Sdílet prostřednictvím

Použití DsAddSidHistory

Funkce DsAddSidHistory získá primární identifikátor zabezpečení účtu (SID) bezpečnostního objektu z jedné domény (zdrojové domény) a přidá ho do atributu sIDHistory v jiné (cílové) doméně v jiném lese. Pokud je zdrojová doména v nativním režimu Systému Windows 2000, tato funkce také načte hodnoty sIDHistory zdrojového subjektu a přidá je do sIDHistorycílového subjektu.

Přidání identifikátorů SID do objektu zabezpečení sIDHistory je operace, která má vysoké bezpečnostní požadavky, protože efektivně uděluje cílovému subjektu přístup ke všem prostředkům, k nimž má přístup původní subjekt, za předpokladu, že existují vztahy důvěry z příslušných domén prostředků do cílové domény.

V nativním režimu Windows 2000 Doména přihlášení uživatele vytvoří přístupový token, který obsahuje SID primárního účtu uživatele a SID skupin, stejně jako SIDHistory uživatele a SIDHistory skupin, kterých je uživatel členem. Mít tyto bývalé identifikátory SID (sIDHistory hodnoty) v uživatelském tokenu uděluje uživateli přístup k prostředkům chráněným seznamy řízení přístupu (ACL) obsahujícími bývalé identifikátory SID.

Tato operace usnadňuje určité scénáře nasazení systému Windows 2000. Konkrétně podporuje scénář, ve kterém jsou účty v nové doménové struktuře systému Windows 2000 vytvořeny pro uživatele a skupiny, které již existují v produkčním prostředí systému Windows NT 4.0. Umístěním identifikátoru SID účtu systému Windows NT 4.0 do účtu systému Windows 2000 sIDHistoryse zachová přístup k síťovým prostředkům, aby se uživatel přihlásil ke svému novému účtu systému Windows 2000.

DsAddSidHistory také podporuje migraci záložních řadičů domény (BDC) a serverů prostředků systému Windows NT 4.0 (nebo řadičů domény a členských serverů v nativním režimu domény systému Windows 2000) do domény systému Windows 2000 ve formě členských serverů. Tato migrace vyžaduje vytvoření místních skupin domény v cílové doméně systému Windows 2000, které ve své sIDHistoryobsahují primární SID místních skupin definovaných na řadiči záložní domény (BDC) (nebo místních skupin domény uvedených v seznamech řízení přístupu (ACL) na serverech s Windows 2000) ve zdrojové doméně. Vytvořením cílové místní skupiny obsahující sIDHistory a všech členů zdrojové místní skupiny se udržuje přístup k migrovaným prostředkům serveru chráněným seznamy ACL odkazujícími na zdrojovou místní skupinu pro všechny členy.

Poznámka

Použití DsAddSidHistory vyžaduje pochopení širších dopadů správy a zabezpečení v těchto a dalších scénářích. Další informace naleznete v dokumentu white paper "Planning Migration from Windows NT to Microsoft Windows 2000" (Plánování migrace ze systému Windows NT do systému Microsoft Windows 2000), který je dodáván jako Dommig.doc v nástrojích podpory systému Windows 2000. Tato dokumentace se také může nacházet na disku CD produktu v části \support\tools.

Požadavky na autorizaci

DsAddSidHistory vyžaduje oprávnění správce ve zdrojových a cílových doménách. Volající tohoto rozhraní API musí být konkrétně členem skupiny Domain Administrators v cílové doméně. Provede se pevně zakódovaná kontrola tohoto členství. Také účet zadaný v SrcDomainCreds parametru musí být členem skupiny Administrators nebo Domain Administrators v zdrojové doméně. Pokud je null předán SrcDomainCreds, musí volající toto rozhraní API patřit do skupiny Administrators nebo Domain Administrators ve zdrojové doméně.

Požadavky na doménu a důvěryhodnost

DsAddSidHistory vyžaduje, aby cílová doména byla v nativním režimu systému Windows 2000 nebo novějším, protože pouze tento typ domény podporuje atribut sIDHistory. Zdrojová doména může být windows NT 4.0 nebo Windows 2000, smíšený nebo nativní režim. Zdrojové a cílové domény nesmí být ve stejném lesu. Domény systému Windows NT 4.0 jsou podle definice nejsou součástí doménové struktury. Toto omezení mezi lesy zajišťuje, že se duplicitní identifikátory SID, ať už se zobrazují jako primární SID nebo hodnoty sIDHistory, nevytvářejí ve stejném lesu.

dsAddSidHistory vyžaduje externí vztah důvěryhodnosti ze zdrojové domény do cílové domény v případech uvedených v následující tabulce.

