В контексте Microsoft Windows NT линии операционных систем , идентификатор безопасности (сокращенно SID ) является уникальным, неизменяемым идентификатор пользователя, группы пользователей или другого участника безопасности . Участник безопасности имеет один пожизненный идентификатор безопасности (в данном домене), и все свойства участника, включая его имя, связаны с этим идентификатором безопасности. Такой дизайн позволяет переименовать принципала (например, из «Джейн Смит» в «Джейн Джонс»), не затрагивая атрибуты безопасности объектов, которые относятся к принципалу.
Обзор
Windows предоставляет или запрещает доступ и привилегии к ресурсам на основе списков управления доступом (ACL), которые используют идентификаторы безопасности для уникальной идентификации пользователей и их членства в группах. Когда пользователь входит в систему, создается маркер доступа , содержащий идентификаторы безопасности пользователя и группы, а также уровень привилегий пользователя. Когда пользователь запрашивает доступ к ресурсу, маркер доступа проверяется по ACL, чтобы разрешить или запретить определенное действие над определенным объектом.
Идентификаторы безопасности полезны для устранения проблем с аудитами безопасности, миграцией серверов Windows и домена.
Формат SID можно проиллюстрировать на следующем примере: «S-1-5-21-3623811015-3361044348-30300820-1013»;
S | 1 | 5 | 21-3623811015-3361044348-30300820 | 1013 |
---|---|---|---|---|
Строка - это SID. | Уровень редакции (версия спецификации SID). | Значение авторитетного идентификатора. | Значение субавторитета В данном случае это домен (21) с уникальным идентификатором. Может быть более одного подчиненного органа, особенно если учетная запись существует в домене и принадлежит к разным группам. [1] | Относительная ID (РИД). Любая группа или пользователь, которые не созданы по умолчанию, будут иметь относительный идентификатор 1000 или больше. |
Значения авторизации идентификаторов
Значение авторизации идентификатора
Известные авторитетные значения идентификатора: [2] [3]
Десятичный | Имя | Отображаемое имя | Впервые представил | Рекомендации | Заметки |
---|---|---|---|---|---|
0 | Нулевой авторитет | например, «Никто» (S-1-0-0) | |||
1 | Мировая власть | (не показано) | например, хорошо известные группы, такие как «Все». (С-1-1-0) | ||
2 | Местная власть | (не показано) | например, отметьте SID, как "CONSOLE LOGON" | ||
3 | Авторитет Создателя | ||||
4 | Неуникальный авторитет | ||||
5 | NT Власть | NT AUTHORITY \ | Управляется подсистемой безопасности NT. Есть много подчиненных органов, таких как "BUILTIN" и каждый домен Active Directory. | ||
7 | Интернет $ | Интернет $ \ | Windows 7 | ||
9 | Полномочия диспетчера ресурсов | Windows Server 2003 | [4] [5] | ||
11 | Центр управления учетной записью Microsoft | MicrosoftAccount \ | Windows 8 | [6] | |
12 | Azure Active Directory | AzureAD \ | Windows 10 | ||
15 | Идентификаторы безопасности | Windows 8 Windows Server 2012 | [7] [8] [9] | Все идентификаторы безопасности возможностей начинаются с S-1-15-3. По замыслу SID возможности не преобразуется в понятное имя. Наиболее часто используемый SID возможности следующий: S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 | |
16 | Обязательная этикетка \ | Виндоус виста | Используется как часть обязательного контроля целостности | ||
18 | Утвержденная личность |
Определение идентификатора безопасности возможности:
- Если вы найдете SID в данных реестра, то это SID возможности. По замыслу, оно не преобразуется в понятное имя.
- Если вы не нашли SID в данных реестра, значит, это неизвестный SID возможности. Вы можете продолжить устранение неполадок как с обычным неразрешенным идентификатором безопасности. Имейте в виду, что существует небольшая вероятность того, что SID может быть сторонним SID, и в этом случае он не будет преобразован в понятное имя.
Согласно службе поддержки Microsoft: [8] Важно - НЕ УДАЛЯЙТЕ идентификаторы безопасности возможностей из разрешений реестра или файловой системы. Удаление идентификатора безопасности возможности из разрешений файловой системы или разрешений реестра может привести к неправильной работе функции или приложения. После удаления идентификатора безопасности возможности вы не сможете использовать пользовательский интерфейс для его повторного добавления.
