Spécialité : Administration et Sécurité des Réseaux Informatique. Mode de formation : Apprentissage.

Année : 2023
Champs d’activité 4 : Sécurité des réseaux informatiques
Module : Mettre en œuvre une Stratégie d’Authentification.
Sous compétence professionnelle : Différencier les types d’approbations associés aux systèmes d’exploitation de serveur Durée : 2h.

Leçon6 : Filtrage des SID

Objectif pédagogique :

A la fin de la leçon le stagiaire sera capable de :

 Définir le concept SIDhistory.

 Savoir comment les attaquants exploitent ils l’attribut SIDhistory.
 Expliquer la méthode Filtrage de Sid.
 Réécrire la commande de désactivation/Activation le filtrage SID.

Introduction :
 Lorsque le KDC du domaine B est sollicité pour générer un ticket de service pour l’utilisateur du domaine
A, il se base sur le contenue du ticket de référence présenté, pour générer un ticket de service.
 Et si le domaine A venait à être compromis, un attaquant serait en mesure d’augmenter ses droits et
autorisations auprès du domaine B en rajoutant arbitrairement des SID dans le ticket de référence.
Des SID intéressants à rajouter sont par exemple celui du groupe « Administrateurs du domaine » du
domaine B ou celui de l’entité SYSTEM (S-1-5-18).

1. Comment les attaquants exploitent-ils l’attribut d'historique SID ?

Le problème avec l'historique SID est qu'il permet l'injection de toutes les valeurs SID. Sachant cela, un
attaquant peut exploiter l'attribut SIDHistory en injectant des valeurs SID privilégiées plus élevées tels que les
droits d'administrateur de domaine (ou équivalent) et en se cachant dans un compte à faible privilège. Cette
injection se traduit par un accès élevé aux ressources
2. Filtrage des SID :
 Pour une approbation nouvellement établie entre deux domaines ou deux forêts, le filtrage SID est activé
par défaut
 Le filtrage SID permet de limiter l’utilisation de la technique d’injection des SID en utilisant l’attribut
SID History, en faisant une analyse de tous les SID de domaine utilisant la relation d’approbation pour ne
laisser passer que les demandes n’ayant pas de SID de domaines différent au SID de domaine approuvés.
 Les contrôleurs de domaine Active Directory appliquent systématiquement une politique de filtrage des
SID lorsqu’ils traitent un ticket de référence. Cette politique permet de déterminer les SID qui vont être
conservés (c’est-à-dire ceux recopiés dans le ticket de service) et ceux qui sont filtrés donc exclus, un
exemple pour un SID étranger est celui d’un compte migré et qui appartient à l'historique SID.
L'image montre comment le SIDHistory (du domaine source) est supprimé du jeton lors de l'accès via la
confiance (avec un filtre SID activé). L'accès n'est pas possible.
3. Désactiver le filtrage SID

Lors d'une migration Active Directory, l'historique SID est utilisé pour les comptes d'utilisateurs migrés dans le
domaine de confiance (cible) afin d'accéder aux ressources du domaine de confiance (source). Mais Avec le
filtrage SID activé, cela est impossible.
Le filtrage de SID peut être désactivé avec l’outil Netdom. Cela est nécessaire dans le cas d’une migration
d’utilisateurs d’un domaine à un autre alors que les ressources n’ont pas encore été migrées, ou lors de
l’utilisation de transitivité (domaine approuvé implicitement).

 Désactiver le filtre SID pour l'approbation de domaine, ou une approbation externe :

Netdom trust < nom de domaine approuvant > /domain: <nom de domaine approuvé> /quarantaine : No/Yes

< nom de domaine approuvant > : le domaine de la ressource.

<nom de domaine approuvé> : le domaine du compte utilisateur qui veut accéder à la ressource.
Quarantaine: No : "no" désactive le filtre SID, "yes" active le filtre SID.
 Désactiver le filtre SID pour l’approbation de forêt :

Netdom trust < nom de domaine approuvant > / domain: <nom de domaine approuvé> /enablesidhistory:Yes

enableidhistory: "yes" désactive le SID-Filter, "no" l'active.

Remarque : Avec les versions françaises de Windows serveur, employé oui et non, à la place de Yes et No.