Případ Popis
Zdrojová doména je Windows 2000.
 Zdrojový atribut sIDHistory, který je k dispozici pouze ve zdrojových doménách systému Windows 2000, může být čten pouze pomocí protokolu LDAP, což vyžaduje důvěryhodný vztah pro ochranu integrity.
Zdrojová doména je Windows NT 4.0 a SrcDomainCreds je NULL.
 Zosobnění vyžadované pro podporu operací zdrojové domény pomocí přihlašovacích údajů volajícího závisí na tomto vztahu důvěryhodnosti. Zosobnění také vyžaduje, aby cílový řadič domény měl ve výchozím nastavení na řadičích domény povolenu možnost "Důvěryhodné pro delegování".

Mezi zdrojovou a cílovou doménou však není vyžadována důvěra, pokud je zdrojová doména Windows NT 4.0 a SrcDomainCreds není NULL.

Požadavky zdrojového řadiče domény

DsAddSidHistory vyžaduje, aby řadič domény vybraný jako cíl pro operace ve zdrojové doméně, byl primárním řadičem domény v doménách Systému Windows NT 4.0 nebo emulátorem primárního řadiče domény v doménách systému Windows 2000. Auditování zdrojové domény se generuje prostřednictvím operací zápisu, proto je primární řadič domény (PDC) vyžadován ve zdrojových doménách systému Windows NT 4.0 a omezení jen pro primární řadič domény zajišťuje, aby audity DsAddSidHistory byly generovány na jednom počítači. To snižuje nutnost kontrolovat protokoly auditu všech řadičů domény, aby bylo možné monitorovat použití této operace.

Poznámka

Ve zdrojových doménách systému Windows NT 4.0 musí primární řadič domény (cíl operací ve zdrojové doméně) používat aktualizaci Service Pack 4 (SP4) a novější, aby se zajistila správná podpora auditování.

Následující hodnota registru musí být vytvořena jako hodnota REG_DWORD a nastavena na 1 ve zdrojovém řadiči domény pro Windows NT 4.0 a Windows 2000.

HKEY_LOCAL_MACHINE
   System
      CurrentControlSet
         Control
            Lsa
               TcpipClientSupport

Nastavením této hodnoty povolíte volání RPC přes přenos TCP. Je to požadováno, protože rozhraní SAMRPC jsou ve výchozím nastavení vzdáleně přístupná pouze prostřednictvím pojmenovaných kanálů. Použití pojmenovaných kanálů vede k systému pro správu přihlašovacích údajů vhodných pro interaktivně přihlášené uživatele provádějící síťová volání, ale není flexibilní pro systémový proces, který provádí síťová volání s uživatelskými přihlašovacími údaji. Rpc přes TCP je vhodnější pro tento účel. Nastavení této hodnoty nesnižuje zabezpečení systému. Pokud je tato hodnota vytvořená nebo změněná, musí být zdrojový řadič domény restartován, aby se toto nastavení projevilo.

Pro účely auditování musí být ve zdrojové doméně vytvořena nová místní skupina "<SrcDomainName>$$$".

Kontrola

operace dsAddSidHistory jsou auditovány, aby správci zdrojové i cílové domény mohli zjistit, kdy byla tato funkce spuštěna. Auditování je povinné jak ve zdrojové, tak cílové doméně. DsAddSidHistory ověřuje, že je v každé doméně zapnutý režim auditu a že je zapnuté auditování správy účtů úspěšných/neúspěšných událostí. V cílové doméně se pro každou úspěšnou nebo neúspěšnou operaci DsAddSidHistory vygeneruje jedinečná událost auditu "Add Sid History".

Jedinečné události auditu Add Sid History nejsou v systémech Windows NT 4.0 k dispozici. Chcete-li generovat události auditu, které jednoznačně odrážejí použití DsAddSidHistory proti zdrojové doméně, provádí operace se speciální skupinou, jejíž název je jedinečný identifikátor v protokolu auditu. Místní skupina "<SrcDomainName>$$$", jejíž název se skládá z názvu NetBIOS zdrojové domény, ke kterému jsou připojeny tři dolary ($) (kód ASCII = 0x24 a Unicode = U+0024), musí být vytvořena na zdrojovém řadiči domény před voláním DsAddSidHistory. Každý zdrojový uživatel a globální skupina, které jsou cílem této operace, se přidá do této skupiny a pak se odebere z členství v této skupině. Tím se vygenerují události auditu Přidat člena a Odstranit člena ve zdrojové doméně, které lze monitorovat vyhledáváním událostí odkazovaných na název skupiny.