S-1-5 Значения подчиненных органов [7] [10] [11]
Десятичный | Имя | Отображаемое имя | Впервые представил | Рекомендации | Заметки |
---|---|---|---|---|---|
18 | LocalSystem | LocalSystem | Windows 7 | Пример: S-1-5-18 - это хорошо известный sid для LocalSystem. | |
21 год | Домен | ||||
32 | Пользователи | Windows 7 | Пример: S-1-5-32-568 - это идентификатор группы для IIS_IUSRS. | ||
64 | Аутентификация | 10 - NTLM 14 - SChannel 21 - Дайджест | |||
80 | NT Сервис | NT СЕРВИС \ | Виндоус виста | Может быть «Служба NT виртуального аккаунта», например, для установок SQL Server. S-1-5-80-0 соответствует "NT СЕРВИС \ ВСЕ УСЛУГИ" | |
82 | Пул приложений IIS | AppPoolIdentity \ | Windows 7 | ||
83 | Виртуальные машины | NT ВИРТУАЛЬНАЯ МАШИНА \ | Windows 7 | "NT Virtual Machine \ {guid}", где {guid} - идентификатор GUID виртуальной машины Hyper-V. S-1-5-83-0 - это идентификатор группы для "NT VIRTUAL MACHINE \ Virtual Machines" | |
90 | Оконный менеджер | Группа диспетчера Windows (DWM) | Windows 7 | Класс оконного менеджера | |
96 | Драйвер шрифта | Windows 7 | Хост драйвера шрифта \ UMFD-1 |
Виртуальные учетные записи определены для фиксированного набора имен классов, но имя учетной записи не определено. В виртуальной учетной записи доступно почти бесконечное количество учетных записей. Имена работают как «Класс учетной записи \ Имя учетной записи», так и «AppPoolIdentity \ Default App Pool». SID основан на хэше SHA-1 имени в нижнем регистре. Каждой виртуальной учетной записи могут быть предоставлены разрешения отдельно, поскольку каждая из них сопоставляется с отдельным идентификатором безопасности. Это предотвращает проблему «перекрестных разрешений», когда каждая служба назначается одному и тому же классу NT AUTHORITY (например, «NT AUTHORITY \ Network Service»).
Идентификаторы безопасности машины
Машина SID (S-1-5-21) хранится в SECURITY куста реестра , расположенного по адресу SECURITY \ SAM \ Domains \ счета , этот ключ имеет два значения F и V . Значение V - это двоичное значение, в которое в конце данных (последние 96 бит) встроен идентификатор безопасности компьютера. [12] (Некоторые источники утверждают, что вместо этого он хранится в кусте SAM.) Резервная копия находится в SECURITY \ Policy \ PolAcDmS \ @ .
NewSID гарантирует, что этот SID находится в стандартном формате NT 4.0 (3 32-битных субавторитета, которым предшествуют три 32-битных поля полномочий). Затем NewSID генерирует новый случайный SID для компьютера. Генерация NewSID прилагает большие усилия для создания действительно случайного 96-битного значения, которое заменяет 96-битное значение трех значений субавторитета, составляющих SID компьютера.
- Readme NewSID
Формат субавторитета SID машины также используется для SID домена. В этом случае машина считается своим собственным локальным доменом.
Декодирующая машина SID
Идентификатор безопасности компьютера хранится в реестре в виде необработанных байтов. Чтобы преобразовать его в более распространенную числовую форму, нужно интерпретировать его как три 32-битных целых числа с прямым порядком байтов , преобразовать их в десятичные числа и добавить между ними дефисы.
Пример | 2E, 43, AC, 40, C0,85,38,5D, 07, E5,3B, 2B |
---|---|
1) Разделите байты на 3 части: | 2E, 43, AC, 40 - C0,85,38,5D - 07, E5,3B, 2B |
2) Измените порядок байтов в каждом разделе: | 40, AC, 43,2E - 5D, 38,85, C0 - 2B, 3B, E5,07 |
3) Преобразуйте каждую секцию в десятичную: | 1085031214–1563985344–725345543 |
4) Добавьте префикс SID машины: | S-1-5-21-1085031214-1563985344-725345543 |
Другое использование
SID машины также используется некоторыми бесплатными пробными программами, такими как Start8 , для идентификации компьютера, чтобы он не мог перезапустить пробную версию. [ необходима цитата ]
Идентификаторы безопасности службы
Идентификаторы безопасности службы - это функция изоляции службы , функция безопасности, представленная в Windows Vista и Windows Server 2008 . [13] Любая служба со свойством типа «неограниченный» SID будет иметь привязанный к службе SID, добавленный к маркеру доступа процесса хоста службы. Назначение идентификаторов безопасности служб - разрешить управление разрешениями для одной службы без необходимости создания учетных записей служб и дополнительных административных затрат.
