechte in der vertrauten Domäne erweitern, um auf Ressourcen
zugreifen zu können, für die sie eigentlich nicht autorisiert sind.
Aus diesem Grund sollten Sie, wenn Sie Administratoren anderer
Domänen nciht vertrauen, für diese keine Vertrauensstellungen einrichten.
In der Praxis ist dies allerdings nicht immer möglich. Wenn Sie aber die
Bedrohung verstehen, können Sie das Risiko verringern.
Verwenden der SID Filterung zur Absicherung
von Vertrauensstellungen
Das SID Spoofing können Sie mithilfe der SID-Filterung verhindern. Die
SID Filterung ermöglicht es Administratoren, Anmeldeinformationen
zu verwerfen, die SIDs benutzen, bei denen die Wahrscheinlichkeit eines Spoofingangriffs
eher hoch ist.
Wenn Sicherheitsprinzipale in einer Domäne erstellt werden, dann wird die
Domänen-SID in der SID des Sicherhetisprinzipals abgelegt, um
die Domäne ermitteln zu können, in der die SID erstellt worden ist.
Die Domänen-SID ist ein wesentliches Merkmal eines
Sicherheitsprinzipals, denn das Sicherheitssubsystem von Windows überprüft
anhand ihrer die Authentizität des Sicherheitsprinzipals.
Auf ähnliche Weise verwenden auch ausgehende externe
Vertrauensstellungen, die in der vertrauenden Domäne erstellt wurden, die
SID
Filterung, um sicherzustellen, dass eingehende Authentifizierungsanforderungen
von Sicherheitsprinzipalen in der vertrauenswürdigen
Domäne nur SIDs der Sicherhetisprinzipale in der vertrauenswürdigen
Domäne enthalten. Dies geschieht durch Vergleichen der SIDs
des eingehenden Sicherheitsprinzipals mit der domänen-SID der vertrauenswürdigen
Domäne. Enthält eine der
Sicherhetisprinzipal-SIDs eine Domänen-SID, die sich von der jenigen der
vertrauenswürdigenDomäne unterscheidet, dann entfernt
die Vertrauensstellung die problematische SID.
Mithilfe von "Netdom.exe"
können Sie die SID-Filterung für jede Vertrauensstellung zwischen
Domänen oder Gesamstrukturen
aktivieren oder deaktivieren.
Deaktivieren der SID Filterung
Obwohl dies im Allgemeinen nciht empfehlenswert ist, kann es in manchen Fällen
doch notwendig sein, die SID-Filterung mit dem
Programm "Netdom.exe" zu deaktivieren. Eine Deaktivierung der SID-Filterung
sollte nur in folgenden Situationen erfolgen:
Sie haben zu allen Administratoren, die physischen zugriff auf Domänencontroller
in der Domäne haben, ebensoviel
vertrauen wie
zu den Administratoren in der vertrauenden Domäne.
Ihnen liegt eine schriftliche Sicherheitsrichtlinienanforderung vor, universellen
Gruppen Ressourcen in der vertrauenden Domäne
zuzuweisen,
die nicht in der vertrauenswürdigen Domäne erstellt wurden.
Benutzer, die in die vertrauenswürdige Domäne migriert sind, haben
ihre SID-Chroniken behalten, und Sie wollen diesen Benutzern
nun basierend
auf dem Atrribut "SIDHistroy" Zugriff auf Ressourcen in der vertrauenden
Domäne ermöglichen. Nehmen wir beispielsweise
an, Benutzerkonten
seien aus der Domäne A in die Domäne B migriert worden, während
andere Ressourcen noch nicht von Domäne A
in Domäne
B migriert worden wären. Damit die migrierten Benutzer in Domäne A
nun auf Ressourcen in Domäne B zugreifen
können,
deaktivieren Sie die SID-Filterung; auf diese Weise können die Benutzer
für den Zugriff auf Ressourcen in Domäne B nach
wie vor ihre
alten SIDs verwenden.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006