Poznámka

operace DsAddSidHistory v místních skupinách v systému Windows NT 4.0 nebo ve smíšeném režimu zdrojové domény systému Windows 2000 nelze auditovat, protože místní skupiny nemohou být členy jiné místní skupiny, a proto nemohou být přidány do zvláštní místní skupiny<SrcDomainName>$$$. Tato absence auditování nepředstavuje problém se zabezpečením zdrojové domény, protože tato operace nemá vliv na přístup k prostředkům zdrojové domény. Přidání identifikátoru SID zdrojové místní skupiny do cílové místní skupiny neuděluje přístup ke zdrojovým prostředkům chráněným danou místní skupinou všem dalším uživatelům. Přidání členů do cílové místní skupiny jim neudělí přístup ke zdrojovým prostředkům. Přidaní členové mají udělený přístup pouze k serverům v cílové doméně migrované ze zdrojové domény, které můžou mít prostředky chráněné identifikátorem SID zdrojové místní skupiny.

Zabezpečení přenosu dat

DsAddSidHistory vynucuje následující bezpečnostní opatření:

  • Volána z pracovní stanice systému Windows 2000, přihlašovací údaje volajícího se používají k ověřování a ochraně osobních údajů volání RPC na cílový řadič domény. Pokud SrcDomainCreds není NULL, pracovní stanice i cílový řadič domény musejí podporovat 128bitové šifrování pro ochranu přihlašovacích údajů. Pokud není k dispozici 128bitové šifrování a jsou poskytnuty SrcDomainCreds, musí být volání provedeno na cílovém řadiči domény.
  • Cílový řadič domény komunikuje se zdrojovým řadičem domény pomocí SrcDomainCreds nebo přihlašovacích údajů volajícího, aby vzájemně ověřil a zajistil integritu čtení identifikátoru SID zdrojového účtu (pomocí vyhledávání SAM) a sIDHistory (pomocí čtení LDAP).

Modely hrozeb

Následující tabulka uvádí potenciální hrozby spojené s dsAddSidHistory volání a řeší bezpečnostní opatření týkající se konkrétní hrozby.

Potenciální hrozba Bezpečnostní opatření
Muž uprostřed útoku
Neoprávněný uživatel zachytí vyhledávací identifikátor SID z návratového volání zdrojového objektu a nahradí identifikátor SID zdrojového objektu libovolným identifikátorem SID pro vložení do historie SID cílového objektu.
 Identifikátor SID vyhledávání zdrojového objektu je ověřený RPC využívající přihlašovací údaje administrátora volajícího s ochranou integrity paketů. Tím se zajistí, že návratové volání nelze změnit bez detekce. Cílový řadič domény vytvoří jedinečnou událost auditu "Add SID History", která odráží identifikátor SID přidaný do cílového účtu sIDHistory.
Trojan zdroj doména
Neoprávněný uživatel vytvoří na soukromé síti doménu typu "Trójský kůň", která má stejný SID domény a některé stejné SIDy účtu jako legitimní zdrojová doména. Neoprávněný uživatel se pak pokusí spustit DsAddSidHistory v cílové doméně, aby získal identifikátor SID zdrojového účtu. To se provádí bez nutnosti skutečných zdrojových přihlašovacích údajů správce domény a bez opuštění záznamu auditu ve skutečné zdrojové doméně. Metoda neoprávněného uživatele pro vytvoření zdrojové domény trojského koně může být jedna z následujících možností:
  • Získejte kopii (zálohu služby BDC) zdrojové domény SAM.
  • Vytvořte novou doménu a upravte identifikátor SID domény na disku tak, aby odpovídal identifikátoru SID legitimní zdrojové domény, a pak vytvořte dostatek uživatelů k vytvoření instance účtu s požadovaným identifikátorem SID.
  • Vytvořte repliku služby BDC. To vyžaduje přihlašovací údaje správce zdrojové domény. Pak neoprávněný uživatel vezme repliku do privátní sítě k implementaci útoku.

