ADDS:设置域间信任 SID Filter Quarantining

最新推荐文章于 2022-08-18 15:57:09 发布
最新推荐文章于 2022-08-18 15:57:09 发布
阅读量432 收藏
点赞数
分类专栏: Windows Server 文章标签: Windows ADDS Forest
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rllyz/article/details/123940206
版权
本文介绍了如何在Active Directory Domain Services(ADDS)中设置域间信任的SID Filter Quarantining,以防止恶意攻击者利用SID历史记录属性提升权限。Windows Server 2003默认对新外部信任启用此功能,但Windows 2000 Server需要手动配置。内容包括SID过滤器隔离的启用、确认和禁用步骤,以及安全建议。
摘要由CSDN通过智能技术生成

1、技术规范:

   Active Directory 中的安全主体具有称为 SID 历史记录(SID History)的属性,域管理员可以向其中添加用户旧的安全标识符(Security Identifier,SID)。这在 Active Directory 迁移期间很有用,因为管理员不需要修改大量资源的访问控制列表(Access Control List,ACL),并且用户可以使用他们的旧 SID 来访问资源。但是,在某些情况下,攻击者或恶意管理员可能会破坏受信任域中的域控制器,从而使用 SID 历史记录属性(sIDHistory)将 SID 与新用户帐户相关联,从而授予自己未经授权的权限。为帮助防止此类攻击,Windows Server 2003 自动对由 Windows Server 2003 域控制器创建的所有外部信任启用 SID 筛选器隔离(SID Filter Quarantining)。使用运行带有 SP3 或更早版本的 Windows 2000 Server 的域控制器创建的外部信任必须手动配置以启用 SID 筛选器隔离。

   不能关闭 Windows Server 2003 中为新创建的外部信任启用 SID 筛选器隔离的默认行为。默认情况下,从运行 Windows 2000 Server SP3 或更早版本的域控制器创建的外部信任不会强制 SID 筛选器隔离。

   可以使用 SID 筛选器隔离从特定域中筛选出存储在 SID 历史记录中的迁移 SID。例如,如果存在外部信任关系,即一个域 Contoso(运行 Windows 2000 Server 域控制器)信任另一个域 Cpandl(也运行 Windows 2000

