Active Directory 迁移中的 SID 历史记录

在规划 Active Directory 迁移时，您是否已决定如何处理 SID 历史记录（将旧权限粘到当前域的粘合剂）？

我们一直在发布有关 Active Directory 迁移中最重要的安全注意事项的文章，我认为安全标识符 (SID) 历史值得单独讨论。

SID历史背景

SID 历史记录是 Active Directory (AD) 中的一个属性，当您未重新许可旧域中的资源时，它可以提供向后兼容性。根据 Active Directory 迁移的许多最佳实践（甚至是 Quest® 工具中内置的实践），从其他域迁移对象时会写入 SID 历史记录。它允许历史访问控制列表 (ACL) 条目在迁移后继续工作。

SID History 是在 Windows Server 2000 中引入的，旨在帮助企业摆脱 Windows NT 4.0 并采用 Active Directory。它确实使迁移变得更容易、更快。

SID 保证 Active Directory 域内安全主体的唯一性。因此，如果重复使用它们，您将面临向依赖基于 SID 的 ACL 的系统授予未经授权的访问权限的风险。

例如，假设您的人力资源部门有一个名为 \Compensation 的共享文件夹，并且 Thomas Wyatt 具有对该文件夹的完全访问权限。有一天，Wyatt 离开了公司，他在 AD 中的用户帐户也被删除。

然而，怀亚特在安全属性“补偿”中的条目并未完全删除；相反，AD 将该条目从“Thomas Wyatt”更改为“Account Unknown (S-1-5-21-428333439-…)”之类的内容 — 具有相同权限的 SID。

这就带来了新的安全主体可能会采用该 SID（因为该 SID 可用）的风险。新的安全主体将自动继承对 \Compensation 的相同的完全访问权限，无论这是否是公司的意图。

如果您要在 Active Directory 中重复使用 SID，您应该将其视为拥有一组额外的用于进入您家的密钥 - 具有许多相同的优点和缺点。

删除 SID 历史记录

许多组织决定保留这组额外的密钥。

“移民已经结束了，”他们说。 “我们只保留 SID 历史记录。我们不会重新设置源 AD 的密钥。我们将使用旧密钥，并且现在有两个匹配的密钥。 ”

问题是，前房主可能会回来并使用额外的钥匙闯入新房子，如上面的示例所示。或者，使用 mimikatz 或类似工具的人可以执行 SID 历史记录注入，以模拟任意用户或组（例如企业管理员）。这种操纵可能会导致对本地资源的访问增加。攻击者可以通过横向移动技术（例如远程服务、Windows 管理员共享和 Windows 远程管理）访问其他无法访问的域。

提示： 与 Microsoft 一样，我们建议您在迁移完成且所有内容都已重新 ACL 后删除 SID 历史记录。到那时，您将正确地重新许可一切。另一种缓解措施是将 SID 过滤应用于林间信任（例如林信任和外部信任），以将它们排除在访问域资源的请求之外。删除 SID 历史记录应该是迁移的最后一步。

产品风险与安全风险

当然，完全可以在不使用 SID 历史记录的情况下执行 Active Directory 迁移。毕竟，迁移它存在固有的风险。我的意思是，如果不迁移它，您将面临更多的产品风险，因为用户将遇到更多身份验证问题。

考虑产品风险：您的应用程序从目标到源具有无缝的向后兼容性是否重要？

• 如果您迁移 SID 历史记录，那么您将获得向后兼容性。当用户尝试访问源环境中的应用程序时，应用程序将像以前一样对他们进行身份验证并连接。您不会承担任何产品风险，但您会承担我上面提到的额外一套房屋钥匙的安全风险。
• 如果你不迁移它，那么你就无法获得向后兼容性。当用户尝试访问源环境中的应用程序时，将提示用户输入凭据。您以产品风险为代价降低了安全风险。

由您决定哪种风险对您的组织构成更大的障碍。

请注意，某些类型的迁移和应用程序访问将需要它。但总的来说，这种情况很少见。

提示：确保您了解应用程序如何使用身份验证。业务是否依赖于这些应用程序像以前一样运行？如果不是，则不要迁移 SID 历史记录。

迁移前清洁

许多 AD 迁移是由于合并或收购而发生的。我们在 IT 领域很少有足够的时间按照我们知道应该做的方式做事，而且在并购期间似乎时间更少。管理层希望您快速行动，让您几乎没有时间重新 ACL 所有不同的资源，以便将来可以清理 SID 历史记录。

快速迁移的一个风险是您会将 SID 历史数据（就像我上面提到的 Thomas Wyatt 条目一样）从源环境迁移到目标。我见过太多组织像这样迁移旧数据而不清理它们。

提示：如果您正在进行 AD 迁移并且源环境已有 SID 历史记录，请考虑在迁移到新环境之前清理它。您将来无需担心搬家的事情。继续上面的例子，您是否需要一套您不再拥有的房子的钥匙？当然不是。清理你的抽屉，这样你就不会一直收集永远不会再使用的钥匙。同样，无需迁移不活跃的用户，因为他们的帐户只会弄乱您的新 AD。

结论

您有多少时间来完成 AD 迁移？可能不会很多，因此当您决定迁移什么时，迁移 SID 历史记录看起来比不迁移更容易。而且您不想在以后因为没有在有机会时迁移它而责备自己。

但我试图强调，与 Active Directory 对象不同，迁移它并不是一劳永逸的。一定要先权衡利弊。