 I když existuje mnoho způsobů, jak neoprávněný uživatel načíst nebo vytvořit identifikátor SID požadovaného zdrojového objektu, neoprávněný uživatel ho nemůže použít k aktualizaci účtu sIDHistory, aniž by byl členem cílové skupiny Domain Administrators. Vzhledem k tomu, že v cílovém řadiči domény je pevně zakódováno členství správce domény, neexistuje žádná metoda úpravy disku, která by změnila data řízení přístupu chránící tuto funkci. Pokus o klonování zdrojového účtu trojského koně je auditován v cílové doméně. Tento útok se zmírní tím, že si zarezervuje členství ve skupině Domain Administrators pouze pro vysoce důvěryhodné jednotlivce.
Úprava historie identifikátorů SID na disku
Sofistikovaný neoprávněný uživatel s přihlašovacími údaji správce domény a fyzickým přístupem k řadiči domény v cílové doméně by mohl na disku změnit hodnotu sIDHistory účtu .
 Tento pokus není povolen pomocí DsAddSidHistory. Tento útok je zmírněný tím, že brání fyzickému přístupu k řadičům domény s výjimkou vysoce důvěryhodných správců.
Podvodný kód použitý k odebrání ochrany
Neoprávněný uživatel nebo neautorizovaný správce s fyzickým přístupem k kódu adresářové služby by mohl vytvořit podvodný kód, který:
  1. Odebere kontrolu členství ve skupině Domain Administrators v kódu.
  2. Změní volání na zdrojovém řadiči domény a přesměruje identifikátor SID na funkci LookupSidFromName, která není auditována.
  3. Odebere volání záznamů auditu.

 Někdo s fyzickým přístupem k kódu DS a dostatečně znalý k vytvoření podvodného kódu má schopnost libovolně upravovat sIDHistory atributu účtu. Rozhraní API DsAddSidHistory toto bezpečnostní riziko nezvyšuje.
Prostředky ohrožené odcizenými SIDy
Pokud se neoprávněnému uživateli podařilo použít některou z metod popsaných zde k úpravě účtu sIDHistorya pokud domény prostředků zájmu důvěřují doméně neoprávněného uživatelského účtu, může neoprávněný uživatel získat neoprávněný přístup k prostředkům odcizeného identifikátoru SID, potenciálně bez opuštění záznamu auditu v doméně účtu, ze které byl identifikátor SID odcizen.
 Správci domény prostředků chrání své prostředky nastavením pouze těch vztahů důvěryhodnosti, které mají smysl z hlediska zabezpečení. Použití DsAddSidHistory je omezeno v důvěryhodné cílové doméně na členy skupiny Domain Administrators, kteří již mají široká oprávnění v rámci jejich odpovědnosti.
Zákeřná cílová doména
Neoprávněný uživatel vytvoří doménu systému Windows 2000 s účtem, jehož sIDHistory obsahuje identifikátor SID, který byl odcizen ze zdrojové domény. Neoprávněný uživatel používá tento účet pro neoprávněný přístup k prostředkům.
 Neoprávněný uživatel vyžaduje přihlašovací údaje správce pro zdrojovou doménu, aby mohl používat dsAddSidHistorya ponechá záznam auditu na zdrojovém řadiči domény. Neautorizovaná cílová doména získá neoprávněný přístup pouze v jiných doménách, které důvěřují neautorizované doméně, což vyžaduje oprávnění správce v těchto doménách prostředků.

Provozní omezení

Tato část popisuje provozní omezení použití funkce DsAddSidHistory.

Identifikátor SID SrcPrincipal nesmí již existovat v cílové doménové struktuře, ať už jako primární identifikátor SID účtu nebo v sIDHistory účtu. Výjimkou je, že DsAddSidHistory negeneruje chybu při pokusu o přidání identifikátoru SID do sIDHistory, který obsahuje stejný identifikátor SID. Toto chování umožňuje DsAddSidHistory spustit vícekrát s identickým vstupem, což vede k úspěšnému a konzistentnímu koncovému stavu pro snadné použití vývojářů nástrojů.

Poznámka

Latence replikace globálního katalogu může poskytnout okno, během kterého se můžou vytvořit duplicitní identifikátory SID. Duplicitní identifikátory SID však může snadno odstranit správce.

SrcPrincipal a DstPrincipal musí být jedním z následujících typů:

  • Uživatel

  • Skupina s aktivovaným zabezpečením, včetně:

    Místní skupina Globální skupina Doménová místní skupina (pouze nativní režim Systému Windows 2000) Univerzální skupina (pouze nativní režim Systému Windows 2000)

Typy objektů SrcPrincipal a DstPrincipal musí odpovídat.

  • Pokud SrcPrincipal je uživatel, DstPrincipal musí být uživatel.
  • Pokud je SrcPrincipal místní nebo doménová místní skupina, musí být DstPrincipal doménovou místní skupinou.
  • Pokud SrcPrincipal je globální nebo univerzální skupina, DstPrincipal musí být globální nebo univerzální skupina.