Каждый SID службы - это локальный SID на уровне компьютера, созданный из имени службы по следующей формуле:
S-1-5-80-{SHA-1(service name in upper case encoded as UTF-16)}
sc.exe
Команда может быть использована для генерации произвольного SID службы:
Служба также может называться NT SERVICE \
Дублированные SID
В рабочей группе компьютеров под управлением Windows NT / 2K / XP пользователь может получить неожиданный доступ к общим файлам или файлам, хранящимся на съемном носителе. Этого можно избежать, установив списки управления доступом для уязвимого файла, чтобы действующие разрешения определялись идентификатором безопасности пользователя. Если этот идентификатор безопасности пользователя дублируется на другом компьютере, пользователь второго компьютера с таким же идентификатором безопасности может иметь доступ к файлам, защищенным пользователем первого компьютера. Это может часто происходить, когда идентификаторы безопасности машины дублируются клоном диска, что является обычным для пиратских копий. Идентификаторы безопасности пользователя строятся на основе идентификатора безопасности компьютера и последовательного относительного идентификатора.
Когда компьютеры присоединяются к домену (например, Active Directory или домен NT), каждому компьютеру предоставляется уникальный SID домена, который пересчитывается каждый раз, когда компьютер входит в домен. Этот SID аналогичен SID машины. В результате обычно не возникает серьезных проблем с дублированием SID, когда компьютеры являются членами домена, особенно если локальные учетные записи пользователей не используются. Если используются локальные учетные записи пользователей, существует потенциальная проблема безопасности, аналогичная описанной выше, но проблема ограничивается файлами и ресурсами, защищенными локальными пользователями, а не пользователями домена.
Дублированные SID обычно не являются проблемой для систем Microsoft Windows, хотя другие программы, которые обнаруживают SID, могут иметь проблемы с его безопасностью.
Microsoft предоставляла Марку Руссиновичу служебную программу NewSID как часть Sysinternals для изменения идентификатора безопасности компьютера. [14] Он был закрыт и удален из загрузки 2 ноября 2009 года. Руссинович объяснил, что ни он, ни команда безопасности Windows не могли придумать ни одной ситуации, когда дублирующиеся SID могли бы вызвать какие-либо проблемы, потому что SID машины никогда не отвечают за стробирование. любой доступ к сети. [15]
В настоящее время единственным поддерживаемым механизмом дублирования дисков для операционных систем Windows является использование SysPrep , который генерирует новые идентификаторы безопасности.
Смотрите также
Рекомендации
- ^ "В Windows, что такое SID (идентификатор безопасности)?" . kb.iu.edu . Проверено 2 сентября 2020 .
- ^ «Общеизвестные идентификаторы безопасности в операционных системах Windows» . support.microsoft.com . Проверено 12 декабря 2019 .
- ^ openspecs-office. «[MS-DTYP]: известные структуры SID» . docs.microsoft.com . Проверено 3 сентября 2020 .
- ^ См. Раздел «Пользовательские принципы» на https://msdn.microsoft.com/en-us/library/aa480244.aspx
- ^ http://blogs.msdn.com/larryosterman/archive/2004/09/01/224051.aspx
- ^ «Пример влияния учетных записей Microsoft на API Windows в Windows 8 / 8.1 - Блог группы поддержки Windows SDK» . blogs.msdn.microsoft.com .
- ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems . Проверено 2 сентября 2020 . Отсутствует или пусто
|title=
( справка ) - ^ а б support.microsoft.com https://support.microsoft.com/en-us/help/4502539/some-sids-do-not-resolve-into-friendly-names . Проверено 2 сентября 2020 . Отсутствует или пусто
|title=
( справка ) - ^ lastnameholiu. «Возможности констант SID (Winnt.h) - приложения Win32» . docs.microsoft.com . Проверено 2 сентября 2020 .
- ^ «Везде учетные записи: часть 1, Виртуальные учетные записи» . 1E . 2017-11-24 . Проверено 2 сентября 2020 .
- ^ «Идентификационные идентификаторы пула приложений IIS» . зимовье . 2020-09-02.
- ^ «Утилита MS TechNet NewSID - как это работает» . База знаний . Microsoft . 1 ноября 2006 . Проверено 5 августа 2008 .
- ^ «Функция изоляции служб Windows» . Статья . Windows для ИТ-специалистов . 6 июня 2012 . Проверено 7 декабря 2012 года .
- ^ «NewSID v4.10» . Windows Sysinternals . Microsoft. 2006-11-01.
- ^ Руссинович, Марк (03.11.2009). "Миф о машинном дублировании SID" . Блоги TechNet . Microsoft.
Внешние ссылки
- Официальный
- ObjectSID и Active Directory
- Microsoft TechNet: Server 2003: Технический справочник по идентификаторам безопасности
- MSKB154599: Как связать имя пользователя с идентификатором безопасности
- MSKB243330: хорошо известные идентификаторы безопасности в операционных системах Windows.
- Инструменты поддержки для Windows Server 2003 и Windows XP
- Идентификаторы безопасности - документы по безопасности Windows
- Другой
- Почему важно понимать идентификаторы безопасности
- Атрибуты дескриптора безопасности Microsoft (SID): учебная статья об обработке / преобразовании SID в сценариях