最低0.47元/天 解锁文章
生活在香樟园里
关注
专栏目录
ADDS:在域内或域间复制组成员
老陈醋的博客
08-24 683
ADDS:在域内或域间复制组成员
配置双向域信任关系.doc
12-03
通过该文档,你能更加深刻的认识什么是域控,如何使用域控对环境进行双向信任的配置。 文档有图有文字,简单明了的单独进行配置,方便易上手。
配置SID筛选
weixin_34163741的博客
11-23 198
配置SID筛选 1. 现在希望在林根nwtraders.msft它的子域:sales.nwtraders.msft之间禁用SID筛选 2. 在london计算机以域管理员登录,并进入字符屏幕状态,输入如下指令,以禁用林根nwtraders.msft它的子域:sales.nwtraders.msft之间SID筛选: 可参考如下指令实施 a.启用A...
配置林域信任
weixin_34009794的博客
11-21 189
配置林信任 假设N公司由单一活动目录林组成,公司林根域为nwtraders.msft,该林根域中有一台DC:London.nwtraders.msft,并在该DC上安装配置的一个AD集成的DNS服务器。(计算机名和域名根据个人情况填写) 1. 启动london计算机,请检查其是否运行正常,如果正常可不需另外安装此域,否则需要在l...
域之间的信任关系配置(英文)
honglei225的专栏
09-21 2166
  Enabling Trust Between WebLogic DomainsNote: Enabling trust between WebLogic Server domains opens the servers up to man-in-the-middle attacks. Great care should be taken when enabling trust in a
利用ADMT进行Exchange跨域迁移之一:配置域信任
weixin_34197488的博客
09-18 480
前言:前段时间完对某公司AD、Exchange的跨域迁移,现将环境重新模拟一次,并将操作过程记录总结,供大家参考!环境说明:现用域名为Contoso.local,现因业务需求,需将现所有域名更换为sysmicro.cn,现有环境为DC+Exchange一台(Win2008R2+Exchange2010),主机名为:Mail.contoso.local,文件服务器一台(Win2008R2), 主机名...
openwrt-rpi4-adds:OpenWRT Raspberry Pi 4的附加设置
03-09
OpenWRT Raspberry Pi 4(B型)的其他设置的索引 关于固件 | | 关于加法 ################################################ ## 源固件 该固件基于OpenWrt快照,还包含来自其他软件包(默认语言为中文)。 将由...
ADDS:检查 AD Domain 的健康和复制状态
老陈醋的博客
08-18 891
ADDS:检查 AD Domain 的健康和复制状态
Windows2012 AD域控制器安装教程
最新发布
09-19
5. 域控制器安装完成后:安装完成后,在服务器管理面板左侧会多出来一个“AD DS 的菜单选项”,点击 ADDS,可以看到黄色警告,提示我们目前服务器中并没有可用的域,我们需要将服务器升级为域控制器。 6. 将服务器...
Windows信任关系建立全攻略
nutian的专栏
03-25 2289
Windows信任关系建立全攻略 操作环境:windows 2000的两个独立域AA.com与BB.com(域已经建立好了)。             AA.com的网段为192.168.0.x,AA.com域管理服务器所在的IP为192.168.0.1,机器名为aa。             BB.com的网段为192.168.3.x,BB.com域管理服务器所在的IP为192.168.3
server2003-多域间林之间信任配置方法详解(附图)
weixin_34320724的博客
10-27 363
域间林之间信任配置方法详解 -----冯刚 DATA:20091018 实验拓朴: 实验 环境描述: MICHAEL公司日常办使用的域是“michael.com.cn”(林1),工程部最近做了一项工程,搭建一个域为“fung.com.cn”(林2),此域存放了这次项目的工作文档,存储在一个共享文件夹“michael”中。供林1域中的工程部员工访问,如何...
SID Filtering中文版bug
weixin_33853794的博客
10-28 126
距离老王上次发布共享权限迁移系列文章已经过去将近一年了,当时写的文件服务器迁移系列文章,看似完美,但其实对于老王来说我只能给自己打80分,为什么呢,因为最后在测试SID Filtering的时候我没做出来效果,在心里始终是个遗憾,一直想把这个遗憾给补上,后来给补上了,SID Filtering是一项过滤SID历史的隔离技术,防止恶意用户将SID历史带到新的林环境。实...
Windows活动目录系列---配置AD域服务的信任(1)
weixin_34381666的博客
11-27 901
在一个多域的AD林中,AD域之间会自动生成双向传递的信任关系,这样能够在所有的AD域之间有一条信任通道。在林中自动创建的信任都是可传递的信任,这表示如果A域信任B域,B域信任C域,那么A域就会信任C域。下面列举几种主要的信任关系:信任类型传递性方向描述父子信任传递双向当一个新的AD域加入到现有的AD域树中,会自动创建父子信任关系根树信任传递双向当一个新的AD域树加入到现有的A...
如何在域和域之间建立信任域?关键是配置域和域之间的DNS服务器
weixin_34008784的博客
03-12 824
我们在配置域之间的信任关系的时候,往往难点都不会出现添加信任域之间,而是出现在配置域之间的DNS服务器上 下面我以2008 R2为例开始: 首先我有2台域控,一台是A.com的域控(IP为IP_A),一台是B.com的域控(IP为IP_B),它们各自配有DNS 1.配置DNS 登录A.com的域控 开始 -> Administrative Tools管理工具 -> DNS...
Windows活动目录系列---配置AD域服务的信任(2)
weixin_34062329的博客
12-01 468
下面对AD DS信任的一些高级配置进行介绍:在某些时候,信任会引起一些安全性的问题。如果你配置了不恰当的信任关系,那么一些不该拥有权限的用户将会有权限访问你的某些资源,这就给你的资源带来了安全性上的风险。为了解决这个问题,我们可以运用几种技术来帮助你管理控制信任的安全性。SID筛选当你建立一个林或者域的时候,会默认启用域隔离,这也被称作SID筛选。当一个用户在一个受信任的域中...
如何配置域的信任关系(双向)
08-25 2333
域架构环境VMWARE+Win2003EEmcse.com ip192.168.1.2/24 dns自己msn.com ip192.168.1.1/24 dns自己为了了虚拟机能够通信就设成同一网段 一,提升域和林的动能级别分别在两个林根域运行domain.msc右击域名—提升域动能级别,如下图:这里我以经提升到2003的了在右击—Active Directory 域和信任关系—提
实战详解域信任关系,Active Directory系列之十七
weixin_34242509的博客
07-13 661
 实战详解域信任关系            上篇博文中我们对域信任关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示,当前网络中有两个域,一个域是ITET.COM,另一个域是HOMEWAY.COM。两个域内各有一个域控制器,分别是Florence和Firenze,我们让两个域使用了同一个DNS服务器。          创建域信任关系要注意DNS服务器的设置,...
信任关系攻击指南
include_heqile的博客
10-21 2000
距离我上一次发表关于Action Directory 域信任相关的博客已经差不多过去两年了。我发现我之前的文章中有些关于信任关系和组成员的误解。结合去年PowerView做出的改动,最终使我更新了枚举和攻击域信任关系的文章。这将是我最后一篇讲解关于域信任关系攻击的文章,大概有8000字,读起来并不轻松。通常情况下,我不会仅仅写出我的操作笔记----我尽量详细描述,以期我的文章可以作为大家的一份全面...
Windows Server 2008 R2 Kerberos基础:ADDS部署与域控制器设置详解
1. 部署ADDS:首先需要安装Windows Server 2008,虽然预设的初始化设置可能提示添加ADDS角色,但最终仍需通过Dcpromo.exe手动执行来创建域控制器(DC)。这个过程需要系统管理员权限,且密码设置用于备份和恢复目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生活在香樟园里

你的鼓励是我前进的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值