Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize

Security Account Manager (SAM)

Wat doet de Security Account Manager (SAM)?

De Security Account Manager (SAM) is een database op servers met Windows Server 2003, waarin gebruikersaccounts en security descriptors worden opgeslagen voor gebruikers op de lokale computer.

Op wie is deze functie van toepassing?

Deze functie is voor IT-professionals die problemen met het SAM-onderdeel willen oplossen of die het gedrag van dit onderdeel bij implementatie willen begrijpen. Voor het oplossen van problemen moeten mogelijk extra hulpmiddelen worden gedownload. Dit onderwerp is ook van toepassing op ontwikkelaars die het SAMR- en het LSAR-protocol hebben gelicentieerd en ontwikkelaars die vertrouwde LSA API's (Application Programming Interfaces) gebruiken van MSDN.

Welke nieuwe functionaliteit is er toegevoegd aan deze voorziening in Windows Server 2003 Service Pack 1?

SAM WPP-logboekregistratie

Gedetailleerde beschrijving

Foutopsporingslogboeken van Security Accounts Manager (SAM) kunnen tijdens implementatie worden verzameld door de Windows-preprocessor voor softwaretracering (WPP). WPP kan worden gebruikt om informatie te verzamelen over wat het SAM-onderdeel doet wanneer het Windows-systeem anders reageert dan mag worden verwacht. Deze informatie kan worden gebruikt door Microsoft Product Support Services om u te helpen problemen bij de implementatie op te lossen.

Waarom is deze wijziging belangrijk? Welk risico gaat deze tegen?

Mogelijk wordt hierdoor het aantal live-foutopsporingssessies omlaag gebracht als de logboekinformatie voldoende is om te bepalen wat er gebeurt.

Wat werkt er anders?

Niets werkt anders. Er is een nieuwe functie ingeschakeld om logboekregistratie te genereren. Hierna volgen de logman-opdrachten die kunnen worden gebruikt om logboekregistratie in te schakelen:

logman create trace samlog -p "{f2969c49-b484-4485-b3b0-b908da73cebb}" 3
logman start samlog
rem repeat action that is interesting and that should be captured in log
logman stop samlog

Hiermee wordt een uitgebreid transactielogboek (ETL) gegenereerd dat een medewerker van productondersteuning kan parseren met de foutopsporingssymboolset.

Welke instellingen zijn er toegevoegd of gewijzigd in Windows Server 2003 Service Pack 1?

Er bestaat een nieuw ETW-item (gebeurtenistracering voor Windows: f2969c49-b484-4485-b3b0-b908da73cebb. Met dit item wordt aangegeven of logboekregistratie is ingeschakeld voor het SAM-onderdeel. In de volgende voorbeelduitvoer van tracelog –enumguid is het nieuwe item opgenomen.

    Guid                     Enabled  LoggerId Level Flags
-----------------------------------------------------------
1046d4b1-fce5-48bc-8def-fd33196af19a     FALSE  0    0    0
5007c7b1-1444-4303-bdbe-359c79fc032a     FALSE  0    0    0
7e4b70ee-8296-4f0f-a3ba-f58ef7bb4e96     FALSE  0    0    0
77db410c-561e-4358-8b0e-af866e91bb89     FALSE  0    0    0
dd5ef90a-6398-47a4-ad34-4dcecdef795f     FALSE  0    0    0
196e57d9-49c0-4b3b-ac3a-a8a93ada1938     FALSE  0    0    0
1540ff4c-3fd7-4bba-9938-1d1bf31573a7     FALSE  0    0    0
94a984ef-f525-4bf1-be3c-ef374056a592     FALSE  0    0    0
3121cf5d-c5e6-4f37-be86-57083590c333     FALSE  0    0    0
94335eb3-79ea-44d5-8ea9-306f49b3a04e     FALSE  0    0    0
4a8aaa94-cfc4-46a7-8e4e-17bc45608f0a     FALSE  0    0    0
f33959b4-dbec-11d2-895b-00c04f79ab69     FALSE  0    0    0
8e598056-8993-11d2-819e-0000f875a064     FALSE  0    0    0
f2969c49-b484-4485-b3b0-b908da73cebb     FALSE  0    0    0
cc85922f-db41-11d2-9244-006008269001     FALSE  0    0    0
c92cf544-91b3-4dc0-8e11-c580339a0bf8     FALSE  0    0    0
bba3add2-c229-4cdb-ae2b-57eb6966b0c4     FALSE  0    0    0
8fc7e81a-f733-42e0-9708-cfdae07ed969     FALSE  0    0    0
cddc01e2-fdce-479a-b8ee-3c87053fb55e     FALSE  0    0    0
6acd39eb-4cb0-486b-83fa-307aa23767b1     FALSE  0    0    0
65f67abd-ecd2-4501-9b10-d48db2300e6c     FALSE  0    0    0
28cf047a-2437-4b24-b653-b9446a419a69     FALSE  0    0    0
fc4b0d39-e8be-4a83-a32f-c0c7c4f61ee4     FALSE  0    0    0
fc570986-5967-4641-a6f9-05291bce66c5     FALSE  0    0    0
39a7b5e0-be85-47fc-b9f5-593a659abac1     FALSE  0    0    0
dab01d4d-2d48-477d-b1c3-daad0ce6f06b     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfe     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfd     FALSE  0    0    0