SrcPrincipal a DstPrincipal nemůže být jedním z následujících typů: (DsAddSidHistory selže s chybou v těchto případech)

  • Počítač (pracovní stanice nebo řadič domény)

  • Mezidoménová důvěra

  • Dočasný duplicitní účet (prakticky nevyužívaná funkce, dědictví systému LANman)

  • Účty se známými identifikátory SID. Dobře známé SIDy jsou v každé doméně identické; jejich přidání do sIDHistory by porušilo požadavek na jedinečnost identifikátorů SID v lesu Windows 2000. Účty se známými identifikátory SID zahrnují následující místní skupiny:

    Operátoři účtů Správci Operátoři zálohování Hosté Operátoři tisku Replikátor Operátoři serveru Uživatelé

Pokud SrcPrincipal má známý relativní identifikátor (RID) a předponu specifickou pro doménu, tj. Domain Administrators, Domain Users a Domain Computers, potom DstPrincipal musí mít stejný známý RID, aby DsAddSidHistory byl úspěšný. Mezi účty s dobře známými identifikátory RID patří následující uživatelé a globální skupiny:

  • Správce
  • Host
  • Správci domény
  • Hosté domény
  • Uživatelé domény

Nastavení hodnoty registru

Následující postup ukazuje, jak nastavit hodnotu registru TcpipClientSupport.

Jak nastavit hodnotu registru TcpipClientSupport

  1. Ve zdrojovém řadiči domény vytvořte následující hodnotu registru jako hodnotu REG_DWORD a nastavte její hodnotu na 1.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TcpipClientSupport

  2. Potom restartujte zdrojový řadič domény. Tato hodnota registru způsobí, že SAM naslouchá na protokolu TCP/IP. DsAddSidHistory selže, pokud tato hodnota není nastavená na zdrojovém řadiči domény.

Povolení auditování událostí správy uživatelů nebo skupin

Následující postup ukazuje, jak povolit auditování událostí správy uživatelů nebo skupin ve zdrojové nebo cílové doméně systému Windows Server 2000 nebo Windows Server 2003.

Povolení auditování událostí správy uživatelů/skupin ve zdrojové nebo cílové doméně systému Windows Server 2000 nebo Windows Server 2003

  1. V modulu snap-in Uživatelé a počítače služby Active Directory konzoly MMC vyberte cílový kontejner řadičů domény.
  2. Klepněte pravým tlačítkem na řadiče domény a zvolte Vlastnosti.
  3. Klikněte na kartu Zásady skupiny.
  4. Vyberte Výchozí zásady řadičů domény a klikněte na Upravit.
  5. V části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditupoklikejte na Auditování správy účtů.
  6. V okně Správa auditu účtů vyberte auditování úspěchu i selhání. Aktualizace zásad se projeví po restartování nebo po aktualizaci.
  7. Ověřte, že je auditování povoleno zobrazením účinné zásady auditu v modulu snap-in MMC Zásady skupiny.

Následující postup ukazuje, jak povolit auditování událostí správy uživatelů/skupin v doméně systému Windows NT 4.0.

Povolení auditování událostí správy uživatelů/skupin v doméně systému Windows NT 4.0

  1. V User Manageru prodomény klikněte na nabídku Zásady a vyberte Audit.
  2. Vyberte Auditovat tyto události.
  3. V případě správy uživatelů a skupin ověřte úspěch a selhání .

Následující postup ukazuje, jak povolit auditování událostí správy uživatelů nebo skupin ve zdrojové doméně systému Windows NT 4.0, Windows 2000 nebo Windows Server 2003.

Povolení auditování událostí správy uživatelů a skupin ve zdrojové doméně systému Windows NT 4.0, Windows 2000 nebo Windows Server 2003

  1. V User Manager pro doményklikněte na nabídku User a vyberte Nová místní skupina.
  2. Zadejte název skupiny složený ze zdrojové domény NetBIOS s připojeným třemi znaky dolaru ($), například FABRIKAM$$$. Pole popisu by mělo indikovat, že tato skupina se používá k auditování použití dsAddSidHistory nebo klonování operací. Ujistěte se, že ve skupině nejsou žádní členové. Klepněte na tlačítko OK.

Operace DsAddSidHistory selže, pokud není povolené auditování zdroje a cíle, jak je popsáno zde.

Nastavení důvěryhodnosti v případě potřeby

Pokud platí některá z následujících hodnot, musí být vztah důvěryhodnosti vytvořen ze zdrojové domény do cílové domény (musí k tomu dojít v jiné doménové struktuře):

  • Zdrojová doména je Windows Server 2003.
  • Zdrojová doména je Windows NT 4.0 a SrcDomainCreds je NULL.
  • Last updated on