SAM- en LSA-handles beveiligen tegen 'hijacking'

Gedetailleerde beschrijving

Bij de implementatie op de server van het SAMR- en het LSAR-protocol worden nu beveiligingscontroles geïmplementeerd om ervoor te zorgen dat de huidige aanroeper dezelfde aanroeper is die de eerste handle heeft geopend die is geretourneerd van respectievelijk SamConnect en LsaOpenPolicy.

Het RPC-protocol (Remote Procedure Call) van Security Account Manager (SAMR) is een integraal subsysteem dat wordt gebruikt om externe Service Account Manager-bewerkingen uit te voeren, zoals het beheren en bewerken van gebruikersaccounts. De SAMR-interface definieert de externe SAM-methoden (Security Account Manager) die worden aangeroepen door de client. SamConnect is de functie die wordt gebruikt om verbinding te maken met de SAM-database.

Waarom is deze wijziging belangrijk?

Deze wijziging houdt verband met de RPC-wijzigingen die op uw systeem helpen een aanval te voorkomen waarbij de machtigingen worden verhoogd (elevation of privilege). Als u deze wijziging implementeert in de Active Directory-interfaces maakt u uw systeem standaard veiliger.

Wat werkt er anders?

Als uw toepassing het SAMR- of het LSAR-protocol gebruikt, worden toegangscontroles uitgevoerd op elke ontvangen aanroep en wordt er gecontroleerd of de client-id die de context-handle opent dezelfde is als de client-id die de aanroep doet. Als uw toepassing die conventie niet gebruikt, werkt deze niet meer na installatie van Windows Server 2003 Service Pack 1 (SP1).

Hoe los ik deze problemen op?

Alle aanroepen voor de SAMR- en de LSAR-methode moeten in dezelfde beveiligingscontext plaatsvinden als de aanroep die de context-handle heeft gegenereerd die wordt gebruikt in de aanroep. Als dit niet het geval is, moet u uw toepassing aanpassen aan deze vereiste.

Moet ik mijn code wijzigen om te kunnen werken met Windows Server 2003 Service Pack 1?

De meeste toepassingen hoeven niet te worden gewijzigd. Als de code van de toepassing echter wisselt van beveiligingscontext tijdens het gebruik van context-handles die zijn verkregen van de SAMR- en LSAR-interface, moet deze worden aangepast. Als de toepassing een van de volgende API's gebruikt, controleert u met de ontwikkelaar van de toepassing of de aanroepende beveiligingscontext niet verandert tussen de aanroep LsaOpenPolicy en een eventuele daarop volgende Lsa API-aanroep die de handle gebruikt die is geretourneerd van LsaOpenPolicy.

  • LsaOpenPolicy
  • LsaQueryInformationPolicy
  • LsaSetInformationPolicy
  • LsaQueryDomainInformationPolicy
  • LsaSetDomainInformationPolicy
  • LsaEnumerateTrustedDomains
  • LsaLookupNames
  • LsaLookupNames2
  • LsaLookupSids
  • LsaEnumerateAccountsWithUserRight
  • LsaEnumerateAccountRights
  • LsaAddAccountRights
  • LsaRemoveAccountRights
  • LsaOpenTrustedDomainByName
  • LsaQueryTrustedDomainInfo
  • LsaSetTrustedDomainInformation
  • LsaDeleteTrustedDomain
  • LsaQueryTrustedDomainInfoByName
  • LsaSetTrustedDomainInfoByName
  • LsaEnumerateTrustedDomainsEx
  • LsaCreateTrustedDomainEx
  • LsaQueryForestTrustInformation
  • LsaSetForestTrustInformation
  • LsaForestTrustFindMatch
  • LsaStorePrivateData
  • LsaRetrievePrivateData
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft